网络通信 频道

新型RAMBO攻击利用RAM无线电信号窃取隔离网络数据

  研究人员发现了一种新型侧信道攻击方式,该方式利用设备随机存取存储器(RAM)发出的无线电信号作为数据泄露机制,对隔离网络构成威胁。

  以色列内盖夫本·古里安大学软件与信息系统工程系网络攻击研究实验室主任莫德凯·古里博士将这种技术命名为RAMBO。

  古里博士在最新发表的研究论文中指出:“利用软件生成的无线电信号,恶意软件可以编码敏感信息,如文件、图像、键盘记录、生物识别信息和加密密钥。”

  “通过软件定义无线电(SDR)硬件和一个简单的现成天线,攻击者可以从远处拦截传输的原始无线电信号。然后,这些信号可以被解码并转换回二进制信息。”

  多年来,古里博士已经设计了多种机制,利用串行ATA电缆(SATAn)、微机电系统陀螺仪(GAIROSCOPE)、网络接口卡上的LED灯(ETHERLED)和动态功耗(COVID-bit)等手段,从离线网络中提取机密数据。

  研究者还设计了其他一些非传统方法,包括通过图形处理单元(GPU)风扇产生的隐蔽声学信号(GPU-FAN)、内置主板蜂鸣器产生的(超)声波(EL-GRILLO),甚至打印机显示屏和状态LED灯(PrinterLeak)来泄露隔离网络中的数据。去年,古里还展示了AirKeyLogger,这是一种无需硬件的射频键盘记录攻击,它利用计算机电源的无线电辐射来实时窃取按键数据并将其传输给远程攻击者。

  古里在研究中指出:“为了泄露机密数据,处理器的工作频率被操纵以产生由按键调制的电源单元的电磁辐射模式。通过射频接收器或带有简单天线的智能手机,可以在几米外的距离接收按键信息。”

  与这类攻击一样,它首先需要以其他方式(如恶意内部人员、中毒的USB驱动器或供应链攻击)破坏隔离网络,从而使恶意软件能够触发隐蔽的数据泄露通道。

  RAMBO也不例外,恶意软件被用来操纵RAM,使其能够在时钟频率下生成无线电信号,这些信号随后使用曼彻斯特编码进行编码并传输,以便从远处接收。

  编码的数据可以包括按键、文档和生物识别信息。另一端的攻击者可以利用SDR接收电磁信号,解调并解码数据,从而检索泄露的信息。古里博士表示:“恶意软件利用RAM的电磁辐射来调制信息并将其向外传输。远程攻击者可以使用带有天线的无线电接收器接收信息,对其进行解调并解码成原始的二进制或文本表示。”

  研究发现,该技术可用于以每秒1000比特的速度从运行Intel i7 3.6GHz CPU和16GB RAM的隔离计算机中泄露数据,实时泄露按键信息,每个按键16比特。

  古里博士说:“一个4096位的RSA加密密钥可以在低速下用41.96秒泄露,在高速下用4.096秒。生物识别信息、小文件(.jpg)和小文档(.txt和.docx)在低速下需要400秒,在高速下只需几秒钟。‘这表明RAMBO隐蔽通道可用于在短时间内泄露相对简短的信息。’”

  阻止此类攻击的对策包括实施“红黑”区域信息传输限制、使用入侵检测系统(IDS)、监控超级管理程序级别的内存访问、使用无线电干扰器阻断无线通信。

0
相关文章