Malware | Ransomware | Viry

Představte si supermalware, který neodhalí žádný antivirus. Už existuje

Michael Schwartz s kolegy z Technické univerzity ve Štýrském Hradci popsal na Arxivu (via Ars Technica) novou techniku počítačového malwaru, který neodhalí žádný antivirus.

Jejich experimentální virus totiž přežívá v nedotknutelné a silně šifrované části paměti RAM, kterou si vytvoří bezpečnostní vrstva Intel SGX (Software Guard Extensions), jenž je součástí některých, především podnikových, procesorů od stejnojmenného výrobce.

Nedotknutelná RAM

SGX pak na popud vývojáře v této paměti vytvoří tzv. enklávu, ke které nemají žádné cizí procesy včetně operačního systému přístup, a v RAM tak mohou přežívat citlivá data a zároveň programový kód, který s nimi bude provádět libovolné operace.

Technologii lze využít třeba pro uložení kryptografických klíčů, DRM, kritických podnikových dat nebo třeba citlivých algoritmů, ke kterým se nikdo nedostane –ani provozovatel datového centra kdesi v cloudu, který bude na svých serverech nabízet procesory s touto technologií.

Co když z ní bude útočit virus?

Nabízí se otázka, co se stane, když do této šifrované RAM namísto legitimního programového kódu uložíme zákeřný malware? Intel na to (částečně) pamatoval, takže takový program může pracovat pouze se svými vlastními daty, nemůže provádět žádná systémová volání, zapisovat do souborů atp.

Rakouští počítačoví vědci však vytvořili techniku, kdy program nahraný v šifrované SGX enklávě v podstatě zneužije paměť aplikace, která jej do něj nahrála a skrze ni pak zaútočí na systém.

Kouzelné na tom všem je přitom právě to, že takový malware by nedokázal dohledat žádný antivirový program, protože práci s enklávami řeší přímo procesor a nikoliv operační systém, který by snad mohl dát antivirovému programu právo k auditu této části šifrované paměti. Kdyby to bylo možné, celý význam SGX ztrácí smysl

Útočník by mohl vytvořit velmi nebezpečný ransomware

Jedinou obranou Intel SGX před podobným zneužíváním této technologie jsou smluvní podmínky, které zakazují její zneužívání třeba právě pro vytvoření podobného malwaru. Bez schválení těchto podmínek přitom žádný vývojář nedostane právo podobnou enklávu vytvořit. I to však lze obejít a Intel ke všemu od podobné restrikce u nejnovějších procesoru po kritice upustil, protože vše komplikovala a veškerý kód, který mohl pracovat s enklávami, musel být speciálně digitálně podepsán.

Suma sumárum, kdyby hypotetický útočník zneužil SGX třeba pro spuštění ransomwaru, o jeho existenci by se nedozvěděl žádný antivirus, a když by ransomware dokonal své ďábelské dílo, zpětně by ani nebylo možné rozluštit jeho šifrovací klíče, kterými data znehodnotil, neboť i ty by mohly být uložené v této šifrované části RAM, ke které se nikdo nedostane (a předpokládejme, že k ní nemá žádná zadní vrátka ani Intel samotný, protože by si koledoval o pořádný průšvih).

Diskuze (25) Další článek: Amazon koupil startup Eero, který vyrábí mesh routery pro domácnost

Témata článku: , , , , , , , , , , , , , , , , , , , , , , , ,