Um novo tipo de ataque lateral intitulado "RAMBO" (Radiation of Air-gapped Memory Bus for Offense) gera radiação eletromagnética a partir da RAM de um dispositivo para enviar dados de computadores air-gapped.
Sistemas air-gapped, tipicamente utilizados em ambientes com requisitos de segurança extremamente altos, como governos, sistemas de armas e estações de energia nuclear, são isolados da internet pública e de outras redes para prevenir infecções por malware e roubo de dados.
Embora esses sistemas não estejam conectados a uma rede mais ampla, eles ainda podem ser infectados por funcionários mal-intencionados que introduzem malware através de mídias físicas (unidades USB) ou ataques sofisticados na cadeia de suprimentos realizados por agentes estatais.
O malware pode operar de maneira furtiva para modular os componentes da RAM do sistema air-gapped de uma maneira que permite a transferência de segredos do computador para um receptor próximo.
O método mais recente que se enquadra nesta categoria de ataques vem de pesquisadores de uma universidade israelense liderada por Mordechai Guri, um experiente especialista em canais de ataque encobertos, que anteriormente desenvolveu métodos para vazar dados usando LEDs de placa de rede, sinais RF de unidades USB, cabos SATA e fontes de alimentação.
Para conduzir o ataque Rambo, um atacante instala malware no computador air-gapped para coletar dados sensíveis e prepará-los para transmissão.
Ele transmite os dados manipulando padrões de acesso à memória (operações de leitura/escrita no barramento de memória) para gerar emissões eletromagnéticas controladas a partir da RAM do dispositivo.
Estas emissões são essencialmente um subproduto do malware alternando rapidamente sinais elétricos (On-Off Keying "OOK") dentro da RAM, um processo que não é ativamente monitorado por produtos de segurança e não pode ser sinalizado ou interrompido.
Os dados emitidos são codificados em "1" e "0", representados nos sinais de rádio como "ligado" e "desligado".
Os pesquisadores optaram por usar o código de Manchester para aprimorar a detecção de erros e garantir a sincronização do sinal, reduzindo as chances de interpretações incorretas na extremidade do receptor.
O atacante pode usar um Software-Defined Radio (SDR) relativamente barato com uma antena para interceptar as emissões eletromagnéticas moduladas e convertê-las de volta em informação binária.
O ataque RAMBO alcança taxas de transferência de dados de até 1.000 bits por segundo (bps), o que equivale a 128 bytes por segundo ou 0,125 KB/s.
Neste ritmo, levaria cerca de 2.2 horas para exfiltrar 1 megabyte de dados, portanto, RAMBO é mais adequado para roubar pequenas quantidades de dados como texto, teclas pressionadas e pequenos arquivos.
Os pesquisadores constataram que o keylogging pode ser realizado em tempo real ao testar o ataque.
No entanto, roubar uma senha leva de 0.1 a 1.28 segundos; uma chave RSA de 4096 bits leva entre 4 e 42 segundos; e uma pequena imagem entre 25 a 250 segundos, dependendo da velocidade da transmissão.
Transmissões rápidas são limitadas a um alcance máximo de 300 cm (10 ft), com a taxa de erro de bits sendo de 2 a 4%.
Transmissões de velocidade média aumentam a distância para 450 cm (15 ft) para a mesma taxa de erro.
Finalmente, transmissões lentas com taxas de erro quase nulas podem funcionar de maneira confiável em distâncias de até 7 metros (23 ft).
Os pesquisadores também experimentaram com transmissões de até 10.000 bps, mas descobriram que qualquer coisa ultrapassando 5.000 bps resulta em uma relação sinal-ruído muito baixa para uma transmissão de dados eficaz.
O artigo técnico publicado no Arxiv fornece várias recomendações de mitigação para o ataque RAMBO e ataques covert channel similares baseados em radiação eletromagnética, mas todas introduzem diversos custos adicionais.
As recomendações incluem restrições de zona estritas para aprimorar a defesa física, jamming de RAM para interromper canais covert na fonte, jamming EM externo para interromper sinais de rádio e invólucros de Faraday para bloquear sistemas air-gapped de emanarem radiação EM externamente.
Os pesquisadores testaram o RAMBO contra processos sensíveis executados dentro de máquinas virtuais e descobriram que ele permaneceu eficaz.
Contudo, como a memória do host está propensa a várias interações com o OS do host e outras VMs, é provável que os ataques sejam rapidamente interrompidos.
Publicidade
Passe por todas as principais fases de um pentest, utilizando cenários, domínios e técnicas reais utilizados no dia a dia de um hacker ético. Conte ainda com certificado e suporte, tudo 100% gratuito. Saiba mais...