Araştırmacılar, hava boşluklu ağların kötü niyetli saldırılara karşı savunmasızlığını araştırıyor. Fiziksel izolasyonlarına rağmen, bu ağlar elektromanyetik emisyonlar gibi gizli kanallar aracılığıyla tehlikeye atılabilir.
Saldırı modeli, hassas bilgilerle kodlanabilen ve uzaktan sızdırılabilen radyo sinyalleri üretmek için RAM’i manipüle eden kötü amaçlı yazılımları içerir. Bu sinyalleri iletebilen ve alabilen bir verici ve alıcının tasarımını ve uygulamasını sunar.
Deneysel sonuçlar saldırının uygulanabilirliğini ortaya koyuyor ve hava boşluklu ağları bu tür tehditlerden korumak için güçlü karşı önlemlere ihtiyaç duyulduğunu vurguluyor.
Çalışma, RAM veri yolundan gelen elektromanyetik emisyonlara dayalı yeni bir gizli kanal sunar. Verici, verileri kodlamak için bellek erişim desenlerini modüle eder ve bu daha sonra alıcı tarafından demodüle edilir.
Daha hızlı iletim için Manchester kodlamasının kullanılması, saat senkronizasyonunu ve hata tespitini garanti altına alır; bu da bant genişliği gereksinimlerini artırır.
Verici, RAM veri yolu etkinliğini sürdürmek için MOVNTI talimatını kullanır ve senkronizasyon için bir önbilgi dizisi kullanır. Demodülatör, alınan verileri alternatif bir bit dizisine göre çerçeveler.
Manchester kodlaması ile OOK modülasyonu arasında yapılan bir karşılaştırma, senkronizasyon ve hata tespiti avantajları nedeniyle Manchester kodlamasının bu gizli kanal için daha uygun olduğu sonucuna varmıştır.
Are You From SOC/DFIR Teams? - Try Advanced Malware and Phishing Analysis With ANY.RUN - 14 day free trial
RAMBO örtülü kanalının değerlendirilmesi, DDR RAM’den elektromanyetik emisyonlar yoluyla veri sızdırmadaki etkinliğini göstermektedir. Farklı mesafelere ve bit hızlarına rağmen, kanal yüksek sinyal-gürültü oranını ve düşük bit hata oranlarını korumuştur.
Düşük SNR seviyeleri yüksek hızlı iletimi sınırladı. Faraday kalkanlama ve sanallaştırmanın etkili karşı önlemler olduğu gösterildi, ancak bunlar yaygın olarak dağıtılamaz.
DDR RAM saat frekansı, örtülü kanalın frekans aralığını etkiler ve yayılmış spektrum saatlemesinden etkilenebilir. Genel olarak, RAMBO örtülü kanalı, karşı önlemlerin dikkatli bir şekilde değerlendirilmesini gerektiren önemli bir güvenlik riski sunar.
RAMBO saldırısını azaltmak için çeşitli karşı önlemler kullanılabilir. Bölge kısıtlamaları ve Faraday muhafazaları kullanılarak fiziksel ayırma, bilgi sızıntısını önleyebilir.
Ana bilgisayar tabanlı saldırı tespit sistemleri ve hipervizör düzeyinde izleme, şüpheli bellek erişim kalıplarını tespit edebilir. Harici spektrum analizörleri ve radyo bozucuları gizli radyo iletimlerini belirleyebilir ve bozabilir.
Dahili bellek sıkışması gizli kanala müdahale edebilir ve meşru işlemleri de etkileyebilir. Bu karşı önlemler çeşitli koruma seviyeleri sunarken, RAMBO saldırısına karşı etkili bir şekilde savunmak için genellikle yaklaşımların bir kombinasyonu gereklidir.
Makale, hassas verileri sızdırmak için izole edilmiş bilgisayarlardaki bellek işlemlerini kullanan yeni bir hava boşluğu gizli kanal saldırısını gösterdi. Saldırganlar, bellekle ilgili talimatları manipüle ederek, bellek veri yollarından yayılan elektromanyetik dalgalar üzerindeki bilgileri kodlayabilir ve düzenleyebilir.
Yazılım tanımlı bir radyo ile donatılmış yakındaki bir alıcı, iletilen verileri kesebilir, çözebilir ve kodunu çözebilir; bu da saldırganların tuş vuruşları, dosyalar, görüntüler ve biyometrik veriler dahil olmak üzere çeşitli bilgi türlerini saniyede yüzlerce bit hızında sızdırmasına olanak tanır.
What Does MITRE ATT&CK Expose About Your Enterprise Security? - Watch Free Webinar!