Nuevo ataque RAMBO utiliza señales de radio de la RAM para robar datos de redes aisladas

XPoint
Publicado el 10/09/2024

Redes Aisladas

Se ha descubierto un nuevo ataque de canal lateral que aprovecha las señales de radio emitidas por la memoria de acceso aleatorio (RAM) de un dispositivo como mecanismo para exfiltrar datos, lo que representa una amenaza para las redes aisladas.

La técnica ha sido bautizada como RAMBO (acrónimo de “Radiación del Bus de Memoria Aislada para Ofensiva”) por el Dr. Mordechai Guri, jefe del Laboratorio de Investigación Cibernética Ofensiva en el Departamento de Ingeniería de Software y Sistemas de Información de la Universidad Ben Gurion del Negev en Israel.

“Mediante señales de radio generadas por software, el malware puede codificar información sensible como archivos, imágenes, registros de teclas, información biométrica y claves de cifrado”, explicó el Dr. Guri en un artículo de investigación recién publicado.

“Con un hardware de radio definido por software (SDR) y una simple antena comercial, un atacante puede interceptar las señales de radio crudas transmitidas desde una distancia. Las señales pueden decodificarse y traducirse nuevamente en información binaria”.

Ciberseguridad

A lo largo de los años, el Dr. Guri ha ideado varios mecanismos para extraer datos confidenciales de redes desconectadas, aprovechando cables Serial ATA (SATAn), giroscopios MEMS (GAIROSCOPE), luces LED en tarjetas de red (ETHERLED) y consumo de energía dinámico (COVID-bit).

Algunas de las otras técnicas no convencionales desarrolladas por el investigador incluyen la filtración de datos desde redes aisladas a través de señales acústicas encubiertas generadas por los ventiladores de las unidades de procesamiento gráfico (GPU-FAN), ondas (ultra)sonoras producidas por los zumbadores de las placas base (EL-GRILLO), e incluso los paneles de visualización de impresoras y sus LEDs de estado (PrinterLeak).

El año pasado, el Dr. Guri también demostró AirKeyLogger, un ataque de registro de teclas por radiofrecuencia sin hardware que aprovecha las emisiones de radio de la fuente de alimentación de una computadora para exfiltrar en tiempo real los datos de las pulsaciones de teclas a un atacante remoto.

“Para filtrar datos confidenciales, las frecuencias de trabajo del procesador se manipulan para generar un patrón de emisiones electromagnéticas desde la unidad de energía, moduladas por las pulsaciones de teclas”, explicó el Dr. Guri en el estudio. “La información de las teclas se puede recibir a varios metros de distancia mediante un receptor de RF o un smartphone con una antena sencilla”.

Como siempre con este tipo de ataques, primero es necesario comprometer la red aislada por otros medios, como un infiltrado desleal, unidades USB infectadas o un ataque a la cadena de suministro, lo que permite al malware activar el canal de exfiltración encubierta de datos.

RAMBO no es una excepción, ya que el malware se usa para manipular la RAM de manera que pueda generar señales de radio a frecuencias de reloj, que luego se codifican utilizando la codificación Manchester y se transmiten para ser recibidas a distancia.

Los datos codificados pueden incluir pulsaciones de teclas, documentos e información biométrica. Un atacante puede usar SDR para recibir las señales electromagnéticas, demodular y decodificar los datos, y recuperar la información exfiltrada.

Ciberseguridad

“El malware utiliza las emisiones electromagnéticas de la RAM para modular la información y transmitirla hacia el exterior”, dijo el Dr. Guri. “Un atacante remoto con un receptor de radio y una antena puede recibir la información, demodularla y decodificarla a su representación binaria o textual original”.

La técnica podría usarse para filtrar datos de computadoras aisladas que ejecutan CPUs Intel i7 de 3.6GHz y 16 GB de RAM a 1,000 bits por segundo, según la investigación, permitiendo exfiltrar pulsaciones de teclas en tiempo real a 16 bits por tecla.

“Una clave de cifrado RSA de 4,096 bits puede exfiltrarse en 41.96 segundos a baja velocidad y a 4.096 bits a alta velocidad”, explicó el Dr. Guri. “La información biométrica, archivos pequeños (.jpg) y documentos pequeños (.txt y .docx) requieren 400 segundos a baja velocidad y unos pocos segundos a alta velocidad”.

