Een team van wetenschappers van de Universiteit van Colorado in Boulder (UCB) heeft een manier gevonden om malware te verbergen activiteiten door gebruik te maken van het proces van “speculatieve uitvoering,” dezelfde CPU-functie waar de Crisis en de Spectre kwetsbaarheden ontdekt werden het afgelopen jaar.
De speculatieve uitvoering techniek is een performance-het stimuleren van de functie van de moderne processors waar de CPU loopt berekeningen vooraf (speculatieve uitvoering threads) en selecteert vervolgens de uitvoering draad die in een toepassing, terwijl de andere speculatieve uitvoering threads en hun gegevens.
De Crisis en de Spectre kwetsbaarheden hackers in staat stellen om gegevens op te halen uit deze speculatieve uitvoering schroefdraad voordat de gegevens worden gewist van de CPU-cache geheugen.
In het afgelopen jaar, security-onderzoekers hebben vastgesteld en bekendgemaakt talrijke en verschillende methoden voor het ophalen van gegevens uit speculatieve uitvoering activiteiten [1, 2, 3, 4, 5, 6].
Maar in het onderzoek presenteerde deze week op de NDSS 2019 security conference, UCB wetenschappers toonden aan dat speculatieve uitvoering kon worden gebruikt voor andere dan door diefstal van gegevens, waaruit blijkt dat speculatieve uitvoering threads kan dienen als een geheime plek voor het verbergen van kwaadwillende opdrachten.
De techniek, die ze de naam ExSpectre, impliceert de oprichting van een goedaardige toepassing binaire bestanden die slachtoffers installeren op hun systeem, denken dat ze veilig zijn, en die inderdaad lijken veilig te zijn bij het scannen met security-software apps.
Maar in werkelijkheid, deze programma ‘ s kunnen worden geconfigureerd (na het ontvangen van een externe trigger –zowel de gebruiker/netwerk-ingang of een andere app die draait op het systeem) te starten goed georkestreerde speculatieve uitvoering draden voor het manipuleren van de goedaardige app in het uitvoeren van kwaadaardige activiteiten.
“Dit laten We zien het gebruik van de OpenSSL library als een goedaardige trigger programma in Hoofdstuk V-A, het activeren van een schadelijke inhoud programma wanneer een tegenstander herhaaldelijk verbindt de geïnfecteerde OpenSSL-server met behulp van een TLS-verbinding met een bepaalde cipher suite,” UCB onderzoekers gezegd.
In andere voorbeelden, onderzoekers zeggen dat ze ook gebruikt de ExSpectre techniek te decoderen gecodeerd geheugen en zelfs manipuleren van apps voor het openen van een lokale omgekeerde shell voor een aanvaller gecontroleerde locatie en het uitvoeren van opdrachten op het slachtoffer machine.
“Toen ik voor het eerst zag dit papier ik dacht meteen dat dit een zeer nette manier om malware te verbergen,” zei Daniel Gruss, een van de onderzoekers die ontdekten de Crisis en de Spectre gebreken, en die laatste maand toonde een onderzoek papier met een vergelijkbaar idee van het verbergen van malware binnen een legitieme CPU-functie –Intel SGX enclaves.
“Zeer interessant idee,” Gruss toegevoegd. “Het laat zien dat speculatieve uitvoering kunnen worden gebruikt in andere schadelijke manieren zo goed, dus ik zou zeggen dat is nog meer belangrijk als het tot een verbreding van ons begrip van speculatieve uitvoering en de fundamenteel verschillende types van kwaadaardige activiteiten zijn toegestaan.”
Verder, vanwege de manier waarop het werkt, ExSpectre-klasse malware is momenteel niet op te sporen, volgens de UCB-onderzoekers.
“Met behulp van [ExSpectre], cruciale delen van een kwaadaardige programma’ s berekening kan worden afgeschermd van het uitzicht, zo dat zelfs een debugger na een instructie-niveau spoor van het programma kan niet vertellen hoe de resultaten berekend werden,” de UCB research team gezegd.
“Deze techniek nederlagen bestaande statische en dynamische analyse, waardoor het bijzonder moeilijk is voor malware-analisten om te bepalen wat een binaire zal doen,” ze toegevoegd.
Het stoppen van aanvallen met malware gecodeerd met de ExSpectre techniek is niet mogelijk op dit moment, onderzoekers zeiden, ten minste op software niveau.
“Uiteindelijk, silicium en microarchitectuur patches nodig zijn om de veilige Cpu’ s tegen dit soort malware,” zeiden ze, in navolging van de conclusie van een dergelijk onderzoek is papier zijn geschreven door Google-onderzoekers, die ook tot de conclusie dat de Spectre fout kon nooit worden uitgeroeid software niveau, en een nieuwe generatie CPU hardware nodig kan zijn.
Meer details over de UCB-onderzoek zijn beschikbaar in de whitepaper met de titel “ExSpectre: het Verbergen van Malware in Speculatieve Executie.”
Verwante cybersecurity nieuws:
Hackers kunnen kapen bare-metal cloud servers door de beschadiging van hun BMC firmwareA derde van alle Chrome-extensies verzoek toegang tot de gegevens van de gebruiker op enig siteICANN: Er is een voortdurende en belangrijke risico voor de DNS-infrastructuur
Nieuwe browser-aanval laat hackers uitvoeren slechte code zelfs nadat de gebruiker laat een web pageResearchers breken digitale handtekeningen voor de meeste desktop PDF viewersIt nam hackers slechts drie dagen te gaan benutten nieuwste Drupal bug
Ernstige kwetsbaarheid gevonden in Android ES File Explorer app TechRepublicXiaomi elektrische scooter naar verluidt kwetsbaar voor het kapen van hack CNET
Verwante Onderwerpen:
Hardware
Beveiliging TV
Data Management
CXO
Datacenters