Malware | Ransomware | Viry

Představte si supermalware, který neodhalí žádný antivirus. Už existuje

Představte si supermalware, který neodhalí žádný antivirus. Už existuje

Michael Schwartz s kolegy z Technické univerzity ve Štýrském Hradci popsal na Arxivu (via Ars Technica) novou techniku počítačového malwaru, který neodhalí žádný antivirus.

Jejich experimentální virus totiž přežívá v nedotknutelné a silně šifrované části paměti RAM, kterou si vytvoří bezpečnostní vrstva Intel SGX (Software Guard Extensions), jenž je součástí některých, především podnikových, procesorů od stejnojmenného výrobce.

Nedotknutelná RAM

SGX pak na popud vývojáře v této paměti vytvoří tzv. enklávu, ke které nemají žádné cizí procesy včetně operačního systému přístup, a v RAM tak mohou přežívat citlivá data a zároveň programový kód, který s nimi bude provádět libovolné operace.

Technologii lze využít třeba pro uložení kryptografických klíčů, DRM, kritických podnikových dat nebo třeba citlivých algoritmů, ke kterým se nikdo nedostane –ani provozovatel datového centra kdesi v cloudu, který bude na svých serverech nabízet procesory s touto technologií.

Co když z ní bude útočit virus?

Nabízí se otázka, co se stane, když do této šifrované RAM namísto legitimního programového kódu uložíme zákeřný malware? Intel na to (částečně) pamatoval, takže takový program může pracovat pouze se svými vlastními daty, nemůže provádět žádná systémová volání, zapisovat do souborů atp.

Rakouští počítačoví vědci však vytvořili techniku, kdy program nahraný v šifrované SGX enklávě v podstatě zneužije paměť aplikace, která jej do něj nahrála a skrze ni pak zaútočí na systém.

Kouzelné na tom všem je přitom právě to, že takový malware by nedokázal dohledat žádný antivirový program, protože práci s enklávami řeší přímo procesor a nikoliv operační systém, který by snad mohl dát antivirovému programu právo k auditu této části šifrované paměti. Kdyby to bylo možné, celý význam SGX ztrácí smysl

Útočník by mohl vytvořit velmi nebezpečný ransomware

Jedinou obranou Intel SGX před podobným zneužíváním této technologie jsou smluvní podmínky, které zakazují její zneužívání třeba právě pro vytvoření podobného malwaru. Bez schválení těchto podmínek přitom žádný vývojář nedostane právo podobnou enklávu vytvořit. I to však lze obejít a Intel ke všemu od podobné restrikce u nejnovějších procesoru po kritice upustil, protože vše komplikovala a veškerý kód, který mohl pracovat s enklávami, musel být speciálně digitálně podepsán.

Suma sumárum, kdyby hypotetický útočník zneužil SGX třeba pro spuštění ransomwaru, o jeho existenci by se nedozvěděl žádný antivirus, a když by ransomware dokonal své ďábelské dílo, zpětně by ani nebylo možné rozluštit jeho šifrovací klíče, kterými data znehodnotil, neboť i ty by mohly být uložené v této šifrované části RAM, ke které se nikdo nedostane (a předpokládejme, že k ní nemá žádná zadní vrátka ani Intel samotný, protože by si koledoval o pořádný průšvih).

Diskuze (23) Další článek: Amazon koupil startup Eero, který vyrábí mesh routery pro domácnost

Témata článku: Bezpečnost, Intel, Malware, Antivirus, Kód, Ransomware, Viry, Štýrský Hradec, Ars Technica, Paměť, Data, Antivirový program, RAM, SGX, Technická univerzita, Procesor, Arxivu


Určitě si přečtěte

Neuronová síť WaveNet už mluví i slovensky. Google se bojí falšování reality

Neuronová síť WaveNet už mluví i slovensky. Google se bojí falšování reality

** Brzy nerozpoznáme hlasovou syntézu od skutečnosti ** Ruku v ruce s tím se objeví i pokusy o manipulaci reality ** Google před tím nyní varuje

Jakub Čížek | 18

Modelářský zázrak: Maketa raketoplánu Columbia, která létá jako skutečná raketa

Modelářský zázrak: Maketa raketoplánu Columbia, která létá jako skutečná raketa

** Model raketoplánu Columbia od českého konstruktéra umí i létat ** Obdivuhodný model si vzal 1600 hodin práce ** Podívejte se na fotografie ze stavby a prvního letu

Karel Jeřábek | 21

Jak je na tom baterie ve vašem notebooku? Otestujte si ji!

Jak je na tom baterie ve vašem notebooku? Otestujte si ji!

** Životnost akumulátorů není neomezená a jednoho dne přijde konec ** Otestovat stav baterie můžete pomocí celé řady nástrojů ** Případné problémy díky nim odhalíte dřív než bude pozdě

Karel Kilián | 19