“Esto indica que el canal encubierto RAMBO puede usarse para filtrar información relativamente breve en un periodo corto de tiempo”.

Las contramedidas para bloquear el ataque incluyen imponer restricciones de zonas “rojas-negras” para la transferencia de información, usar un sistema de detección de intrusos (IDS), monitorear el acceso a la memoria a nivel del hipervisor, usar bloqueadores de radio para bloquear las comunicaciones inalámbricas y emplear una jaula de Faraday.

 

Mira el video acá

 


English:

New RAMBO Attack Uses RAM Radio Signals to Steal Data from Air-Gapped Networks

Air-Gapped Networks

A new side-channel attack has been discovered that exploits radio signals emitted by a device’s random access memory (RAM) as a data exfiltration method, posing a threat to air-gapped networks.

The technique has been dubbed RAMBO (short for “Radiation of Air-gapped Memory Bus for Offense”) by Dr. Mordechai Guri, head of the Offensive Cyber Research Lab at the Department of Software and Information Systems Engineering at Ben Gurion University of the Negev in Israel.

“Using software-generated radio signals, malware can encode sensitive data such as files, images, keylogs, biometric data, and encryption keys,” Dr. Guri explained in a newly published research paper.

“With software-defined radio (SDR) hardware and a simple off-the-shelf antenna, an attacker can intercept raw radio signals from a distance. The signals can then be decoded and translated back into binary data.”

Cybersecurity

Over the years, Dr. Guri has devised various methods to extract confidential data from offline networks, exploiting Serial ATA cables (SATAn), MEMS gyroscopes (GAIROSCOPE), LED indicators on network cards (ETHERLED), and dynamic power consumption (COVID-bit).

Other unconventional approaches developed by the researcher include leaking data from air-gapped networks through covert acoustic signals generated by graphics processing unit (GPU) fans (GPU-FAN), (ultra)sonic waves from motherboard buzzers (EL-GRILLO), and even printer display panels and status LEDs (PrinterLeak).

Last year, Dr. Guri also demonstrated AirKeyLogger, a hardwareless radio frequency keylogging attack that leverages radio emissions from a computer’s power supply to exfiltrate real-time keystroke data to a remote attacker.

“To leak confidential data, the processor’s operating frequencies are manipulated to generate a pattern of electromagnetic emissions from the power unit, modulated by keystrokes,” Dr. Guri noted in the study. “The keystroke data can be received from several meters away via an RF receiver or a smartphone with a simple antenna.”

As with other attacks of this kind, the air-gapped network must first be compromised through other means, such as a rogue insider, infected USB drives, or a supply chain attack, allowing the malware to activate the covert data exfiltration channel.

RAMBO is no exception, as the malware is used to manipulate RAM to generate radio signals at clock frequencies, which are then encoded using Manchester encoding and transmitted to be received at a distance.

The encoded data can include keystrokes, documents, and biometric information. An attacker on the other end can use SDR to receive the electromagnetic signals, demodulate and decode the data, and retrieve the exfiltrated information.

Cybersecurity

“The malware utilizes electromagnetic emissions from the RAM to modulate the information and transmit it outward,” Dr. Guri explained. “A remote attacker with a radio receiver and antenna can capture the data, demodulate it, and decode it back into its original binary or textual form.”

The technique could be used to leak data from air-gapped computers running Intel i7 3.6GHz CPUs and 16 GB RAM at 1,000 bits per second, with keystrokes exfiltrated in real time at 16 bits per key.

“A 4,096-bit RSA encryption key can be exfiltrated in 41.96 seconds at low speed and at 4.096 bits at high speed,” Dr. Guri noted. “Biometric data, small files (.jpg), and small documents (.txt and .docx) require 400 seconds at low speed and just a few seconds at higher speeds.”

“This suggests that the RAMBO covert channel can be used to leak relatively brief information over a short period.”

Countermeasures to block the attack include enforcing “red-black” zone restrictions for data transfer, using an intrusion detection system (IDS), monitoring hypervisor-level memory access, using radio jammers to block wireless communications, and using a Faraday cage.

