新しい RAMBO 攻撃は、隔離されたネットワーク コンピュータの RAM を悪用してデータを盗みます

「RAMBO」（攻撃用のエアギャップメモリ​​バスの放射）と呼ばれる新しいサイドチャネル攻撃は、デバイスのRAMを介して電磁放射を生成し、隔離されたネットワーク上のコンピュータからデータを送信します。

ネットワークを分離するシステムは通常、政府、兵器システム、原子力発電所などのミッションクリティカルな高セキュリティ環境で使用されます。これらは公共のインターネットやその他のネットワークから隔離されており、マルウェアの感染やデータ漏洩を防ぐように設計されています。

これらのシステムはより広範なネットワークに接続されていませんが、内部従業員によって導入された物理メディア (USB ドライブなど) や国家主体による高度なサプライ チェーン攻撃を通じてマルウェアに感染する可能性があります。

このマルウェアは秘密裏に動作し、隔離されたシステムの RAM コンポーネントを変調し、コンピュータからの機密情報が近くの受信者に送信されることを可能にします。

この種の攻撃の最新の手法は、ネットワーク カード LED、USB ドライブ RF 信号、SATA ケーブル、電源の使用法を開発した秘密攻撃チャネルの豊富な経験を持つ専門家、モルデチャイ グリ率いるイスラエルの大学の研究者によってもたらされました。データを抜き出すこと。

RAMBO 攻撃の仕組み

RAMBO 攻撃を実行するには、攻撃者はまず隔離されたネットワーク上のコンピュータにマルウェアを仕掛け、機密データを収集して送信の準備をします。データは、メモリ アクセス パターン (メモリ バス上の読み取りおよび書き込み操作) を操作して、デバイスの RAM から制御された電磁放射を生成することによって転送されます。

これらの放出は基本的に、RAM 内の電気信号を急速に切り替えるマルウェア (オン/オフ キーイング「OOK」) の副産物であり、セキュリティ製品が積極的に監視できないプロセスであるため、フラグを立てたりブロックしたりすることはできません。

OOK 変調を実行するコード

OOK 変調を実行するコード

送信されるデータは「1」と「0」としてエンコードされ、無線信号では「オン」と「オフ」で表されます。研究者らは、エラー検出を強化し、信号の同期を確保し、受信側での誤解釈の可能性を減らすためにマンチェスター符号化を選択しました。

攻撃者は、比較的安価なソフトウェア無線 (SDR) とアンテナを使用して、変調された電磁放射を傍受し、バイナリ情報に変換し直すことができます。

「DATA」という単語の信号

「DATA」という言葉の電磁信号

パフォーマンスと制限事項

RAMBO 攻撃の最大データ転送速度は 1000 ビット/秒 (bps) で、これは 128 バイト/秒、つまり 0.125KB/秒に相当します。

この速度で 1MB のデータを転送するには約 2.2 時間かかるため、RAMBO はテキスト、キーストローク ログ、小さなファイルなどの少量のデータを盗むのに適しています。

研究者らは、攻撃のテスト中にキーストロークがリアルタイムで記録される可能性があることを発見しました。ただし、通信速度に応じて、パスワードを盗むのに 0.1 ～ 1.28 秒、4096 ビット RSA キーを盗むのに 4 ～ 42 秒、小さな画像を盗むのに 25 ～ 250 秒かかります。

データ転送速度

データ転送速度

高速伝送の最大到達距離は 300 cm (1 フィート)、ビット エラー率は 2 ～ 4% です。中速伝送では、同じエラー率で距離を 450 cm (1.5 フィート) まで延長できます。最後に、エラー率がほぼゼロの低速伝送は、最大 7 メートル (23 フィート) の距離でも確実に機能します。

研究者らはまた、最大 10,000 ビット/秒の送信も試しましたが、5,000 ビット/秒を超えると、信号対雑音比が低すぎて効率的なデータ送信ができないことがわかりました。

ランボーをブロックする方法

Arxiv で公開された技術論文では、RAMBO 攻撃や同様の電磁的秘密チャネル攻撃を軽減するためのいくつかの推奨事項が示されていますが、これらの対策ではさまざまなオーバーヘッドが発生します。

推奨事項には、物理​​的防御を強化するための厳格なエリア制限、ソースでの秘密チャネルを遮断するための RAM ジャミング、無線信号を妨害するための外部電磁干渉、および絶縁システムが電磁波を外部に放射するのを防ぐためのファラデー ケージが含まれます。

研究者らはまた、仮想マシンで実行されている機密プロセスに対する RAMBO の攻撃効果をテストし、その結果、攻撃がまだ有効であることが示されました。

ただし、ホスト メモリはホスト オペレーティング システムや他の仮想マシンとのさまざまな相互作用の影響を受けやすいため、このような攻撃はすぐに中断される可能性があります。 (@bleepingcomputer)