Angriff auf Air-Gapped-Systeme: Malware exfiltriert Daten drahtlos durch den RAM
In besonders sicherheitskritischen Umgebungen gibt es häufig sogenannte Air-Gapped-Systeme, die aus Sicherheitsgründen vollständig isoliert, also ohne jegliche Netzwerkanbindung betrieben werden. Dadurch bleibt es Angreifern in der Regel verwehrt, mit diesen Systemen zu kommunizieren und Daten auszuleiten. Ein Forscher hat jedoch eine neue Angriffstechnik entwickelt, mit der das doch möglich ist - und zwar drahtlos über den Arbeitsspeicher.
Ausgearbeitet wurde der Rambo genannte Angriff von Mordechai Guri, einem bekannten Sicherheitsforscher der israelischen Ben-Gurion-Universität des Negev. In der Vergangenheit stellte Guri schon häufiger Angriffe auf Air-Gapped-Systeme vor - beispielsweise über Tastatur-LEDs , PC-Lüfter , Änderungen der Bildschirmhelligkeit oder über ein als Antenne missbrauchtes LAN-Kabel .
Kontrollierte Speicherzugriffe erzeugen Funksignal
Damit der Rambo-Angriff gelingt, muss das Zielsystem zunächst mit einer Malware infiziert werden, die die Datenübermittlung steuert. Das kann beispielsweise durch einen USB-Stick mit darauf versteckter Schadsoftware erfolgen, der von einem unwissenden Mitarbeiter oder einem böswilligen Eindringling vor Ort mit dem isolierten Rechner verbunden wird.
Anschließend kann die Malware laut Guri über die systeminternen Speicherbusse Funksignale erzeugen, die sich mit spezieller Hardware und einer Antenne empfangen lassen. Wie aus einem Bericht von Bleeping Computer(öffnet im neuen Fenster) hervorgeht, gelingt dies durch kontrollierte Lese- und Schreibzugriffe auf den Speicher, wodurch elektromagnetische Emissionen aus dem RAM heraus erzeugt werden.
Die Angriffstechnik ermöglicht bitweise Datenübertragungen über mehrere Meter hinweg. Auch aus einer virtuellen Maschine heraus soll der Angriff gelingen, sofern das Hostsystem und andere parallel laufende VMs die Signalerzeugung nicht stören.
Guri hat für die Datenübertragung im Rahmen seiner Experimente den Manchester-Code(öffnet im neuen Fenster) verwendet. Dieser biete Vorteile hinsichtlich der Taktsynchronisation und der Fehlererkennung, erklärt der Forscher in seinem Paper (PDF)(öffnet im neuen Fenster) .
Passwörter in Sekundenschnelle exfiltriert
Eine hohe Datenübertragungsrate darf von Rambo gewiss nicht erwartet werden, für ein Keylogging in Echtzeit sowie zum Abgreifen von Passwörtern, Tokens und anderen sensiblen Informationen reicht sie aber aus. Laut Guri sind Übertragungsraten von bis zu 1.000 Bits pro Sekunde möglich. Jedoch muss der Datendurchsatz mit zunehmender Entfernung des Empfängers verringert werden, da sonst die Fehlerrate zu hoch steigt.
Ein 4.096-Bit-RSA-Schlüssel lässt sich nach Angaben des Forschers in 4 bis 42 Sekunden übermitteln, biometrische Daten im Umfang von 10.000 Bits in 10 bis 100 Sekunden, ein 128-Bit-Passwort in 0,1 bis 1,3 Sekunden. Die kürzeren Zeitangaben wurden bei den Messungen von Guri jeweils auf eine Entfernung von drei Metern erreicht, bei den längeren waren es sieben Meter.
Guri listet in seinem Paper mehrere mögliche Abhilfemaßnahmen auf, mit denen sich Air-Gapped-Systeme vor dem Rambo-Angriff schützen lassen. Dazu zählt unter anderem das Erzeugen zufälliger Speicherzugriffe, das Aussenden externer Störsignale, die Überwachung der Umgebung auf unbekannte Funksignale sowie der Einsatz von Faraday-Käfigen, um eine unerwünschte Signalübertragung vom isolierten System aus zu blockieren.