Malware | Ransomware | Viry

Představte si supermalware, který neodhalí žádný antivirus. Už existuje

Představte si supermalware, který neodhalí žádný antivirus. Už existuje

Michael Schwartz s kolegy z Technické univerzity ve Štýrském Hradci popsal na Arxivu (via Ars Technica) novou techniku počítačového malwaru, který neodhalí žádný antivirus.

Jejich experimentální virus totiž přežívá v nedotknutelné a silně šifrované části paměti RAM, kterou si vytvoří bezpečnostní vrstva Intel SGX (Software Guard Extensions), jenž je součástí některých, především podnikových, procesorů od stejnojmenného výrobce.

Nedotknutelná RAM

SGX pak na popud vývojáře v této paměti vytvoří tzv. enklávu, ke které nemají žádné cizí procesy včetně operačního systému přístup, a v RAM tak mohou přežívat citlivá data a zároveň programový kód, který s nimi bude provádět libovolné operace.

Technologii lze využít třeba pro uložení kryptografických klíčů, DRM, kritických podnikových dat nebo třeba citlivých algoritmů, ke kterým se nikdo nedostane –ani provozovatel datového centra kdesi v cloudu, který bude na svých serverech nabízet procesory s touto technologií.

Co když z ní bude útočit virus?

Nabízí se otázka, co se stane, když do této šifrované RAM namísto legitimního programového kódu uložíme zákeřný malware? Intel na to (částečně) pamatoval, takže takový program může pracovat pouze se svými vlastními daty, nemůže provádět žádná systémová volání, zapisovat do souborů atp.

Rakouští počítačoví vědci však vytvořili techniku, kdy program nahraný v šifrované SGX enklávě v podstatě zneužije paměť aplikace, která jej do něj nahrála a skrze ni pak zaútočí na systém.

Kouzelné na tom všem je přitom právě to, že takový malware by nedokázal dohledat žádný antivirový program, protože práci s enklávami řeší přímo procesor a nikoliv operační systém, který by snad mohl dát antivirovému programu právo k auditu této části šifrované paměti. Kdyby to bylo možné, celý význam SGX ztrácí smysl

Útočník by mohl vytvořit velmi nebezpečný ransomware

Jedinou obranou Intel SGX před podobným zneužíváním této technologie jsou smluvní podmínky, které zakazují její zneužívání třeba právě pro vytvoření podobného malwaru. Bez schválení těchto podmínek přitom žádný vývojář nedostane právo podobnou enklávu vytvořit. I to však lze obejít a Intel ke všemu od podobné restrikce u nejnovějších procesoru po kritice upustil, protože vše komplikovala a veškerý kód, který mohl pracovat s enklávami, musel být speciálně digitálně podepsán.

Suma sumárum, kdyby hypotetický útočník zneužil SGX třeba pro spuštění ransomwaru, o jeho existenci by se nedozvěděl žádný antivirus, a když by ransomware dokonal své ďábelské dílo, zpětně by ani nebylo možné rozluštit jeho šifrovací klíče, kterými data znehodnotil, neboť i ty by mohly být uložené v této šifrované části RAM, ke které se nikdo nedostane (a předpokládejme, že k ní nemá žádná zadní vrátka ani Intel samotný, protože by si koledoval o pořádný průšvih).

Diskuze (24) Další článek: Amazon koupil startup Eero, který vyrábí mesh routery pro domácnost

Témata článku: Bezpečnost, Intel, Malware, Antivirus, Kód, Ransomware, Viry, SGX, Data, Procesor, Technická univerzita, Ars Technica, Paměť, RAM, Schwartz, Štýrský Hradec, Antivirový program, Arxivu


Určitě si přečtěte

Ověřte si, jak je na tom váš disk nebo SSD: 8 tipů na aplikace, které vám to řeknou

Ověřte si, jak je na tom váš disk nebo SSD: 8 tipů na aplikace, které vám to řeknou

** Na pevných discích bývá uloženo to nejcennější – naše data ** Sledujte jejich „zdravotní stav“ pomocí jednoho z nástrojů ** Případné problémy díky nim odhalíte dříve než nastanou

Karel Kilián | 21

Co pořídit k počítači: tipy na osvědčené klávesnice, sluchátka a další příslušenství

Co pořídit k počítači: tipy na osvědčené klávesnice, sluchátka a další příslušenství

** Toto jsou tipy Živě.cz na příslušenství k počítači, se kterým neuděláte chybu ** Klávesnice, myši, tiskárny, sluchátka... ** Vybíráme jak příslušenství na běžnou práci, tak na hraní her

David Polesný | 26

Huawei představil ohebný Mate X. Působí ještě lépe, než Galaxy Fold od Samsungu

Huawei představil ohebný Mate X. Působí ještě lépe, než Galaxy Fold od Samsungu

Jan Láska, Martin Chroust, Vladislav Kluska, Martin Miksa | 58

Čistič moře nejenže nefunguje, ale navíc se láme

Čistič moře nejenže nefunguje, ale navíc se láme

** Zařízení v hodnotě 40 milionů dolarů mělo sbírat z hladiny oceánu plovoucí plastový odpad ** Mise ale nenaplňuje očekávání ** Šest set metrů dlouhé monstrum nejen moře nečistí, ale navíc rozpadá

Jaroslav Petr | 28