image

Onderzoeker exfiltreert data via kleurwaarden van pixels

woensdag 8 november 2017, 16:07 door Redactie, 7 reacties

Een onderzoeker van het Britse securitybedrijf Pen Test Partners heeft een manier gevonden om data van een gecompromitteerd systeem via de kleurwaarden van pixels te exfiltreren. Volgens onderzoeker Alan Monie kunnen protocollen om op afstand toegang tot machines te krijgen, zoals RDP, soms zo zijn ingesteld dat het niet mogelijk is om bestanden te kopiëren.

Andere protocollen bieden niet eens de mogelijkheid om bestanden uit te wisselen. Het is echter mogelijk om de kleurwaarden van pixels te gebruiken voor het encoderen van data. Op deze manier is het mogelijk om op de gecompromitteerde machine het scherm met allerlei pixels te laten knipperen, terwijl de machine van de aanvaller deze informatie opslaat en vervolgens de data reconstrueert. In theorie zou er bij een beeldscherm met 1920×1080 pixels en 24- bit kleuren bijna 6MB aan data kunnen worden geëncodeerd.

Het RDP-protocol bleek de kleurinformatie echter niet nauwkeurig door te sturen, waardoor de geëncodeerde data beschadigd raakte. Monie besloot hierop enkele aanpassingen door te voeren en met compressiefouten rekening te houden. Zo slaagde hij erin om 3MB aan data in een aantal seconden te exfiltreren. De onderzoeker heeft de tool waarmee hij de test uitvoerde via GitHub beschikbaar gemaakt. Hieronder een video waarin het exfiltreren van de data wordt gedemonstreerd.

Image

Video - Encoding data in pixel colour values for data exfiltration. Bron: YouTube

Reacties (7)
08-11-2017, 16:48 door Anoniem
Moet je alsnog dat tooltje op de RDP zien te krijgen.

Het zou 10x nuttiger zijn mocht het een VBS / PowerShell script zijn.
08-11-2017, 18:17 door Anoniem
Door Anoniem: Moet je alsnog dat tooltje op de RDP zien te krijgen.

Het zou 10x nuttiger zijn mocht het een VBS / PowerShell script zijn.

In de blog entry beschrijft hij dat data/een tool _op_ een systeem krijgen vaak makkelijk genoeg is (hij noemt een rubber ducky en tools als autohotkey).

Het eerst wat ik dacht is "hetzelfde als QR printen, maar dan ook in kleur" , en dat is precies wat hij doet (en beschrijft - het idee om een QR te printen was er ook al).
Deze methode heeft alleen een wat hogere bandbreedte .

[het on screen printen van base64 zou ook werken, met waarschijnlijk een nog lagere bandbreedte )

Al met al heel weinig bijzonders.
08-11-2017, 22:27 door Eric-Jan H te D
Knap! Hij heeft Teletekst uitgevonden.
09-11-2017, 00:28 door Anoniem
Deze "onderzoeker" heeft dus eigenlijk xmodem voor RDP verheruitgevonden.

Het is niet of dit een nieuw concept is, ofzo.
09-11-2017, 10:07 door Anoniem
Zijn ze snel achter NOT...
09-11-2017, 11:44 door Anoniem
Steganografie is natuurlijk al eeuwen bekend. Toch is dit wel een interessant voorbeeld.
12-11-2017, 03:04 door Anoniem
Haha, ik zou me allerlei bestanden kunnen voorstellen, maar om nu net een JPEG te gebruiken als voorbeld. Die mag je gewoon weergeven binnen de RDP sessie, screenshot, saven en klaar...
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.