Et team af forskere fra University of Colorado Boulder (UCB) har fundet en måde at skjule malware operationer ved at udnytte den proces, “spekulative udførelse,” det samme CPU feature, hvor Nedsmeltning og Spectre sårbarheder blev opdaget sidste år.
Den spekulative udførelse teknik er en performance-styrke funktionen af moderne processorer, hvor CPU ‘ en kører beregninger på forhånd (spekulative udførelse tråde) og vælger derefter udførelse tråd, at et program har behov for, idet de andre spekulative udførelse tråde, og deres data.
Nedsmeltning og Spectre sårbarheder, der gør det muligt for hackere at hente data fra disse spekulative udførelse tråde, før data slettes fra CPU cache-hukommelse.
I løbet af de seneste år, sikkerhed forskere har identificeret og publiceret talrige og forskellige metoder til at hente data fra spekulative udførelse operationer [1, 2, 3, 4, 5, 6].
Men i forskning præsenteret i denne uge på NDSS 2019 sikkerhed konference, UCB akademikere, der viste, at spekulative udførelse kunne bruges til andet end tyveri af data, der afslører, at spekulative udførelse tråde kan tjene som et hemmeligt sted for at skjule ondsindet kommandoer.
Den teknik, som de kaldte ExSpectre, indebærer oprettelsen af godartet program binære filer, som ofre installere på deres system, at tro, at de er sikre, og som synes at være sikkert, når der scannes med sikkerhed, software, apps.
Men i virkeligheden er disse binære filer kan konfigureres (efter at have modtaget en ekstern trigger-enten user/netværk input eller en anden app, der kører på systemet) til at lancere godt orkestreret spekulative udførelse tråde at manipulere godartede app til at udføre ondsindede handlinger.
“Vi viser dette ved hjælp af OpenSSL-biblioteket som en godartet udløse program i Afsnit V-Et, aktivering af en ondsindet payload program, når en modstander flere gange forbinder til den inficerede OpenSSL-server ved hjælp af en TLS-forbindelse med en specifik cipher suite,” UCB ” siger forskerne.
I andre eksempler, forskere siger, at de også brugte ExSpectre teknik til at dekryptere krypterede hukommelse og endda manipulere apps for at åbne en lokal omvendt shell til at en hacker-kontrollerede sted og gør det muligt at køre kommandoer på offerets maskine.
“Da jeg første gang så dette papir jeg tænkte straks, at dette er en meget pæn måde at skjule malware,” sagde Daniel Gruss, en af de forskere, der opdagede Nedsmeltning og Spectre fejl, og som i sidste måned afslørede en forskning papir med en lignende idé for at skjule malware i et legitimt CPU funktion –Intel ‘ s SGX enklaver.
“Meget interessant idé,” Gruss tilføjet. “Det viser, at spekulative udførelse kan anvendes i andre ondsindede måder så godt, så jeg vil sige, at der er endnu mere vigtigt, da det udvider vores forståelse af spekulative udførelse og grundlæggende forskellige typer af ondsindede aktiviteter, det giver.”
Yderligere, på grund af den måde, det fungerer på, ExSpectre-klasse malware er i øjeblikket ikke målbart, i henhold til UCB forskere.
“Ved hjælp af [ExSpectre], kritiske dele af et ondsindet program beregning kan være beskyttet, men sådan, at selv en debugger efter en instruktion niveau spor af programmet kan ikke fortælle, hvordan dens resultater blev beregnet,” UCB forskning holdet.
“Denne teknik nederlag eksisterende statisk og dynamisk analyse, hvilket gør det særligt vanskeligt for malware analytikere til at bestemme, hvad en binær vil gøre,” tilføjer de.
Stopper angreb med malware kodet til at bruge ExSpectre teknik ikke er muligt i øjeblikket, siger forskerne, i det mindste på software-niveau.
“I sidste ende, silicium og mikroarkitektur patches vil være nødvendige for at sikre Cpu’ er mod denne form for malware,” sagde de, ekko indgåelse af en lignende forskning papir forfattet af Google forskere, der ligeledes konkluderede, at Spectre fejl kan aldrig udryddes på software niveau, og en ny generation af CPU hardware kan være nødvendig.
Flere detaljer om UCB forskning findes i hvidbogen med titlen “ExSpectre: at Skjule Malware i Spekulative Udførelse.”
Relaterede cybersecurity dækning af nyheder:
Hackere kan kapre bare-metal cloud-servere ved at ødelægge deres BMC firmwareA tredjedel af alle Chrome-udvidelser anmode om adgang til brugerens data, på enhver siteICANN: Der er en løbende og væsentlig risiko for DNS-infrastrukturen
Nye browser angreb lader hackere køre dårlig kode, selv når brugerne forlader en web pageResearchers bryde digitale signaturer til de fleste desktop-PDF viewersIt tog hackere kun tre dage til at begynde at udnytte de nyeste Drupal fejl
Større sårbarhed fundet i Android ES File Explorer app TechRepublicXiaomi el-scooter efter sigende sårbare over for kapring af hack CNET
Relaterede Emner:
Hardware
Sikkerhed-TV
Data Management
CXO
Datacentre