Ett team av forskare från University of Colorado i Boulder (UCB) har hittat ett sätt att dölja skadlig kod verksamhet genom att utnyttja processen för “spekulativ exekvering,” samma CPU funktion där Härdsmälta och Spectre sårbarhet upptäcktes förra året.
Den spekulativa utförande teknik är en föreställning-att öka inslag i den moderna processorer där CPU tar beräkningar i förväg (spekulativ exekvering trådar) och sedan väljer utförande tråd att en ansökan måste kasta den andra spekulativa utförandet trådar och deras data.
Härdsmälta och Spectre sårbarheter det möjligt för hackare att hämta data från dessa spekulativa utförandet trådar innan data raderas från CPU cache-minne.
Under det senaste året, säkerhet forskare har identifierat och uppmärksammat många och olika metoder för att hämta data från spekulativ exekvering verksamhet [1, 2, 3, 4, 5, 6].
Men i den forskning som presenteras denna vecka på NDSS 2019 security conference, UCB akademiker visade att spekulativ exekvering kan användas för annat än stöld av data, som avslöjar att spekulativa utförandet trådar kan fungera som ett hemligt ställe för att dölja skadlig kommandon.
Tekniken, som de heter ExSpectre, innebär skapandet av godartad ansökan binärer som offer installera på sina system, i tron att de är säkra, och som faktiskt verkar vara säkert när den scannas med säkerhet programvara appar.
Men i verkligheten, dessa binärfiler kan konfigureras (efter att ha fått en extern trigger-antingen av användaren/network-ingång eller en annan app som körs på systemet) för att lansera väl iscensatt spekulativ exekvering trådar att manipulera godartad app till verkställande skadlig verksamhet.
“Vi visar detta med hjälp av OpenSSL-biblioteket som en godartad utlösa program i Avsnitt V-A, aktivera en skadlig nyttolast program när en motståndare upprepade gånger ansluts till den infekterade OpenSSL-server med TLS-anslutning med en specifik cipher suite” UCB forskarna säger.
I andra exempel, forskare säger att de också använde ExSpectre teknik för att dekryptera krypterade minne och även manipulera apps för att öppna en lokal omvänd skal till att en angripare-kontrollerad plats och gör det möjligt att köra kommandon på offrets dator.
“När jag först såg denna uppsats jag tänkte genast att detta är ett väldigt snyggt sätt att gömma skadlig kod,” sade Daniel Hälsning, en av forskarna som upptäckte Härdsmälta och Spectre brister, och som förra månaden avslöjade en uppsats med en liknande idé för att dölja skadlig kod inuti ett legitimt CPU-funktion-Intels SGX enklaver.
“Mycket intressant idé,” Gruss läggas till. “Det visar att spekulativ exekvering kan användas i andra skadliga sätt, så jag skulle säga att det är ännu mer viktigt, eftersom det breddar vår förståelse av spekulativ exekvering och i grunden olika typer av skadlig verksamhet som det gör.”
Vidare, på grund av hur det fungerar, ExSpectre-klass malware är för närvarande omöjlig att upptäcka, enligt UCB forskare.
“Med hjälp av [ExSpectre], kritiska delar av ett skadligt program computation kan vara skyddade från sådana som ännu en debugger efter en instruktion nivå spår av programmet inte kan säga hur resultaten beräknats,” UCB forskning laget sa.
“Denna teknik besegrar befintlig statisk och dynamisk analys, vilket gör det särskilt svårt för malware analytiker för att avgöra vad en binär kommer att göra”, tillade de.
Stoppa attacker med skadlig kod kodas för att använda ExSpectre teknik är inte möjligt just nu, forskarna sade, åtminstone på programvaran nivå.
“I slutändan, kisel och mikroarkitektur patchar kommer att behövas för att säkerställa Processorer mot denna typ av malware”, sade de, liksom ingående av en liknande uppsats författad av Google forskare, som också slutsatsen att Spectre fel kan aldrig utrotas på programvaran nivå, och en ny generation av hårdvara CPU kan behövas.
Mer detaljer om UCB forskning finns i rapporten med titeln “ExSpectre: Gömma Skadlig kod i Spekulativ Exekvering.”
Relaterade it-säkerhet nyheter täckning:
Hackare kan stjäla bare-metal-cloud-servrar genom att korrumpera deras BMC firmwareA tredjedel av alla Chrome-tillägg begära att få tillgång till användarnas uppgifter om någon siteICANN: Det är en pågående och en betydande risk för DNS-infrastruktur
Nya webbläsare attack kan hackare köra dålig kod även när användare lämnar en web pageResearchers bryta digitala signaturer för de flesta stationära PDF viewersIt hackare tog bara tre dagar för att börja utnyttja senaste Drupal-bugg
Större sårbarhet som finns i Android ES File Explorer-appen TechRepublicXiaomi elektrisk skoter enligt uppgift utsatta för kapning hacka CNET
Relaterade Ämnen:
Hårdvara
Säkerhet-TV
Hantering Av Data
CXO
Datacenter