导 读
以色列研究人员设计了一种新的攻击技术,该技术依靠来自内存总线的无线电信号从隔离系统中窃取数据。
据以色列内盖夫本·古里安大学的 Mordechai Guri 介绍,恶意软件可用于对敏感数据进行编码,而这些数据可使用软件定义无线电 (SDR) 硬件和现成的天线从远处捕获。
该攻击名为RAMBO,允许攻击者以每秒 1,000 比特的速度窃取编码文件、加密密钥、图像、按键和生物特征信息。测试在最远 7 米(23 英尺)的距离内进行。
隔离系统在物理和逻辑上与外部网络隔离,以保证敏感信息的安全。虽然这些系统提供了更高的安全性,但它们并不能防范恶意软件,有数十个已记录的恶意软件家族针对它们,包括Stuxnet、Fanny和PlugX。
在新的研究中,发表了多篇有关隔离网络攻击尝试技术论文的 Mordechai Guri 解释说,隔离系统上的恶意软件可以操纵 RAM 来生成时钟频率修改后的编码无线电信号,然后从远处接收这些信号。
攻击者可以使用适当的硬件接收电磁信号,解码数据并检索被盗信息。
RAMBO 攻击首先在隔离系统上部署恶意软件,可以通过受感染的 USB 驱动器、使用有权访问系统的恶意内部人员或通过破坏供应链将恶意软件注入硬件或软件组件。
攻击的第二阶段涉及数据收集、通过隔离网络隐蔽通道(在本例中是来自 RAM 的电磁发射)进行信息泄露以及远距离检索。
Guri 解释说,数据通过 RAM 传输时会发生快速的电压和电流变化,从而产生电磁场,这些电磁场可以以取决于时钟速度、数据宽度和整体架构的频率辐射电磁能。
研究人员解释说,发射器可以通过以与二进制数据相对应的方式调制内存访问模式来创建电磁隐蔽通道。
通过精确控制与内存相关的指令,该学者能够使用该隐蔽通道传输编码数据,然后使用 SDR 硬件和基本天线在远处检索它。
Guri 指出:“通过这种方法,攻击者可以以每秒数百比特的速率将数据从隔离网络的计算机泄露到附近的接收器。”
研究人员详细介绍了可以实施的几种防御和保护对策,以防止 RAMBO 攻击。
论文下载:https://arxiv.org/pdf/2409.02292
新闻链接:
https://www.securityweek.com/new-rambo-attack-allows-air-gapped-data-theft-via-ram-radio-signals/
今日安全资讯速递
APT事件
Advanced Persistent Threat
以色列科研人员设计了一种新方法,利用来自内存总线的无线电信号从隔离系统中窃取数据
https://www.securityweek.com/new-rambo-attack-allows-air-gapped-data-theft-via-ram-radio-signals/
Predator 间谍软件更新,具有危险的新功能,而且更难追踪
https://www.theregister.com/2024/09/09/predator_spyware_trump_crypto/
与伊朗有关的黑客组织加大对美国关键基础设施的网络攻击
https://www.cybersecuritydive.com/news/iran-cyberattacks-us-critical-infrastructure/725877/
朝鲜黑客通过 LinkedIn 求职诈骗部署 COVERTCATCH 恶意软件
https://thehackernews.com/2024/09/north-korean-threat-actors-deploy.html
伦敦交通局遭受网络攻击后面临系统中断
https://www.bleepingcomputer.com/news/security/transport-for-london-staff-faces-systems-disruptions-after-cyberattack/
Stately Taurus APT组织滥用 VSCode 攻击亚洲目标
https://unit42.paloaltonetworks.com/stately-taurus-abuses-vscode-southeast-asian-espionage/
乌克兰士兵遭恶意软件攻击,黑客窃取 GPS 坐标
https://cybernews.com/cyber-war/ukrainian-soldiers-targeted-with-data-stealing-malware/
美国政府及其盟友警告:俄罗斯军事黑客与关键基础设施攻击有关
https://www.bleepingcomputer.com/news/security/us-and-allies-link-russian-military-hackers-behind-critical-infrastructure-attacks-to-gru-unit-29155/
黑客组织Earth Lusca 使用新的后门 KTLVdoor 对中国一家贸易公司进行攻击
https://securityaffairs.com/168078/malware/earth-lusca-malware-ktlvdoor.html
Earth Preta 利用新恶意软件和新策略改进攻击
https://www.trendmicro.com/en_us/research/24/i/earth-preta-new-malware-and-strategies.html
TIDRONE 间谍组织针对敏感的无人机制造商发起网络攻击
https://thehackernews.com/2024/09/tidrone-espionage-group-targets-taiwan.html
一般威胁事件
General Threat Incidents
