Se ha descubierto un nuevo ataque de canal lateral que aprovecha las señales de radio emitidas por la memoria de acceso aleatorio (RAM) de un dispositivo como mecanismo para exfiltrar datos, lo que representa una amenaza para las redes aisladas.
La técnica ha sido bautizada como RAMBO (acrónimo de “Radiación del Bus de Memoria Aislada para Ofensiva”) por el Dr. Mordechai Guri, jefe del Laboratorio de Investigación Cibernética Ofensiva en el Departamento de Ingeniería de Software y Sistemas de Información de la Universidad Ben Gurion del Negev en Israel.
“Mediante señales de radio generadas por software, el malware puede codificar información sensible como archivos, imágenes, registros de teclas, información biométrica y claves de cifrado”, explicó el Dr. Guri en un artículo de investigación recién publicado.
“Con un hardware de radio definido por software (SDR) y una simple antena comercial, un atacante puede interceptar las señales de radio crudas transmitidas desde una distancia. Las señales pueden decodificarse y traducirse nuevamente en información binaria”.
A lo largo de los años, el Dr. Guri ha ideado varios mecanismos para extraer datos confidenciales de redes desconectadas, aprovechando cables Serial ATA (SATAn), giroscopios MEMS (GAIROSCOPE), luces LED en tarjetas de red (ETHERLED) y consumo de energía dinámico (COVID-bit).
Algunas de las otras técnicas no convencionales desarrolladas por el investigador incluyen la filtración de datos desde redes aisladas a través de señales acústicas encubiertas generadas por los ventiladores de las unidades de procesamiento gráfico (GPU-FAN), ondas (ultra)sonoras producidas por los zumbadores de las placas base (EL-GRILLO), e incluso los paneles de visualización de impresoras y sus LEDs de estado (PrinterLeak).
El año pasado, el Dr. Guri también demostró AirKeyLogger, un ataque de registro de teclas por radiofrecuencia sin hardware que aprovecha las emisiones de radio de la fuente de alimentación de una computadora para exfiltrar en tiempo real los datos de las pulsaciones de teclas a un atacante remoto.
“Para filtrar datos confidenciales, las frecuencias de trabajo del procesador se manipulan para generar un patrón de emisiones electromagnéticas desde la unidad de energía, moduladas por las pulsaciones de teclas”, explicó el Dr. Guri en el estudio. “La información de las teclas se puede recibir a varios metros de distancia mediante un receptor de RF o un smartphone con una antena sencilla”.
Como siempre con este tipo de ataques, primero es necesario comprometer la red aislada por otros medios, como un infiltrado desleal, unidades USB infectadas o un ataque a la cadena de suministro, lo que permite al malware activar el canal de exfiltración encubierta de datos.
RAMBO no es una excepción, ya que el malware se usa para manipular la RAM de manera que pueda generar señales de radio a frecuencias de reloj, que luego se codifican utilizando la codificación Manchester y se transmiten para ser recibidas a distancia.
Los datos codificados pueden incluir pulsaciones de teclas, documentos e información biométrica. Un atacante puede usar SDR para recibir las señales electromagnéticas, demodular y decodificar los datos, y recuperar la información exfiltrada.
“El malware utiliza las emisiones electromagnéticas de la RAM para modular la información y transmitirla hacia el exterior”, dijo el Dr. Guri. “Un atacante remoto con un receptor de radio y una antena puede recibir la información, demodularla y decodificarla a su representación binaria o textual original”.
La técnica podría usarse para filtrar datos de computadoras aisladas que ejecutan CPUs Intel i7 de 3.6GHz y 16 GB de RAM a 1,000 bits por segundo, según la investigación, permitiendo exfiltrar pulsaciones de teclas en tiempo real a 16 bits por tecla.
“Una clave de cifrado RSA de 4,096 bits puede exfiltrarse en 41.96 segundos a baja velocidad y a 4.096 bits a alta velocidad”, explicó el Dr. Guri. “La información biométrica, archivos pequeños (.jpg) y documentos pequeños (.txt y .docx) requieren 400 segundos a baja velocidad y unos pocos segundos a alta velocidad”.
“Esto indica que el canal encubierto RAMBO puede usarse para filtrar información relativamente breve en un periodo corto de tiempo”.
Las contramedidas para bloquear el ataque incluyen imponer restricciones de zonas “rojas-negras” para la transferencia de información, usar un sistema de detección de intrusos (IDS), monitorear el acceso a la memoria a nivel del hipervisor, usar bloqueadores de radio para bloquear las comunicaciones inalámbricas y emplear una jaula de Faraday.
Mira el video acá
A new side-channel attack has been discovered that exploits radio signals emitted by a device’s random access memory (RAM) as a data exfiltration method, posing a threat to air-gapped networks.
The technique has been dubbed RAMBO (short for “Radiation of Air-gapped Memory Bus for Offense”) by Dr. Mordechai Guri, head of the Offensive Cyber Research Lab at the Department of Software and Information Systems Engineering at Ben Gurion University of the Negev in Israel.
“Using software-generated radio signals, malware can encode sensitive data such as files, images, keylogs, biometric data, and encryption keys,” Dr. Guri explained in a newly published research paper.
