Malware | Ransomware | Viry

Představte si supermalware, který neodhalí žádný antivirus. Už existuje

Představte si supermalware, který neodhalí žádný antivirus. Už existuje

Michael Schwartz s kolegy z Technické univerzity ve Štýrském Hradci popsal na Arxivu (via Ars Technica) novou techniku počítačového malwaru, který neodhalí žádný antivirus.

Jejich experimentální virus totiž přežívá v nedotknutelné a silně šifrované části paměti RAM, kterou si vytvoří bezpečnostní vrstva Intel SGX (Software Guard Extensions), jenž je součástí některých, především podnikových, procesorů od stejnojmenného výrobce.

Nedotknutelná RAM

SGX pak na popud vývojáře v této paměti vytvoří tzv. enklávu, ke které nemají žádné cizí procesy včetně operačního systému přístup, a v RAM tak mohou přežívat citlivá data a zároveň programový kód, který s nimi bude provádět libovolné operace.

Technologii lze využít třeba pro uložení kryptografických klíčů, DRM, kritických podnikových dat nebo třeba citlivých algoritmů, ke kterým se nikdo nedostane –ani provozovatel datového centra kdesi v cloudu, který bude na svých serverech nabízet procesory s touto technologií.

Co když z ní bude útočit virus?

Nabízí se otázka, co se stane, když do této šifrované RAM namísto legitimního programového kódu uložíme zákeřný malware? Intel na to (částečně) pamatoval, takže takový program může pracovat pouze se svými vlastními daty, nemůže provádět žádná systémová volání, zapisovat do souborů atp.

Rakouští počítačoví vědci však vytvořili techniku, kdy program nahraný v šifrované SGX enklávě v podstatě zneužije paměť aplikace, která jej do něj nahrála a skrze ni pak zaútočí na systém.

Kouzelné na tom všem je přitom právě to, že takový malware by nedokázal dohledat žádný antivirový program, protože práci s enklávami řeší přímo procesor a nikoliv operační systém, který by snad mohl dát antivirovému programu právo k auditu této části šifrované paměti. Kdyby to bylo možné, celý význam SGX ztrácí smysl

Útočník by mohl vytvořit velmi nebezpečný ransomware

Jedinou obranou Intel SGX před podobným zneužíváním této technologie jsou smluvní podmínky, které zakazují její zneužívání třeba právě pro vytvoření podobného malwaru. Bez schválení těchto podmínek přitom žádný vývojář nedostane právo podobnou enklávu vytvořit. I to však lze obejít a Intel ke všemu od podobné restrikce u nejnovějších procesoru po kritice upustil, protože vše komplikovala a veškerý kód, který mohl pracovat s enklávami, musel být speciálně digitálně podepsán.

Suma sumárum, kdyby hypotetický útočník zneužil SGX třeba pro spuštění ransomwaru, o jeho existenci by se nedozvěděl žádný antivirus, a když by ransomware dokonal své ďábelské dílo, zpětně by ani nebylo možné rozluštit jeho šifrovací klíče, kterými data znehodnotil, neboť i ty by mohly být uložené v této šifrované části RAM, ke které se nikdo nedostane (a předpokládejme, že k ní nemá žádná zadní vrátka ani Intel samotný, protože by si koledoval o pořádný průšvih).

Diskuze (25) Další článek: Amazon koupil startup Eero, který vyrábí mesh routery pro domácnost

Témata článku: Bezpečnost, Intel, Antivirus, Malware, Kód, Ransomware, Viry, Data, Paměť, Ars Technica, RAM, Štýrský Hradec, Technická univerzita, Arxivu, Antivirový program, SGX, Schwartz, Restrikce, Procesor


Určitě si přečtěte

Windows Sandbox: Testovací Desítky nabízejí pískoviště pro vaše lumpárny

Windows Sandbox: Testovací Desítky nabízejí pískoviště pro vaše lumpárny

** Před deseti lety měly Windows 7 tzv. XP Mode ** Microsoft se k nápadu opět vrací ** V Desítkách budou schované další Desítky

Jakub Čížek | 18

Boeing 787 překonal při běžném letu s cestujícími rychlost zvuku. Jak je to možné?

Boeing 787 překonal při běžném letu s cestujícími rychlost zvuku. Jak je to možné?

** Let Virgin Atlantic z Los Angeles do Londýna vzbudil rozruch ** Dle webu na sledování leteckého provozu překonal rychlost zvuku ** Skutečnost je ale trochu jiná, neboť všechno je relativní

Karel Kilián | 23

7 nejvýkonnějších jaderných elektráren světa: Temelín ani Dukovany si neškrtnou

7 nejvýkonnějších jaderných elektráren světa: Temelín ani Dukovany si neškrtnou

** Představíme vám sedm nejvýkonnějších jaderných elektráren ** Srovnáme je s Temelínem, Dukovany a největší solární farmou ** Naznačíme, kde tkví hlavní výhody tohoto zdroje elektřiny

Karel Kilián | 106



Aktuální číslo časopisu Computer

Velký test androidů do 6 500 Kč

Tipy na starší foťáky za super cenu

Důkladný test sportovních kamer

Dárek pro každého: první vydání Computeru