Neuer RAMBO-Angriff stiehlt Daten aus Air-Gapped-Systemen über RAM-Funksignale

Von Mura in Computersicherheit

Übersetzen Sie in:

Die Bedrohungen für die Cybersicherheit entwickeln sich ständig weiter, und eine neue Methode des Datendiebstahls, der sogenannte „RAMBO“-Angriff, stellt sogar für Air-Gap-Systeme ein ernstes Risiko dar. Diese ausgeklügelte Technik, die von Mordechai Guri von der Ben-Gurion-Universität des Negev in Israel entwickelt wurde, ermöglicht es Angreifern, Daten mithilfe von Funksignalen zu exfiltrieren, die vom Speicher (RAM) isolierter Systeme ausgesendet werden. Lassen Sie uns aufschlüsseln, was dies bedeutet und wie es sich auf die Cybersicherheit auswirkt.

Inhaltsverzeichnis

Was ist ein Air-Gapped-System?

Air-Gapped-Systeme sind so konzipiert, dass sie physisch und logisch von externen Netzwerken wie dem Internet getrennt sind. Unternehmen nutzen Air-Gapping als Sicherheitsmaßnahme, um kritische und vertrauliche Daten vor Cyberbedrohungen zu schützen. Obwohl Air-Gapping die Sicherheit verbessert, macht es diese Systeme jedoch nicht völlig immun gegen Angriffe. Im Laufe der Jahre haben mehrere Malware-Familien , wie Stuxnet , Fanny und PlugX , gezielt Air-Gapped-Systeme ins Visier genommen.

Wie funktioniert der RAMBO-Angriff?

Der RAMBO-Angriff (Radiated Memory Bus Oscillations) zielt auf Computer mit Air-Gap-Schutz ab, indem er elektromagnetische Signale ausnutzt, die von ihrem RAM erzeugt werden. So funktioniert es:

Bereitstellung von Malware : Der erste Schritt des Angriffs besteht darin, das Air-Gap-System mit Malware zu infizieren. Dies kann über ein kompromittiertes USB-Laufwerk, einen Insider-Angriff oder eine Schwachstelle in der Lieferkette geschehen, die die Malware in die Hardware oder Software einschleust.
Datenkodierung und Signalübertragung : Sobald die Malware installiert ist, manipuliert sie den RAM des Systems, um kodierte elektromagnetische Signale zu erzeugen. Die schnelle Datenübertragung im RAM erzeugt winzige elektromagnetische Wellen, die Daten auf bestimmten Frequenzen ausstrahlen können.
Datenexfiltration : Angreifer verwenden Software-Defined Radio (SDR)-Hardware und eine einfache Antenne, um diese Signale aus einer Entfernung von bis zu 7 Metern (23 Fuß) abzufangen. Die Malware kodiert vertrauliche Informationen wie Verschlüsselungsschlüssel, biometrische Daten, Bilder und Tastatureingaben, die über diese Funksignale übertragen werden. Die Exfiltrationsrate beträgt etwa 1.000 Bits pro Sekunde, was zwar langsam ist, aber mehr als ausreicht, um kritische Informationen durchsickern zu lassen.

Die RAMBO-Methode im Detail

RAMBO ist eine neuartige Form der Air-Gap-Covered-Channel-Kommunikation. Dabei werden die elektromagnetischen Emissionen des RAM genutzt, die durch schnelle Spannungs- und Stromschwankungen bei der Datenübertragung entstehen. Diese Emissionen werden direkt von Faktoren wie der Taktfrequenz und der Datenbreite des Systems beeinflusst.

Durch sorgfältige Kontrolle der Speicherzugriffsmuster kann der Angreifer ein binäres Signal erzeugen. Dieses Signal kann der Angreifer dann mithilfe von SDR-Hardware und einer Standardantenne empfangen und dekodieren. Der Forscher hinter dieser Methode, Mordechai Guri, hat erfolgreich demonstriert, wie dieser Angriff Daten von isolierten Systemen an nahe gelegene Empfänger weitergeben kann.

Warum sind Air-Gapped-Systeme immer noch anfällig?

Viele glauben, dass Air-Gap-Systeme aufgrund ihrer Isolation von Netzwerken unantastbar sind, aber dieser Angriff beweist das Gegenteil. Physische Isolation allein kann nicht vor fortgeschrittenen Techniken wie dem RAMBO-Angriff schützen, der grundlegende Hardware-Verhaltensweisen ausnutzt, die drahtlos beobachtet und erfasst werden können.

Während es Dutzende dokumentierter Malware-Stämme gibt, die auf Air-Gap-Systeme abzielen, stellt RAMBO ein einzigartiges Risiko dar, da es keinen direkten physischen Zugriff erfordert, um Daten zu exfiltrieren. Der Angreifer muss das System lediglich mit der Malware infizieren und über ein Gerät verfügen, um die elektromagnetischen Signale aus kurzer Entfernung zu erfassen.

Defensive Gegenmaßnahmen gegen RAMBO-Angriffe

Glücklicherweise gibt es Gegenmaßnahmen, die bei der Abwehr von RAMBO-Angriffen helfen können:

Abschirmung und Faradaysche Käfige : Das Einschließen kritischer Systeme in Faradaysche Käfige kann elektromagnetische Emissionen blockieren und so die Signalübertragung verhindern.
Störsender und Rauschgeneratoren : Der Einsatz elektromagnetischer Störsender oder Rauschgeneratoren kann die vom RAM ausgesendeten Signale stören und es Angreifern erschweren, klare Daten abzufangen.
Verbesserte Malware-Erkennung : Die Stärkung der Malware-Erkennungsprotokolle auf Air-Gapped-Systemen kann dazu beitragen, Bedrohungen zu identifizieren und zu beseitigen, bevor diese den RAM manipulieren können, um Signale zu generieren.
Reduzierung elektromagnetischer Emissionen : Hardwarehersteller können sich auf die Entwicklung von Systemen mit reduzierten elektromagnetischen Emissionen konzentrieren, wodurch es für diese Angriffe schwieriger wird, erfolgreich zu sein.

Abschließende Gedanken

Der RAMBO-Angriff veranschaulicht die sich entwickelnde Natur von Cyberbedrohungen und beweist, dass selbst Air-Gap-Systeme nicht unverwundbar sind. Das Verständnis der Funktionsweise dieser Angriffe ist der Schlüssel zur Entwicklung robuster Abwehrmaßnahmen. Organisationen mit hochsensiblen Daten sollten die Implementierung von Schutzmaßnahmen wie Signalabschirmung und die Verbesserung ihrer Malware-Erkennungsfunktionen in Betracht ziehen, um sich vor dieser fortschrittlichen Form des Datendiebstahls zu schützen.

Weitere Informationen und die neuesten Updates zur Computersicherheit erhalten Sie auf EnigmaSoftware.com. Bleiben Sie den Cyberkriminellen immer einen Schritt voraus, indem Sie Ihre Systeme stärken und die besten Abwehrmaßnahmen gegen neue Bedrohungen wie den RAMBO-Angriff implementieren.

SpyHunter für Windows von EnigmaSoft erhält AV-TEST-Zertifizierung

Suche

Region ändern