隔离网络攻击新高度!RAMBO攻击利用隔离计算机中的RAM窃取数据
2024-9-9 17:4:34 Author: mp.weixin.qq.com(查看原文) 阅读量:0 收藏

研究人员在9月3日预发表的一篇论文中揭示了一种创新的攻击技术,该技术能够从物理隔离的计算机系统中窃取信息。这些系统通常被认为是安全的,因为它们不与任何外部网络相连。然而,研究显示,恶意软件能够利用被感染计算机的内存总线(RAM)产生无线电信号,从而绕过传统的安全防护措施。这种攻击方法允许恶意软件对各种敏感信息进行编码,包括文件、图像、键盘记录、生物识别数据和加密密钥,并通过无线电信号传输。攻击者可以利用软件定义的无线电(SDR)设备和普通的天线,从远距离截获这些信号,并将它们解码还原为二进制数据。论文中不仅讨论了这种攻击的设计和实现,还展示了相关的研究工作和评估结果。研究人员提出了一种能够以每秒1000比特的速度从气隙隔离计算机中泄露数据的快速修改方法。此外,为了应对这种新型的突破气隙隔离的威胁,论文还提出了一系列有效的防范对策。

背景及概述
尽管气隙隔离网络被认为具有高度的安全性,但已有事件表明,气隙隔离网络并非不受入侵的威胁。Stuxnet是最著名的空气隔离恶意软件之一。2010年发现的 Stuxnet是一种高度复杂的蠕虫,它针对工业控制系统(ICS),特别是那些用于核设施的系统。它利用零日漏洞,并使用包括感染的USB驱动器在内的几种方法,跳过气隙隔离并在隔离的网络中传播。Agent.BTZ蠕虫是另一种具有高级能力和针对性的空气隔离计算机蠕虫。它专门设计用于通过可移动媒体(如USB闪存驱动器)传播,并渗透到计算机网络中,包括高度安全或空气隔离的网络。据报道,这种蠕虫影响了美国国防部的机密网络。值得注意的是,除了知名的Stuxnet、Flametffu,过去有超过二十多种报告的恶意软件是专门攻击高度安全和气隙隔离网络的,比如SBStealer、Agent.BTZ、Fanny、MiniFlame、Gauss、ProjectSauron、EZCheese、Emotional Simian、USB Thief、USBFerry、Retro和Ramsay。
古里安大学软件和信息系统工程系访的研究团队,专注研究侧信道攻击,其网站上(https://www.covertchannels.com/)列出的针对物理隔离网络(即侧信道攻击)中常用的攻击手段和所利用的介质可以归纳为如下几类:
声学信道攻击:通过硬盘、风扇等设备发出的声音。
电磁辐射泄露:利用设备发出的电磁信号。
热能泄露:通过处理器或其他组件产生的热量变化进行攻击。
电源功率分析:监测设备的功耗变化。
光信号攻击:利用设备LED灯发出的光信号。
磁场泄露:通过设备产生的磁场进行数据提取。
以色列本古里安大学的研究人员最近发布的研究成果显示,一种被称为“RAMBO”(用于攻击的隔离内存总线)的新型侧信道攻击会从设备的RAM中产生电磁辐射,以从隔离的计算机发送数据。内存总线操作连接CPU到内存模块的电路线或通道。这些通道在CPU和RAM之间传输数据、指令和地址。内存总线包括各种组件,数据总结、地址总结、控制线路。
隔离系统通常用于对安全性要求极高的关键任务环境,例如政府、武器系统和核电站,与公共互联网和其他网络隔离,以防止恶意软件感染和数据盗窃。
尽管这些系统没有连接到更广泛的网络,但它们仍然可能受到通过物理介质(如USB驱动器)引入恶意软件的恶意员工的感染或国家支持的威胁行为者发起的复杂供应链攻击。
该恶意软件可以秘密运行,调节隔离系统的RAM组件,从而将机密从计算机传输到附近的接收者。
属于此类攻击的最新方法来自以色列本古里安大学的软件和信息系统工程系的研究人员,其领导团队是Mordechai Guri,他是隐蔽攻击通道方面的资深专家,之前曾开发出使用网卡 LED、USB驱动器、RF信号、SATA电缆和电源泄露数据的方法。
RAMBO攻击的原理
为了实施Rambo攻击,攻击者会在隔离的计算机上植入恶意软件,以收集敏感数据并准备传输。它通过操纵内存访问模式(内存总线上的读/写操作)从设备的RAM产生受控的电磁辐射来传输数据。

