NetCAT une nouvelle technique qui permet la détection des frappes dans une session SSH

netcat

Un groupe de chercheurs de l'Université d'Amsterdam et de l'École technique supérieure suisse de Zurich a développé la technique d'attaque réseau "NetCAT" (Network Cache ATtack) qui permet d'utiliser des méthodes d'analyse des données à partir de chaînes tierces pour déterminer à distance les touches sur lesquelles l'utilisateur appuie tout en travaillant dans une session SSH. Le problème se manifeste uniquement sur les serveurs qui utilisent les technologies RDMA (Remote Direct Memory Access) et DDIO (Direct I / O to Data).

Intel pense que l'attaque est difficile à mettre en œuvre dans la pratique.a, car il nécessite l'accès de l'attaquant au réseau local, en plus des conditions et de l'organisation communications hôte utilisant les technologies RDMA et DDIO, généralement utilisées dans les réseaux isolés, par exemple, là où les clusters opèrent.

La méthode utilisée pour l'attaque ressemble à la vulnérabilité Throwhammer, qui permet de modifier le contenu des bits individuels de la RAM par la manipulation de paquets réseau sur les systèmes RDMA.

Les chercheurs commentent que:

Le nouveau problème est le résultat de la minimisation des retards en utilisant le mécanisme DDIO, qui fournit une interaction directe entre la carte réseau et d'autres périphériques avec le cache du processeur (pendant le traitement des paquets de la carte réseau, les données sont mises en cache et récupérées à partir du cache, sans accès Mémoire).

Grâce à DDIO, le cache du processeur comprend également des données générées lors d'une activité réseau malveillante.

L'attaque NetCAT repose sur le fait que les cartes réseau mettent en cache les données activement, et la vitesse de traitement des paquets dans les réseaux locaux modernes est suffisante pour influencer le remplissage du cache et déterminer la présence ou l'absence de données dans le cache grâce à l'analyse des délais de transmission de données.

Lors de l'utilisation de sessions interactives, par exemple via SSH, un paquet réseau est envoyé immédiatement après avoir appuyé sur une touche, c'est-à-dire que les délais entre les paquets sont corrélés aux délais entre les frappes.

En utilisant des méthodes d'analyse statistique et en tenant compte du fait que les délais entre les frappes dépendent généralement de la position d'une touche sur le clavier, il est possible avec une certaine probabilité de recréer les informations d'entrée. Par exemple, la plupart des gens ont tendance à taper «s» après «a» beaucoup plus rapidement que «g» après «s».

Les informations mises en cache par le processeur vous permettent également de juger de l'heure exacte des paquets envoyés par la carte réseau lors du traitement de connexions telles que SSH.

En générant un certain flux de trafic, un attaquant peut déterminer quand de nouvelles données apparaissent dans le cache associée à une certaine activité dans le système.

Pour analyser le contenu du cache, la méthode Prime + Probe est utilisée, qui consiste à remplir le cache avec un ensemble de valeurs de référence et à mesurer le temps d'accès à celles-ci lors du remplissage pour déterminer les changements.

Il est possible que la technique proposition peut être utilisé pour déterminer non seulement les frappes, mais aussi d'autres types de données sensibles mises en cache par le processeur.

Dans notre attaque, nous profitons du fait que le serveur d'applications compatible DDIO dispose d'une ressource partagée (le cache de dernier niveau) entre les cœurs du processeur et la carte réseau. Nous procédons à l'ingénierie inverse des propriétés importantes de DDIO pour comprendre comment le cache est partagé avec DDIO.

Une attaque peut potentiellement être menée lorsque RDMA est désactivé, mais sans RDMA, son efficacité est réduite et son exécution est considérablement compliquée.

Il est également possible d'utiliser DDIO pour organiser un canal de communication secret utilisé pour transférer des données après qu'un serveur a été compromis, en contournant les systèmes de sécurité.

source: https://www.vusec.net


Soyez le premier à commenter

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont marqués avec *

*

*

  1. Responsable des données : AB Internet Networks 2008 SL
  2. Finalité des données: Contrôle du SPAM, gestion des commentaires.
  3. Légitimation: votre consentement
  4. Communication des données: Les données ne seront pas communiquées à des tiers sauf obligation légale.
  5. Stockage des données: base de données hébergée par Occentus Networks (EU)
  6. Droits: à tout moment, vous pouvez limiter, récupérer et supprimer vos informations.