技术前沿

新技术发布:在SGX中植入超级恶意软件

2019-02-15 蓝西资讯

        据外媒报道,研究人员设计出了一种新技术,可以将恶意软件隐藏在英特尔SGX(Software Guard eXtensions)安全区中,多种安全技术都无法检测到。

        研究小组成员包括奥地利格拉茨技术大学(Graz University of Technology)的MichaelSchwarz、Samuel Weiser和Daniel Gruss,以及发现Spectre-Meltdown CPU漏洞的专家。专家指出,主机应用程序通过不允许enclave攻击应用程序的接口与enclave进行通信。研究人员在英特尔CPU中使用了TSX(Transactional Synchronization eXtensions)以及TAP(TSX-based Address Probing, 一种抗错误读取技术)。

新技术发布:在SGX中植入超级恶意软件-E安全

        英特尔SGX是一项针对应用程序开发人员的技术,能防止代码和数据泄露或修改。它允许在Intel SGX enclave中执行应用程序代码,enclave可以理解为一个数据运行的安全环境,防止操作系统、内核、BIOS、SMM和hypervisor等进程在更高权限级别上运行。

        新技术允许专家在内存区编写恶意代码,由于这些区域是安全区,使得安全检测效果不佳。

        SGX-ROP攻击使用新的基于TSX的内存公开原语(memory-disclosure primitive)和任意地址写原语(write-anything-anywhereprimitive)来构造代码重用攻击。SGX-ROP可以绕过ASLR、栈金丝雀保护(stack canaries)和地址消毒剂(address sanitizer)。

        运行SGX中的恶意软件时,SGX强大的保密性和完整性从根本上禁止了在enclave中进行恶意软件检查和分析。SGX不仅没有帮助用户免受伤害,反而构成了安全威胁,为超级恶意软件提供了攻击便利。

        专家们发布了一个概念验证(proof-of-concept),绕过ASLR、栈金丝雀保护和地址消毒剂的整个攻击过程只需20.8秒。专家表示,下一代勒索软件若是将加密密钥保存在enclave中,勒索软件恢复工具就无法发挥作用。