LANTENNA: Exfiltrating Data from Air-Gapped Networks via Ethernet Cables Emission

1. 背景

（1）会议/刊物级别

2021 IEEE 45th Annual Computers, Software, and Applications Conference (COMPSAC)
CCF C

Mordechai Guri ：Ben-Gurion University of the Negev, Israel（以色列,本·古里安大学）

3. 技术背景

以太 线缆用于连接局域 内的工作站、服务器、打印机、摄像机、路由器和交换机等 络设备。 线由8根线绞成4对组成。以太 电缆有几个类别(cat)，它们定义了诸如工作频率、屏蔽和带宽等参数。常用的 线有:Cat 5、Cat 5e、Cat 6、Cat 6a、Cat 7、Cat 7a。每一类的主要参数列于表I。
Cat 5和Cat 5e(5类增强)在物理水平上相似，它们都在100 MHz的最大频率下工作。然而，Cat 5电缆支持10- 100mbps的 络带宽，而Cat 5e电缆支持高达1gbps的 络带宽。此外，Cat 5e电缆的线比Cat5电缆的线绞得更紧，这使它们更能保护通信通道之间的不必要信 推断(串扰)。Cat 5e是目前家庭和小型办公设备中最常用的电缆。

4.3 原始数据包传输

卡活动会影响以太 线铜线上的电磁信 。我们发现，通过发送原始UDP数据包，我们可以触发和调节以太 电缆的发射。图3显示了交替序列10101010…采用原始数据包传输方式。在这种情况下，数据通过以太 电缆从一个封闭的计算机传输，并在相距200厘米的距离接收。可以看到，信 被包裹在250.010 MHz左右，比切换速度法产生的信 要窄。调制器伪代码如算法1所示。调制函数接收要发送的位数组(bits)和每个位的时间(bitTimeMillis)。如果要发送的位为1，该函数将向 络发送UDP 文，否则该函数将休眠相同的时间。每个UDP 文的有效载荷为1480字节。有效负载由一个U字符序列组成，它是二进制表示中的备用位(01010101)。完整的UDP帧如图4所示。

4.4 编码和数据包帧

请注意，信 的振幅可能会随着时间而改变，因此，一个简单的OOK调制在接收过程中失败。我们使用曼彻斯特编码，因为通过分析位的两半期间振幅的变化来解调一个位，而不需要整体阈值。图5描述了数据包的曼彻斯特编码:enable = 0xAA, DATA = DATA, CRC8 = 0xB6。

1. 开始： 文以0xAA十六进制值开始。这个二进制的10101010序列允许接收机与每个数据包的开头同步，并确定载波振幅和1 / 0阈值。
2. 数据：有效载荷是数据包中传输的原始二进制数据。它由32位组成。
3. CRC-8：对于错误检测，我们使用CRC-8(循环冗余检查)错误检测算法。CRC根据负载数据计算，并在每个包的末尾添加。在接收端，如果接收到的CRC和计算出的CRC不同，则忽略数据包。

5. 接收信 （解调）

算法2给出了解调器的伪代码。我们提供了一个软件定义的无线电(SDR)接收器的实现。解调函数是基于对目标频段(125 MHz、250 MHz、375 MHz等)的FFT信息进行采样和处理。在第2- 3行，SDR设备被初始化，接收缓冲区被配置为信道监视频率(MHz)、采样率(sampleRate)和缓冲区大小(windowsPerBit)。解调器对目标频率的数据进行采样，并将其分割为windowSize大小的窗口。算法对每个窗口进行估计功率谱密度使用韦尔奇的方法(第9- 13行)。然后使用detectEnable例程检测启用序列(10101010)。然后使用曼彻斯特方案(SampleToBitManchester)对比特进行解码，并确定1位和0位的阈值(振幅)(第14-18行)。最后，位被解调并添加到输出向量中(第18-21行)。

6. 实验与评估

6.1 实验基础

1)接收器:对于接收，我们使用了两种软件定义无线电(SDR)接收器，如表三所示。R820T2 RTL-SDR能够在窄带采样高达16位，RF覆盖范围从30 MHz到1.8 GHz或更多。HackRF设备的工作频率为1 MHz到6 GHz, 8位正交采样(8位I和8位Q)，两个接收器都兼容GNU Radio, SDR#等。我们通过USB接口将接收器连接到一台笔记本电脑上，它使用的是Intel Core i7-4785T和Ubuntu 16.04.1 4.4.0操作系统。
2)发射机:对于传输，我们使用了表四中列出的三种现成的工作站。计算机配备了10/100/ 1000mbps千兆以太 卡。我们测试了表五中列出的三种广泛使用的Cat 5e和Cat 6A以太 电缆。我们还测试了一台笔记本电脑和一个嵌入式设备(树莓派)，以评估对这些类型设备的攻击。下面的小节介绍了两种传输方法的结果。

7.3 信 监测

另一种方法是使用射频监测硬件设备，以识别LANETNNA频带中的异常。然而，由于本地 络设备的合法活动(如UDP流量)，这种检测方法将导致许多误 。

7.4 信 干扰

通过干扰天线的频带可以阻断隐蔽信道。现代干扰器是一种带有射频(RF)硬件的信 阻断设备，可以在所需的整个频段(例如，250兆赫)内传输无线电波。干扰机产生高功率，持续的无线电传输，跨越频道和中断任何隐蔽的频道传输。另一种方法是产生随机流量，从而中断 络中其他设备可能的隐蔽传输。在这种情况下，一个联 的设备，如PC或树莓派，随机时间和不同的流量产生UDP流量。

7.5 电缆屏蔽

8. 总结

在这篇论文中，我们展示了攻击者可以利用以太 电缆从空隙 络中窃取数据。恶意软件安装在一个安全的工作站，笔记本电脑或嵌入式设备可以调用各种 络活动，这些活动从以太 电缆中产生电磁发射。我们提出了两种信 生成方法: 络速度切换和UDP数据包传输。我们实现了恶意软件(LANTENNA)，并讨论了调制器和解调器的实现细节。我们从带宽和距离两个方面对这种隐蔽信道进行了评估，并提出了一套对策。我们的结果表明，通过使用电磁隐蔽通道，敌人可以将数据传输到距离受损的空气隙 络几米远的地方。此外，我们还证明了这种攻击可以从没有根权限的普通用户级进程发起，也可以从虚拟机中成功地发起。

9.相关工作

文章知识点与官方知识档案匹配，可进一步学习相关知识 络技能树跨区域 络的通信学习 络层的作用22327 人正在系统学习中