I ricercatori nascondere malware benigno applicazioni con l’aiuto di esecuzione speculativa

0
169
ExSpectre

Un team di scienziati dell’Università del Colorado di Boulder (UCB) ha trovato un modo per nascondere malware operazioni sfruttando il processo di “esecuzione speculativa,” la stessa CPU caratteristica, dove il Crollo e di Spettro di vulnerabilità sono state scoperte lo scorso anno.

L’esecuzione speculativa tecnica è un aumento delle prestazioni funzionalità dei processori moderni in cui la CPU esegue i calcoli in anticipo (esecuzione speculativa thread) e poi seleziona il thread di esecuzione di un’applicazione bisogni, scartando tutte le altre speculativi thread di esecuzione e dei loro dati.

Il Crollo e di Spettro di vulnerabilità consentire agli hacker per recuperare i dati da questi speculativi thread di esecuzione prima che i dati vengano cancellati dalla memoria cache della CPU.

Da oltre un anno, i ricercatori di sicurezza hanno identificato e pubblicizzato numerosi e diversi metodi di recupero dei dati dal speculativa delle operazioni di esecuzione del [1, 2, 3, 4, 5, 6].

Ma nella ricerca presentata questa settimana al NDSS 2019 conferenza di sicurezza, UCB studiosi hanno dimostrato che l’esecuzione speculativa potrebbe essere utilizzato per il furto di dati, rivelando che l’esecuzione speculativa thread può servire come un luogo segreto per nascondere i comandi dannosi.

La tecnica, denominata ExSpectre, implica la creazione di benigni binari di applicazioni vittime installare sui propri sistemi, pensando che sono sicuro, e che, anzi, sembra essere al sicuro dopo la scansione con il software di sicurezza di applicazioni.

Ma in realtà, questi binari può essere configurato (dopo la ricezione di un trigger esterno –utente/rete di ingresso o di un’altra applicazione in esecuzione sul sistema) per il lancio di ben orchestrato, esecuzione speculativa thread che modificare il benigno app in esecuzione di operazioni dannose.

“Ci mostra questo utilizzando la libreria OpenSSL benigno per il programma trigger in Sezione V-A, l’attivazione di un payload dannoso programma quando un avversario ripetutamente si connette infetto OpenSSL server utilizzando una connessione TLS con una specifica suite di crittografia,” UCB hanno detto i ricercatori.

In altri esempi, i ricercatori dicono che hanno usato anche il ExSpectre tecnica per decrittografare la memoria e anche manipolare le app per aprire un locale reverse shell a un utente malintenzionato percorso controllato e permettono di eseguire comandi sulla vittima macchina.

“Quando ho visto la prima volta questo libro ho subito pensato che questo è un modo molto ordinato di nascondere malware”, ha detto Daniel Gruss, uno dei ricercatori che ha scoperto il Crollo e di Spettro di difetti, e che il mese scorso ha rivelato un documento di ricerca con una simile idea di nascondere malware all’interno di un legittimo CPU feature –Intel SGX enclave.

“Idea molto interessante,” Gruss aggiunto. “È la dimostrazione che speculativo esecuzione può essere utilizzato in altri dannosi modi, quindi direi che è ancora più importante in quanto amplia la nostra comprensione di esecuzione speculativa e, fondamentalmente diversi tipi di operazioni dannose permette.”

Inoltre, a causa del modo in cui funziona, ExSpectre-classe malware è attualmente rilevabile, secondo il UCB ricercatori.

“Utilizzando [ExSpectre], parti critiche di un programma dannoso di calcolo può essere schermato dalla vista, in modo tale che anche un debugger a seguito di un’istruzione a livello di traccia del programma possiamo dire come i suoi risultati sono stati calcolati,” il UCB team di ricerca, ha detto.

“Questa tecnica sconfitte esistenti, analisi statica e dinamica, il che rende particolarmente difficile per gli analisti di malware per determinare ciò che un binario farà,” hanno aggiunto.

Fermando gli attacchi di malware utilizzano il ExSpectre tecnica non è possibile, al momento, i ricercatori hanno detto che, almeno a livello di software.

“In definitiva, il silicio e la microarchitettura patch saranno necessari per garantire la Cpu contro questo tipo di minacce”, hanno detto, facendo eco a conclusione di una simile ricerca di carta creati da Google ricercatori, che ha anche concluso che lo Spettro difetto potrebbe mai essere debellata a livello di software, e una nuova generazione di hardware della CPU può essere necessaria.

Ulteriori dettagli circa l’UCB ricerca sono disponibili nel white paper intitolato “ExSpectre: Nascondere Malware in Esecuzione Speculativa.”

Relative cybersecurity notizie:

Gli hacker sono in grado di dirottare bare-metal server cloud di corrompere la loro BMC firmwareA terzo di tutte le estensioni di Chrome richiesta di accesso ai dati dell’utente su qualsiasi siteICANN: C’è un costante e significativo del rischio di infrastruttura DNS
Il nuovo browser di attacco consente agli hacker di eseguire codice non valido anche dopo che gli utenti di lasciare un web pageResearchers rompere le firme digitali per la maggior parte dei desktop PDF viewersIt hacker ha preso solo tre giorni per iniziare a sfruttare ultima Drupal bug
Le principali vulnerabilità trovato in Android ES File Explorer app TechRepublicXiaomi scooter elettrico riferito vulnerabili agli attacchi degli hacker hack CNET

Argomenti Correlati:

Hardware

Di sicurezza, TV

La Gestione Dei Dati

CXO

Centri Dati