已发现一种新型侧信道攻击,它利用设备的随机存取存储器 (RAM) 发出的无线电信号作为数据泄露机制,对气隙网络构成威胁。
以色列内盖夫本古里安大学软件和信息系统工程系进攻性网络研究实验室的负责人 Mordechai Guri 博士将这项技术的代号命名为 RAMBO。
“恶意软件使用软件生成的无线电信号,可以对敏感信息进行编码,例如文件、图像、键盘记录、生物识别和加密密钥,”Guri 博士在新发表的一篇研究论文中说。
“借助软件定义无线电 (SDR) 硬件和简单的现成天线,攻击者可以从远处拦截传输的原始无线电信号。然后可以解码信号并将其转换回二进制信息。
多年来,Guri 博士利用串行 ATA 电缆 (SATAn)、MEMS 陀螺仪 (GAIROSCOPE)、网络接口卡上的 LED (ETHERLED) 和动态功耗 (COVID-bit) ,设计了各种机制来从离线网络中提取机密数据。
研究人员设计的其他一些非常规方法需要通过图形处理单元 (GPU) 风扇 (GPU-FAN) 产生的隐蔽声学信号、内置主板蜂鸣器 (EL-GRILLO) 产生的(超声波),甚至打印机显示面板和状态 LED (PrinterLeak) 产生的隐蔽声音信号,从气隙网络中泄漏数据。
去年,Guri 还演示了 AirKeyLogger,这是一种无硬件射频键盘记录攻击,它将计算机电源的无线电发射武器化,以将实时击键数据泄露给远程攻击者。
“为了泄露机密数据,处理器的工作频率纵,以从电源单元产生一种由击键调制的电磁辐射模式,”Guri 在研究中指出。“可以通过 RF 接收器或带有简单天线的智能手机在几米远的距离内接收击键信息。”
与此类攻击一样,它要求首先通过其他方式(例如流氓内部人员、中毒的 USB 驱动器或供应链攻击)破坏气隙网络,从而允许恶意软件触发隐蔽的数据泄露渠道。
RAMBO 也不例外,因为该恶意软件用于操纵 RAM,使其可以生成时钟频率的无线电信号,然后使用曼彻斯特编码进行编码并传输,以便从远处接收。
编码数据可以包括击键、文档和生物识别信息。然后,另一端的攻击者可以利用 SDR 接收电磁信号,解调和解码数据,并检索泄露的信息。
“该恶意软件利用来自 RAM 的电磁辐射来调制信息并将其向外传输,”Guri 博士说。“拥有无线电接收器和天线的远程攻击者可以接收信息,解调信息,并将其解码为原始二进制或文本表示形式。”
研究发现,该技术可用于以每秒 1,000 位的速度从运行 Intel i7 3.6GHz CPU 和 16 GB RAM 的气隙计算机中泄露数据,每个键 16 位的击键被实时泄露。
“4096 位 RSA 加密密钥可以在 41.96 秒的低速和 4.096 位的高速下泄露,”Guri 博士说。“生物识别信息、小文件 (.jpg) 和小文档(.txt 和 .docx)在低速时需要 400 秒,在快速时需要几秒钟。”
“这表明 RAMBO 隐蔽通道可用于在短时间内泄露相对简短的信息。”
阻止攻击的对策包括对信息传输实施“红黑”区域限制、使用入侵检测系统 (IDS)、监控虚拟机管理程序级内存访问、使用无线电干扰器阻止无线通信以及使用法拉第笼。