Er is een nieuwe side-channel-aanval ontdekt die radiosignalen uit het RAM-geheugen van een apparaat gebruikt als een mechanisme voor data-exfiltratie, wat een bedreiging vormt voor netwerken zonder vaste verbinding.
De techniek heeft de codenaam RAMBO door Dr. Mordechai Guri, hoofd van het Offensive Cyber Research Lab van de afdeling Software and Information Systems Engineering aan de Ben Gurion Universiteit in de Negev in Israël.
“Met behulp van door software gegenereerde radiosignalen kan malware gevoelige informatie coderen, zoals bestanden, afbeeldingen, keylogging, biometrische informatie en encryptiesleutels”, aldus Dr. Guri in een onlangs gepubliceerd onderzoeksrapport.
“Met software-defined radio (SDR) hardware en een simpele standaardantenne kan een aanvaller verzonden ruwe radiosignalen op afstand onderscheppen. De signalen kunnen vervolgens worden gedecodeerd en terugvertaald naar binaire informatie.”
In de loop der jaren heeft Dr. Guri verschillende mechanismen bedacht om vertrouwelijke gegevens uit offline netwerken te halen door gebruik te maken van Serial ATA-kabels (SATAn), MEMS-gyroscoop (GAIROSCOPE), LED’s op netwerkinterfacekaarten (ETHERLED) en dynamisch stroomverbruik (COVID-bit).
Enkele van de andere onconventionele benaderingen die de onderzoeker heeft bedacht, omvatten het lekken van gegevens uit air-gapped netwerken via verborgen akoestische signalen die worden gegenereerd door ventilatoren van de grafische verwerkingseenheid (GPU) (GPU-FAN), (ultra)sonische golven die worden geproduceerd door ingebouwde moederbordzoemers (EL-GRILLO) en zelfs printerdisplaypanelen en status-LED’s (PrinterLeak).
Vorig jaar demonstreerde Guri ook AirKeyLogger, een hardwareloze radiofrequentie-keyloggingaanval die de radiogolven van de voeding van een computer gebruikt om realtime toetsaanslaggegevens te exfiltreren naar een externe aanvaller.
“Om vertrouwelijke gegevens te lekken, worden de werkfrequenties van de processor gemanipuleerd om een patroon van elektromagnetische emissies van de power unit te genereren, gemoduleerd door toetsaanslagen,” merkte Guri op in de studie. “De toetsaanslaginformatie kan op afstanden van meerdere meters worden ontvangen via een RF-ontvanger of een smartphone met een eenvoudige antenne.”
Zoals altijd bij dit soort aanvallen is het nodig dat het netwerk met de airgapped technologie eerst op andere manieren wordt gecompromitteerd, zoals via een malafide insider, vergiftigde USB-sticks of een aanval op de toeleveringsketen. Hierdoor kan de malware het geheime kanaal voor gegevensexfiltratie activeren.
RAMBO vormt hierop geen uitzondering: de malware wordt gebruikt om RAM zodanig te manipuleren dat het radiosignalen op klokfrequenties kan genereren. Deze signalen worden vervolgens gecodeerd met behulp van Manchester-codering en verzonden, zodat ze op afstand kunnen worden ontvangen.
De gecodeerde gegevens kunnen toetsaanslagen, documenten en biometrische informatie bevatten. Een aanvaller aan de andere kant kan vervolgens SDR gebruiken om de elektromagnetische signalen te ontvangen, de gegevens te demoduleren en decoderen en de geëxfiltreerde informatie op te halen.
“De malware gebruikt elektromagnetische emissies van het RAM om de informatie te moduleren en naar buiten te verzenden,” zei Dr. Guri. “Een externe aanvaller met een radio-ontvanger en antenne kan de informatie ontvangen, demoduleren en decoderen naar de oorspronkelijke binaire of tekstuele representatie.”
Uit het onderzoek bleek dat de techniek gebruikt kon worden om data te lekken van computers met een air-gapped Intel i7 3,6GHz CPU en 16 GB RAM met een snelheid van 1000 bits per seconde. Toetsaanslagen werden in realtime geregistreerd met 16 bits per toets.
“Een 4096-bits RSA-encryptiesleutel kan worden geëxfiltreerd met 41,96 seconden op een lage snelheid en 4,096 bits op een hoge snelheid,” aldus Dr. Guri. “Biometrische informatie, kleine bestanden (.jpg) en kleine documenten (.txt en .docx) hebben 400 seconden nodig op de lage snelheid tot een paar seconden op de hoge snelheid.”
“Dit geeft aan dat het geheime RAMBO-kanaal gebruikt kan worden om relatief korte informatie te lekken over een korte periode.”
Tegenmaatregelen om de aanval te blokkeren zijn onder meer het opleggen van beperkingen in de ‘rood-zwarte’ zone voor informatieoverdracht, het gebruik van een inbraakdetectiesysteem (IDS), het bewaken van de geheugentoegang op hypervisorniveau, het gebruik van radiojammers om draadloze communicatie te blokkeren en het gebruik van een kooi van Faraday.