Preguntas frecuentes

¿Qué es un Payload?

+

En seguridad informática referida a amenazas de tipo exploit, payload es la parte del código del malware que realiza la acción maliciosa en el sistema, como borrar los ficheros o enviar datos al exterior, frente a la parte del encargado de aprovechar una vulnerabilidad (el exploit) que permite ejecutar el payload.

¿Para que sirve el Pentesting?

+

El pentesting o Test de penetración, en español) es una técnica de ciberseguridad que consistente en atacar entornos informáticos con la intención de descubrir vulnerabilidades en los mismos, con el objetivo de reunir la información necesaria para poder prevenir en el futuro ataques externos hacia esos mismos …

¿Qué es y para qué la Seguridad en el Desarrollo Ágil?

+

El Servicio de Seguridad en Ciclo de Desarrollo es un enfoque integral que garantiza la protección de los proyectos de software desde su fase inicial de diseño hasta su implementación final. Esto implica integrar medidas de seguridad en cada etapa del proceso de desarrollo, desde la planificación hasta la entrega del producto. La importancia de este servicio radica en varios aspectos:

  1. Protección temprana contra amenazas: Al abordar la seguridad desde el principio del ciclo de desarrollo, se pueden identificar y mitigar riesgos de seguridad antes de que se conviertan en problemas costosos o críticos en etapas posteriores del proyecto.
  2. Reducción de costos y tiempo: Corregir problemas de seguridad durante las etapas iniciales del desarrollo es más económico y rápido que hacerlo después de que el producto esté en producción. Esto puede ayudar a evitar retrasos en el lanzamiento del producto y ahorros significativos en costos asociados con la corrección de brechas de seguridad.
  3. Cumplimiento normativo: Muchas regulaciones y estándares de la industria requieren que los productos de software cumplan con ciertos requisitos de seguridad y protección de datos. Integrar la seguridad en el ciclo de desarrollo ayuda a garantizar el cumplimiento de estas regulaciones desde el principio, evitando posibles multas y sanciones legales.
  4. Confianza del cliente: La seguridad de los datos y la protección de la privacidad son preocupaciones importantes para los clientes. Al demostrar un compromiso con la seguridad a lo largo de todo el ciclo de desarrollo, las empresas pueden construir y mantener la confianza del cliente en sus productos y servicios.

En resumen, el Servicio de Seguridad en Ciclo de Desarrollo es esencial para garantizar que los productos de software sean seguros, confiables y cumplan con los estándares de seguridad y privacidad, lo que resulta en beneficios tanto para la empresa como para sus clientes.

¿Qué es el Phishing Ético?

+

El Phishing Ético es una servicio que consiste en realizar actividades de Ingeniería Social con propósitos legítimos y éticos, generalmente como parte de una Campaña de Concientización, Evaluación de Seguridad, Prueba de un Pentesting o Red Team.

Para más información ingresa aquí: https://www.xpoint.cl/phishing-etico/

¿Qué es un Red Team en Ciberseguridad?

+

Un Red Team en ciberseguridad es un grupo de profesionales que simulan ser adversarios externos para evaluar la seguridad de un sistema o red. Utilizan tácticas similares a las de ciberdelincuentes reales, llevan a cabo pruebas de penetración, analizan riesgos y proporcionan recomendaciones para mejorar la seguridad. Su enfoque proactivo ayuda a las organizaciones a identificar y abordar vulnerabilidades, fortaleciendo así sus defensas contra amenazas potenciales.

¿Qué es la Gestión de Vulnerabilidades?

+

La gestión de vulnerabilidades es un proceso integral que se centra en identificar, evaluar y abordar las debilidades en la seguridad de un sistema o red. Este proceso sigue varios pasos clave:

  1. Identificación de Vulnerabilidades
  2. Evaluación de Riesgos
  3. Priorización
  4. Mitigación y Solución
  5. Seguimiento Continuo
  6. Comunicación y Documentación
  7. Formación y Concienciación

La gestión de vulnerabilidades es esencial para mantener la seguridad de la información en un entorno digital en constante cambio, minimizando el riesgo de explotación y fortaleciendo las defensas contra posibles amenazas.

¿Tienes dudas?, contáctanos