新的 RAMBO 攻击通过 RAM 无线电信号窃取隔离系统的数据

网络安全威胁不断演变，一种名为“RAMBO”攻击的新数据窃取方法构成了严重风险，甚至对隔离系统也是如此。这种复杂的技术由以色列内盖夫本·古里安大学的 Mordechai Guri 开发，允许攻击者使用隔离系统内存 (RAM) 发出的无线电信号窃取数据。让我们分析一下这意味着什么以及它如何影响网络安全。

什么是气隙系统？

隔离系统旨在在物理和逻辑上与任何外部网络（例如互联网）隔离。组织使用隔离作为一种安全措施来保护关键敏感数据免受网络威胁。然而，虽然隔离可以提高安全性，但它并不能使这些系统完全免受攻击。多年来，多个恶意软件家族（例如Stuxnet 、Fanny 和PlugX ）专门针对隔离系统。

RAMBO 攻击如何进行？

RAMBO 攻击（辐射内存总线振荡）利用 RAM 产生的电磁信号，以隔离的计算机为目标。其工作原理如下：

1. 恶意软件部署：攻击的第一步是使用恶意软件感染隔离系统。这可以通过受感染的 USB 驱动器、内部攻击或将恶意软件注入硬件或软件的供应链漏洞来实现。
2. 数据编码和信号传输：恶意软件安装后，会操纵系统的 RAM 生成编码的电磁信号。RAM 内的快速数据传输会产生微小的电磁波，这些电磁波可以以特定频率辐射数据。
3. 数据泄露：攻击者使用软件定义无线电 (SDR) 硬件和基本天线从最远 7 米（23 英尺）处捕获这些信号。恶意软件对敏感信息进行编码，例如加密密钥、生物特征数据、图像和击键，并通过这些无线电信号传输。泄露速率约为每秒 1,000 比特，虽然速度很慢，但足以泄露关键信息。

RAMBO 方法详解

RAMBO 是一种新型的气隙隐蔽通道通信。它利用了 RAM 的电磁辐射，这种辐射是由于数据传输时电压和电流的快速变化而产生的。这些辐射直接受到系统时钟速度和数据宽度等因素的影响。

通过仔细控制内存访问模式，攻击者可以生成二进制信号。然后攻击者可以使用 SDR 硬件和标准天线接收和解码该信号。这种方法背后的研究人员 Mordechai Guri 成功展示了这种攻击如何将数据从孤立系统泄露到附近的接收器。

隔离系统为何依然脆弱？

许多人认为，由于物理隔离系统与网络隔离，因此无法被攻击，但这次攻击证明事实并非如此。单靠物理隔离无法抵御 RAMBO 攻击等先进技术，这种攻击利用了可以通过无线方式观察和捕获的基本硬件行为。

虽然有数十种已记录的恶意软件针对隔离系统，但 RAMBO 具有独特的风险，因为它不需要直接物理访问即可窃取数据。攻击者只需用恶意软件感染系统，并拥有一个从短距离捕获电磁信号的设备即可。

针对 RAMBO 攻击的防御对策

值得庆幸的是，有一些对策可以帮助防御 RAMBO 式攻击：

1. 屏蔽和法拉第笼：将关键系统封闭在法拉第笼中可以阻挡电磁辐射，阻止信号传输。
2. 干扰和噪声发生器：部署电磁干扰器或噪声发生器可以干扰 RAM 发出的信号，使攻击者难以捕获清晰的数据。
3. 增强的恶意软件检测：加强隔离系统上的恶意软件检测协议有助于在威胁操纵 RAM 生成信号之前识别并消除威胁。
4. 减少电磁辐射：硬件制造商可以专注于设计减少电磁辐射的系统，使这些攻击更难成功。

最后的想法

RAMBO 攻击表明网络威胁的性质不断演变，证明即使是隔离系统也并非坚不可摧。了解这些攻击的工作原理是开发强大防御的关键。拥有高度敏感数据的组织应考虑实施信号屏蔽等保护措施并提高其恶意软件检测能力，以防范这种高级形式的数据盗窃。

如需了解更详细的见解和计算机安全方面的最新更新，请继续关注 EnigmaSoftware.com。通过强化您的系统并实施针对 RAMBO 攻击等新兴威胁的最佳防御措施，始终领先网络犯罪分子一步。