Een onderzoeker van het Britse securitybedrijf Pen Test Partners heeft een manier gevonden om data van een gecompromitteerd systeem via de kleurwaarden van pixels te exfiltreren. Volgens onderzoeker Alan Monie kunnen protocollen om op afstand toegang tot machines te krijgen, zoals RDP, soms zo zijn ingesteld dat het niet mogelijk is om bestanden te kopiëren.

Andere protocollen bieden niet eens de mogelijkheid om bestanden uit te wisselen. Het is echter mogelijk om de kleurwaarden van pixels te gebruiken voor het encoderen van data. Op deze manier is het mogelijk om op de gecompromitteerde machine het scherm met allerlei pixels te laten knipperen, terwijl de machine van de aanvaller deze informatie opslaat en vervolgens de data reconstrueert. In theorie zou er bij een beeldscherm met 1920×1080 pixels en 24- bit kleuren bijna 6MB aan data kunnen worden geëncodeerd.

Het RDP-protocol bleek de kleurinformatie echter niet nauwkeurig door te sturen, waardoor de geëncodeerde data beschadigd raakte. Monie besloot hierop enkele aanpassingen door te voeren en met compressiefouten rekening te houden. Zo slaagde hij erin om 3MB aan data in een aantal seconden te exfiltreren. De onderzoeker heeft de tool waarmee hij de test uitvoerde via GitHub beschikbaar gemaakt. Hieronder een video waarin het exfiltreren van de data wordt gedemonstreerd.

Video - Encoding data in pixel colour values for data exfiltration. Bron: YouTube