“With software-defined radio (SDR) hardware and a simple off-the-shelf antenna, an attacker can intercept raw radio signals from a distance. The signals can then be decoded and translated back into binary data.”
Over the years, Dr. Guri has devised various methods to extract confidential data from offline networks, exploiting Serial ATA cables (SATAn), MEMS gyroscopes (GAIROSCOPE), LED indicators on network cards (ETHERLED), and dynamic power consumption (COVID-bit).
Other unconventional approaches developed by the researcher include leaking data from air-gapped networks through covert acoustic signals generated by graphics processing unit (GPU) fans (GPU-FAN), (ultra)sonic waves from motherboard buzzers (EL-GRILLO), and even printer display panels and status LEDs (PrinterLeak).
Last year, Dr. Guri also demonstrated AirKeyLogger, a hardwareless radio frequency keylogging attack that leverages radio emissions from a computer’s power supply to exfiltrate real-time keystroke data to a remote attacker.
“To leak confidential data, the processor’s operating frequencies are manipulated to generate a pattern of electromagnetic emissions from the power unit, modulated by keystrokes,” Dr. Guri noted in the study. “The keystroke data can be received from several meters away via an RF receiver or a smartphone with a simple antenna.”
As with other attacks of this kind, the air-gapped network must first be compromised through other means, such as a rogue insider, infected USB drives, or a supply chain attack, allowing the malware to activate the covert data exfiltration channel.
RAMBO is no exception, as the malware is used to manipulate RAM to generate radio signals at clock frequencies, which are then encoded using Manchester encoding and transmitted to be received at a distance.
The encoded data can include keystrokes, documents, and biometric information. An attacker on the other end can use SDR to receive the electromagnetic signals, demodulate and decode the data, and retrieve the exfiltrated information.
“The malware utilizes electromagnetic emissions from the RAM to modulate the information and transmit it outward,” Dr. Guri explained. “A remote attacker with a radio receiver and antenna can capture the data, demodulate it, and decode it back into its original binary or textual form.”
The technique could be used to leak data from air-gapped computers running Intel i7 3.6GHz CPUs and 16 GB RAM at 1,000 bits per second, with keystrokes exfiltrated in real time at 16 bits per key.
“A 4,096-bit RSA encryption key can be exfiltrated in 41.96 seconds at low speed and at 4.096 bits at high speed,” Dr. Guri noted. “Biometric data, small files (.jpg), and small documents (.txt and .docx) require 400 seconds at low speed and just a few seconds at higher speeds.”
“This suggests that the RAMBO covert channel can be used to leak relatively brief information over a short period.”
Countermeasures to block the attack include enforcing “red-black” zone restrictions for data transfer, using an intrusion detection system (IDS), monitoring hypervisor-level memory access, using radio jammers to block wireless communications, and using a Faraday cage.
En seguridad informática referida a amenazas de tipo exploit, payload es la parte del código del malware que realiza la acción maliciosa en el sistema, como borrar los ficheros o enviar datos al exterior, frente a la parte del encargado de aprovechar una vulnerabilidad (el exploit) que permite ejecutar el payload.
El pentesting o Test de penetración, en español) es una técnica de ciberseguridad que consistente en atacar entornos informáticos con la intención de descubrir vulnerabilidades en los mismos, con el objetivo de reunir la información necesaria para poder prevenir en el futuro ataques externos hacia esos mismos …
El Servicio de Seguridad en Ciclo de Desarrollo es un enfoque integral que garantiza la protección de los proyectos de software desde su fase inicial de diseño hasta su implementación final. Esto implica integrar medidas de seguridad en cada etapa del proceso de desarrollo, desde la planificación hasta la entrega del producto. La importancia de este servicio radica en varios aspectos:
En resumen, el Servicio de Seguridad en Ciclo de Desarrollo es esencial para garantizar que los productos de software sean seguros, confiables y cumplan con los estándares de seguridad y privacidad, lo que resulta en beneficios tanto para la empresa como para sus clientes.
El Phishing Ético es una servicio que consiste en realizar actividades de Ingeniería Social con propósitos legítimos y éticos, generalmente como parte de una Campaña de Concientización, Evaluación de Seguridad, Prueba de un Pentesting o Red Team.
Para más información ingresa aquí: https://www.xpoint.cl/phishing-etico/
Un Red Team en ciberseguridad es un grupo de profesionales que simulan ser adversarios externos para evaluar la seguridad de un sistema o red. Utilizan tácticas similares a las de ciberdelincuentes reales, llevan a cabo pruebas de penetración, analizan riesgos y proporcionan recomendaciones para mejorar la seguridad. Su enfoque proactivo ayuda a las organizaciones a identificar y abordar vulnerabilidades, fortaleciendo así sus defensas contra amenazas potenciales.
La gestión de vulnerabilidades es un proceso integral que se centra en identificar, evaluar y abordar las debilidades en la seguridad de un sistema o red. Este proceso sigue varios pasos clave:
La gestión de vulnerabilidades es esencial para mantener la seguridad de la información en un entorno digital en constante cambio, minimizando el riesgo de explotación y fortaleciendo las defensas contra posibles amenazas.