Intel i malver: Maliciozni programi otporni na antiviruse
Sigurnosni istraživači pronašli su način da pokrenu maliciozni kod u okviru sistema koji koriste Intel procesore, tako da malver ne može da bude analiziran ili prepoznat od strane antivirus softvera, budući da su iskoristili opcije samih procesora da zaštite maliciozne delove koda. Tako se ukazalo na to da napadači ne samo da mogu da malver učine nedetektibilnim, već mogu da stvore uslove koji bi učinili da se pogođeni uređaji teže oporavljaju nakon napada.
Istraživanje je sprovedeno na Univerzitetu u Gracu, a korišćena je opcija koju je Intel doneo sa Skylake procesorima – SGX (“Software Guard eXtensions”). Naime, SGX programima omogućava da naprave „sigurne džepove“ u okviru kojih kod, te podaci sa kojima kod radi, ostaju zaštićeni, a kako bi se osigurala poverljivost i integritet. Tako se podaci koji se čuvaju u takvom džepu enkriptuju svaki put kada se upišu na RAM, te dekriptuju prilikom svakog čitanja. Svaki pristup kodu i podacima u džepu od stane nekog spoljašnjeg softvera se blokira, a enkripcija i dekripcija se vrše samo u okviru džepa.
Summary: Take an exploit, encrypt it, put it in an SGX enclave, decrypt only after remote trigger signal, run exploit via ROP chain on host app, remove traces of ROP immediately + continue regular host execution, repeat on other victims.
— Daniel Gruss (@lavados) February 12, 2019
SGX je kreiran kao sigurnosno rešenje za mnoge potencijalne rizike, a sigurnosni istraživači su postavili pitanje – šta bi se dogodilo ako bi se u sigurnom džepu našao neki maliciozni kod, te došli do toga da bi antivirus programima bilo nemoguće da analiziraju potencijalno opasne programe u okviru ovog prostora. Tako bi ova sredina mogla da postane „raj“ za napadače, budući da bi njihove maliciozne namere ostajale sigurne u prostoru koji je zaštićen od svih spoljašnjih uticaja.
Izvor: Ars Technica
