新的 RAMBO 攻擊透過 RAM 無線電訊號從氣隙系統竊取數據

網路安全威脅不斷演變，一種稱為「RAMBO」攻擊的新資料竊取方法構成了嚴重風險，甚至對氣隙系統也是如此。這項複雜的技術由以色列內蓋夫本古里安大學的 Mordechai Guri 開發，允許攻擊者使用隔離系統的記憶體 (RAM) 發出的無線電訊號來竊取資料。讓我們來分析一下這意味著什麼以及它如何影響網路安全。

什麼是氣隙系統？

氣隙系統被設計為在物理和邏輯上與任何外部網路（例如網際網路）分離。組織使用氣隙作為安全措施來保護關鍵和敏感資料免受網路威脅。然而，雖然氣隙提高了安全性，但它並不能使這些系統完全免受攻擊。多年來，多個惡意軟體系列（例如Stuxnet 、Fanny 和PlugX ）專門針對氣隙系統。

RAMBO 攻擊如何運作？

RAMBO 攻擊（輻射記憶體匯流排振盪）透過利用 RAM 產生的電磁訊號來針對氣隙電腦。它的工作原理如下：

1. 惡意軟體部署：攻擊的第一步是用惡意軟體感染氣隙系統。這種情況可能是由於 USB 驅動器受損、內部攻擊或將惡意軟體注入硬體或軟體的供應鏈漏洞所造成的。
2. 資料編碼和訊號傳輸：一旦安裝惡意軟體，它就會操縱系統的 RAM 來產生編碼的電磁訊號。 RAM 內資料的快速傳輸會產生微小的電磁波，可以以特定頻率輻射資料。
3. 資料外洩：攻擊者使用軟體定義無線電 (SDR) 硬體和基本天線從最遠 7 公尺（23 英尺）外捕獲這些訊號。該惡意軟體對敏感資訊進行編碼，例如加密金鑰、生物辨識資料、影像和擊鍵，這些資訊透過這些無線電訊號傳輸。滲透率約為每秒 1,000 位，儘管速度較慢，但足以洩露關鍵資訊。

RAMBO 方法詳細信息

RAMBO 是一種新穎的氣隙隱蔽通道通訊形式。它利用 RAM 的電磁輻射，這種電磁輻射是由於資料傳輸時電壓和電流的快速變化而產生的。這些發射直接受到系統時鐘速度和資料寬度等因素的影響。

透過仔細控制記憶體存取模式，攻擊者可以產生二進位訊號。然後攻擊者可以使用 SDR 硬體和標準天線接收並解碼該訊號。這種方法背後的研究人員 Mordechai Guri 成功地展示了這種攻擊如何將資料從孤立的系統洩漏到附近的接收器。

氣隙系統為何仍脆弱？

許多人認為氣隙系統由於與網路隔離而無法觸及，但這次攻擊證明事實並非如此。僅靠物理隔離無法防範 RAMBO 攻擊等先進技術，該攻擊利用了可無線觀察和捕獲的基本硬體行為。

雖然有數十種針對氣隙系統的惡意軟體菌株已記錄在案，但 RAMBO 帶來了獨特的風險，因為它不需要直接實體存取來竊取資料。攻擊者只需要用惡意軟體感染系統並擁有可以近距離捕獲電磁訊號的設備即可。

針對 RAMBO 攻擊的防禦對策

值得慶幸的是，有一些對策可以幫助防禦 RAMBO 式的攻擊：

1. 屏蔽和法拉第籠：將關鍵系統封閉在法拉第籠中可以阻擋電磁輻射，防止訊號傳輸。
2. 幹擾與雜訊產生器：部署電磁幹擾器或雜訊產生器會幹擾 RAM 發出的訊號，使攻擊者難以擷取清晰的資料。
3. 增強的惡意軟體偵測：加強氣隙系統上的惡意軟體偵測協定可以幫助在威脅操縱 RAM 產生訊號之前識別並消除威脅。
4. 減少電磁輻射：硬體製造商可以專注於設計減少電磁輻射的系統，使這些攻擊更難成功。

最後的想法

RAMBO 攻擊展示了網路威脅不斷演變的性質，證明即使是氣隙系統也並非無懈可擊。了解這些攻擊的工作原理是發展強大防禦的關鍵。擁有高度敏感資料的組織應考慮實施訊號屏蔽等保護措施，並提高其惡意軟體偵測能力，以防範這種進階形式的資料竊取。

有關電腦安全的更詳細見解和最新更新，請繼續關注 EnigmaSoftware.com。透過強化您的系統並針對 RAMBO 攻擊等新興威脅實施最佳防禦，始終領先網路犯罪分子一步。