新型 Android 恶意软件 SpyAgent 使用 OCR 窃取加密钱包恢复密钥
https://thehackernews.com/2024/09/new-android-spyagent-malware-uses-ocr.html
MOVEit 漏洞导致近 100 万威斯康星州医疗保险用户信息泄露
https://therecord.media/wisconsin-million-medicare-information-leaked
汽车租赁公司 Avis 数据泄露影响 30 万人
https://www.securityweek.com/300000-impacted-by-data-breach-at-car-rental-firm-avis/
最近修补的 SonicWall 漏洞(CVE-2024-40766)可能已被利用进行勒索软件攻击
https://www.securityweek.com/critical-sonicwall-vulnerability-possibly-exploited-in-ransomware-attacks/
Quad7 僵尸网络瞄准更多 SOHO 和 VPN 路由器、媒体服务器
https://www.bleepingcomputer.com/news/security/quad7-botnet-targets-more-soho-and-vpn-routers-media-servers/
支付网关数据泄露影响 170 万信用卡持有者
https://www.bleepingcomputer.com/news/security/payment-gateway-data-breach-affects-17-million-credit-card-owners/
Blind Eagle 利用定制版 Quasar RAT 攻击哥伦比亚保险业
https://thehackernews.com/2024/09/blind-eagle-targets-colombian-insurance.html
多个恶意软件家族利用 GeoServer GeoTools 漏洞 CVE-2024-36401 进行传播
https://securityaffairs.com/168197/malware/geoserver-geotools-flaw-cve-2024-36401-malware.html
漏洞事件
Vulnerability Incidents
CISA 将 Draytek VigorConnect 和金山 WPS Office 漏洞添加到其已知利用漏洞目录中
https://securityaffairs.com/168153/security/cisa-draytek-vigorconnect-kingsoft-wps-office-bugs-known-exploited-vulnerabilities-catalog.html
CISA 打破沉默,揭露备受争议的“机场安检绕过”漏洞
https://www.securityweek.com/cisa-responds-after-disclosure-of-controversial-airport-security-bypass-vulnerability/
SonicWall 警告客户,最近修补的严重漏洞 CVE-2024-40766 可能会被利用
https://www.securityweek.com/recent-sonicwall-firewall-vulnerability-potentially-exploited-in-the-wild/
LiteSpeed Cache 插件漏洞导致数百万 WordPress 网站遭受攻击
https://www.securityweek.com/litespeed-cache-plugin-vulnerability-exposes-millions-of-wordpress-sites-to-attacks/
WordPress 的 LiteSpeed Cache 插件中发现严重安全漏洞
https://thehackernews.com/2024/09/critical-security-flaw-found-in.html
Apache OFBiz 更新修复了导致远程代码执行的高危漏洞
https://thehackernews.com/2024/09/apache-ofbiz-update-fixes-high-severity.html
Microsoft Office 2024 将默认禁用 ActiveX 控件
https://www.bleepingcomputer.com/news/microsoft/microsoft-office-2024-to-disable-activex-controls-by-default/
Veeam 修补企业产品中的严重漏洞,包括 5 个严重级别RCE漏洞
https://www.securityweek.com/veeam-patches-critical-vulnerabilities-in-enterprise-products/
严重 Progress LoadMaster 漏洞使攻击者可执行任意代码
https://cybersecuritynews.com/critical-progress-loadmaster-vulnerability/
扫码关注
军哥网络安全读报
讲述普通人能听懂的安全故事
原文始发于微信公众号(军哥网络安全读报):以色列科研人员设计了一种新方法,利用来自内存总线的无线电信号从隔离系统中窃取数据
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论