SIMonline © 2019

Работаем с interkassa Мы принимаем WebMoney
SIMonline - Virtual sim cards online
info: Доступна отправка SMS!

Intel SGX может быть использован для сокрытия вредоносных программ

Intel SGX может быть использован для сокрытия вредоносных программ



Команда исследователей продемонстрировала, что технология Intel SGX может быть использована для сокрытия продвинутого и скрытого вредоносного ПО, которое может позволить злоумышленникам украсть данные и проводить действия от имени жертвы. Intel утверждает, что ее технология работает так, как задумано, и не предназначена для блокирования атак такого типа.

Прием смс онлайн гарантирует безопасность вашего мобильного номера, при регистрациях на подозрительніх сайтах.

Майкл Шварц, Сэмюэль Вайзер и Даниэль Грусс из Технологического университета Граца в Австрии провели анализ Intel SGX и практичности использования вредоносных программ в анклаве. Стоит отметить, что Шварц и Грусс также участвовали в обнаружении пресловутых уязвимостей Meltdown и Spectre.

Intel Software Guard Extension (SGX) - это технология изолированного исполнения, присутствующая в процессорах Intel. Он разработан для защиты кода и данных от раскрытия и изменений - даже если система была взломана - позволяя разработчикам разделять свои приложения на защищенные аппаратным способом области памяти, называемые анклавами. Технология рекламируется для облачных сред, управления цифровыми правами (DRM), безопасного просмотра и других приложений.

Intel SGX может быть использована вредоносными программами. Хотя эта технология может быть очень полезной, ее также можно использовать в злонамеренных целях. Анклавы SGX могут быть идеальными для сокрытия вредоносных программ, поскольку они не позволяют антивирусам проверять выполняемый в них код, а киберпреступники могут разрабатывать программы-вымогатели, которые хранят ключи шифрования внутри анклава, чтобы сделать восстановление файлов невозможным.

В прошлом исследователи продемонстрировали, что анклавное вредоносное ПО может использовать побочные каналы для кражи конфиденциальной информации, но предполагалось, что существуют серьезные ограничения на то, что может делать анклавное вредоносное ПО. Некоторые ранее разработанные анклавные вредоносные программы полагались на приложение, запущенное на хосте для выполнения вредоносных действий.

Тем не менее, исследователи из Технологического университета Граца теперь показали, что анклавное вредоносное ПО может быть практичным, и оно не обязательно нуждается в поддержке со стороны вредоносного хост-приложения. Они продемонстрировали, как вредоносное ПО может обойти ограничения SGX и скрытно использовать безопасное приложение хоста.

В сценарии атаки, описанном экспертами, жертва использует надежную и безопасную систему. Злоумышленник доставляет безопасное приложение, которое использует вредоносный анклав при выполнении. Хост-приложение связывается с анклавом через интерфейс, который не должен позволять анклаву атаковать приложение.

Однако, несмотря на серьезные ограничения, исследователи продемонстрировали, что можно избежать выхода из анклава и выполнить произвольный код с привилегиями хоста даже без использования каких-либо аппаратных недостатков в SGX. Атака может даже обойти защиту от эксплойтов, такую ​​как ASLR, стековые канарейки и Address Sanitizer.

Теоретические сценарии атак, описанные экспертами, включают участников криминальной угрозы, которые представляют вредоносные программы в виде компьютерных игр, требующих исполнения анклава DRM, приложения для обмена сообщениями, которое запускает анклав по соображениям безопасности, и специального декодера, который, как утверждается, нуждается в анклаве для обеспечения интересующей функции. В сценариях атак, вредоносное ПО анклава доставляется через одобренные государством приложения, такие как инструменты цифровой подписи.

По словам экспертов, хакеры могут похищать или шифровать файлы с целью получения выкупа или выполнять действия от имени жертвы, включая рассылку фишинговых писем или запуск атак типа «отказ в обслуживании» (DoS).

Сложные субъекты угроз могут найти этот метод полезным, так как он может помочь им гарантировать, что уязвимости нулевого дня, используемые в их атаках, не будут обнаружены, если будет обнаружено их вредоносное ПО. Этот метод позволяет злоумышленнику активировать эксплойт в определенный момент, чтобы предотвратить обнаружение перед выполнением, что может быть полезно для крупномасштабных синхронизированных угроз, таких как бот-сети и вымогатели.

«[Скрытие] вредоносного ПО в анклаве SGX дает злоумышленникам правдоподобное отрицание и скрытность до тех пор, пока они не решат начать атаку. Это особенно актуально для вредоносных программ на основе триггеров, в которых используется эксплойт нулевого дня, но также для обеспечения правдоподобного отрицания по юридическим или политическим причинам, например, для субъекта государства. Возможные сценарии варьируются от синхронизированных крупномасштабных атак типа «отказ в обслуживании» до целевых атак на отдельных лиц », - пояснили исследователи.

«Мы заключаем, что вместо того, чтобы защищать пользователей от вреда, SGX в настоящее время представляет угрозу безопасности, способствуя так называемому супер-вредоносному ПО с готовыми к атаке эксплойтами. Наши результаты закладывают основу для будущих исследований по более реалистичным доверительным отношениям между анклавами и не-анклавами, а также по снижению вредоносного ПО анклавов », - отметили они.

Intel поблагодарила исследователей за их работу и за координацию раскрытия метода. Тем не менее, технический гигант говорит, что исследование «основано на предположениях, которые находятся за пределами модели угроз для Intel SGX».

«Ценность Intel SGX заключается в выполнении кода в защищенном анклаве; однако Intel SGX не гарантирует, что код, выполняемый в анклаве, получен из надежного источника. Во всех случаях мы рекомендуем использовать программы, файлы, приложения и плагины из надежных источников », - сказали в Intel.


2019-02-25 18:00:47


<<- Adobe исправляет ошибку утечки данных в Reader

Уязвимость плагина WP Cost Assessment, крах для сайтов на WordPress ->>