据外媒报道,研究人员设计出了一种新技术,可以将恶意软件隐藏在英特尔SGX(Software Guard eXtensions)安全区中,多种安全技术都无法检测到。

研究小组成员包括奥地利格拉茨技术大学(Graz University of Technology)的MichaelSchwarz、Samuel Weiser和Daniel Gruss,以及发现Spectre-Meltdown CPU漏洞的专家。专家指出,主机应用程序通过不允许enclave攻击应用程序的接口与enclave进行通信。研究人员在英特尔CPU中使用了TSX(Transactional Synchronization eXtensions)以及TAP(TSX-based Address Probing, 一种抗错误读取技术)。

英特尔SGX是一项针对应用程序开发人员的技术,能防止代码和数据泄露或修改。它允许在Intel SGX enclave中执行应用程序代码,enclave可以理解为一个数据运行的安全环境,防止操作系统、内核、BIOS、SMM和hypervisor等进程在更高权限级别上运行。

新技术允许专家在内存区编写恶意代码,由于这些区域是安全区,使得安全检测效果不佳。

SGX-ROP攻击使用新的基于TSX的内存公开原语(memory-disclosure primitive)和任意地址写原语(write-anything-anywhereprimitive)来构造代码重用攻击。SGX-ROP可以绕过ASLR、栈金丝雀保护(stack canaries)和地址消毒剂(address sanitizer)。

运行SGX中的恶意软件时,SGX强大的保密性和完整性从根本上禁止了在enclave中进行恶意软件检查和分析。SGX不仅没有帮助用户免受伤害,反而构成了安全威胁,为超级恶意软件提供了攻击便利。

专家们发布了一个概念验证(proof-of-concept),绕过ASLR、栈金丝雀保护和地址消毒剂的整个攻击过程只需20.8秒。专家表示,下一代勒索软件若是将加密密钥保存在enclave中,勒索软件恢复工具就无法发挥作用。

声明:本文来自E安全,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。