攻击演示。一台空气隔离工作站处理一张秘密图像。RAMBO隐蔽信道攻击通过电磁波传输图像。远程攻击者截获信息并恢复秘密图像。
这些发射本质上是恶意软件在RAM内快速切换电信号(开关键控“OOK”)的副产品,该过程不会受到安全产品的主动监控,也无法被标记或停止。
执行OOK调制的代码
发射的数据被编码为“1”和“0”,在无线电信号中表示为“开”和“关”。研究人员选择使用曼彻斯特编码来增强错误检测并确保信号同步,从而减少接收端出现错误解释的可能性。
攻击者可能会使用带有天线的相对便宜的软件定义无线电(SDR)来拦截调制的电磁辐射并将其转换回二进制信息。

“DATA”字样的信号
RAMBO攻击的性能及局限性
RAMBO攻击实现的数据传输速率高达1,000比特每秒(bps),相当于每秒125字节或0.125KB/s。
按照这个速度,窃取1MB的数据大约需要2.2小时,因此RAMBO更适合窃取文本、按键和小文件等少量数据。
研究人员在测试攻击时发现,键盘记录可以实时进行。但是,窃取口令需要0.1到1.28秒,窃取 4096位RSA密钥需要4到42秒,而窃取小图像则需要25到250秒,具体取决于传输速度。

数据传输速度
快速传输的最大范围为300厘米(10英尺),误码率为2-4%。中速传输可将距离增加到450厘米(15英尺),同时误码率相同。最后,误码率几乎为零的慢速传输可以在长达7米(23英尺)的距离内可靠工作。
研究人员还尝试了高达10,000bps的传输速度,但发现超过5,000bps的任何速度都会导致信噪比非常低,从而影响有效的数据传输。
RAMBO攻击的防范
Arxiv上发表的技术论文提供了几项缓解建议来减轻RAMBO攻击和类似的基于电磁的隐蔽通道攻击,但它们都引入了各种开销。

防范措施及缺陷
建议包括严格的区域限制以增强物理安全防御、RAM干扰以破坏源头的隐蔽通道、外部EM扰以破坏无线电信号,以及法拉第外壳以阻止气隙系统向外发出EM辐射。
研究人员针对虚拟机内运行的敏感进程测试了RAMBO,发现它仍然有效。
然而,由于主机的内存容易与主机操作系统和其他虚拟机发生各种交互,因此攻击可能会很快被阻止。
小结
研究人员提出了一种空气隔离隐蔽信道攻击,允许攻击者从隔离的计算机中窃取敏感数据。研究人员展示了感染计算机中的恶意代码可以操纵内存操作,并从内存总线生成无线电信号。通过精确控制与内存相关的指令,可以在电磁波上编码和调制任意信息。拥有软件定义无线电(SDR)的攻击者可以接收信息,解调它,并做出决定。研究人员展示了这种方法可以用来窃取任意类型的信息,如键盘记录、文件、图像、生物识别数据等。研究人员提出了架构和实现,提供了评估结果,并讨论了预防性对策。通过这种方法,攻击者可以将数据从高度隔离的空气隔离计算机泄露到附近的接收器,比特率可达每秒数百比特。
参考资源
1、https://www.bleepingcomputer.com/news/security/new-rambo-attack-steals-data-using-ram-in-air-gapped-computers/
2、https://arxiv.org/pdf/2409.02292

文章来源: https://mp.weixin.qq.com/s?__biz=MzUzNDYxOTA1NA==&mid=2247546821&idx=3&sn=9b160607eeeaf5f8083e6d67ec88f3e7&chksm=fa938104cde40812686588309fcec849c784167e53ce50ecc4c30949c8b35d8cc6be13fd3841&scene=58&subscene=0#rd
如有侵权请联系:admin#unsafe.sh