Malware | Ransomware | Viry

Představte si supermalware, který neodhalí žádný antivirus. Už existuje

Představte si supermalware, který neodhalí žádný antivirus. Už existuje

Michael Schwartz s kolegy z Technické univerzity ve Štýrském Hradci popsal na Arxivu (via Ars Technica) novou techniku počítačového malwaru, který neodhalí žádný antivirus.

Jejich experimentální virus totiž přežívá v nedotknutelné a silně šifrované části paměti RAM, kterou si vytvoří bezpečnostní vrstva Intel SGX (Software Guard Extensions), jenž je součástí některých, především podnikových, procesorů od stejnojmenného výrobce.

Nedotknutelná RAM

SGX pak na popud vývojáře v této paměti vytvoří tzv. enklávu, ke které nemají žádné cizí procesy včetně operačního systému přístup, a v RAM tak mohou přežívat citlivá data a zároveň programový kód, který s nimi bude provádět libovolné operace.

Technologii lze využít třeba pro uložení kryptografických klíčů, DRM, kritických podnikových dat nebo třeba citlivých algoritmů, ke kterým se nikdo nedostane –ani provozovatel datového centra kdesi v cloudu, který bude na svých serverech nabízet procesory s touto technologií.

Co když z ní bude útočit virus?

Nabízí se otázka, co se stane, když do této šifrované RAM namísto legitimního programového kódu uložíme zákeřný malware? Intel na to (částečně) pamatoval, takže takový program může pracovat pouze se svými vlastními daty, nemůže provádět žádná systémová volání, zapisovat do souborů atp.

Rakouští počítačoví vědci však vytvořili techniku, kdy program nahraný v šifrované SGX enklávě v podstatě zneužije paměť aplikace, která jej do něj nahrála a skrze ni pak zaútočí na systém.

Kouzelné na tom všem je přitom právě to, že takový malware by nedokázal dohledat žádný antivirový program, protože práci s enklávami řeší přímo procesor a nikoliv operační systém, který by snad mohl dát antivirovému programu právo k auditu této části šifrované paměti. Kdyby to bylo možné, celý význam SGX ztrácí smysl

Útočník by mohl vytvořit velmi nebezpečný ransomware

Jedinou obranou Intel SGX před podobným zneužíváním této technologie jsou smluvní podmínky, které zakazují její zneužívání třeba právě pro vytvoření podobného malwaru. Bez schválení těchto podmínek přitom žádný vývojář nedostane právo podobnou enklávu vytvořit. I to však lze obejít a Intel ke všemu od podobné restrikce u nejnovějších procesoru po kritice upustil, protože vše komplikovala a veškerý kód, který mohl pracovat s enklávami, musel být speciálně digitálně podepsán.

Suma sumárum, kdyby hypotetický útočník zneužil SGX třeba pro spuštění ransomwaru, o jeho existenci by se nedozvěděl žádný antivirus, a když by ransomware dokonal své ďábelské dílo, zpětně by ani nebylo možné rozluštit jeho šifrovací klíče, kterými data znehodnotil, neboť i ty by mohly být uložené v této šifrované části RAM, ke které se nikdo nedostane (a předpokládejme, že k ní nemá žádná zadní vrátka ani Intel samotný, protože by si koledoval o pořádný průšvih).

Diskuze (25) Další článek: Amazon koupil startup Eero, který vyrábí mesh routery pro domácnost

Témata článku: Bezpečnost, Intel, Kód, Antivirus, Malware, Ransomware, Viry, Paměť, RAM, Štýrský Hradec, Restrikce, ANT +, Technická univerzita, Antivirový program, Arxivu, Data, Ars Technica, SGX, Super, Procesor, Schwartz


Určitě si přečtěte

Microsoft Defender je jeden z nejlepších antivirových programů, tvrdí výsledky AV-TESTu
Karel Kilián
Windows DefenderAntivirusWindows 10
CZ.NIC bezplatně naděluje USB/NFC klíče. Jak jej získat?
Lukáš Václavík
CZ.NICeGovernment
Testy procesorů Ryzen 5000: AMD překonalo Intel ve všech směrech

Testy procesorů Ryzen 5000: AMD překonalo Intel ve všech směrech

** AMD začalo prodávat nové procesory Ryzen 5000 s architekturou Zen 3 ** K dispozici jsou nezávislé testy z celého světa ** AMD překonává Intel ve všech směrech

Karel Javůrek | 69

Karel Javůrek
ProcesoryTestyAMD
Lidl buduje chytrou domácnost, propojí všechno se vším
Lukáš Václavík
LidlChytrá domácnostIoT
Vybíráme nejlepší monitory: Od úplně levných až po displeje na rozmazlování očí

Vybíráme nejlepší monitory: Od úplně levných až po displeje na rozmazlování očí

** Vybrali jsme nejlepší monitory na práci i pořádné hraní ** Nejlevnější monitor s kvalitním panelem nestojí ani tři tisíce ** Rozlišení 4K a větší obrazovka už není nedostupný luxus

David Polesný | 30

David Polesný
Monitory

Aktuální číslo časopisu Computer

Jak prodloužit výdrž notebooku

Velké testy: gamepady a inkoustové tiskárny

Důkladný test Sony Playstation 5