首页 最新 国内 国际 数据泄露 网络战 行业 报告 观点 预警 安全意识 人工智能 招聘 云计算 大数据 程序员 系统 专家 融资 人物 工具 安全基础设施 推广 公告 教育

新技术发布:在SGX中植入超级恶意软件

据外媒报道,研究人员设计出了一种新技术,可以将恶意软件隐藏在英特尔SGX(Software Guard eXtensions)安全区中,多种安全技术都无法检测到。

研究小组成员包括奥地利格拉茨技术大学(Graz University of Technology)的MichaelSchwarz、Samuel Weiser和Daniel Gruss,以及发现Spectre-Meltdown CPU漏洞的专家。专家指出,主机应用程序通过不允许enclave攻击应用程序的接口与enclave进行通信。研究人员在英特尔CPU中使用了TSX(Transactional Synchronization eXtensions)以及TAP(TSX-based Address Probing, 一种抗错误读取技术)。

新技术发布:在SGX中植入超级恶意软件-E安全

英特尔SGX是一项针对应用程序开发人员的技术,能防止代码和数据泄露或修改。它允许在Intel SGX enclave中执行应用程序代码,enclave可以理解为一个数据运行的安全环境,防止操作系统、内核、BIOS、SMM和hypervisor等进程在更高权限级别上运行。

新技术允许专家在内存区编写恶意代码,由于这些区域是安全区,使得安全检测效果不佳。

SGX-ROP攻击使用新的基于TSX的内存公开原语(memory-disclosure primitive)和任意地址写原语(write-anything-anywhereprimitive)来构造代码重用攻击。SGX-ROP可以绕过ASLR、栈金丝雀保护(stack canaries)和地址消毒剂(address sanitizer)。

运行SGX中的恶意软件时,SGX强大的保密性和完整性从根本上禁止了在enclave中进行恶意软件检查和分析。SGX不仅没有帮助用户免受伤害,反而构成了安全威胁,为超级恶意软件提供了攻击便利。

专家们发布了一个概念验证(proof-of-concept),绕过ASLR、栈金丝雀保护和地址消毒剂的整个攻击过程只需20.8秒。专家表示,下一代勒索软件若是将加密密钥保存在enclave中,勒索软件恢复工具就无法发挥作用。


E安全注:本文系E安全由国外公开媒体搜集并独家编译报道,转载请联系授权,并保留出处与链接,不得删减内容。联系方式:① 微信号j871798128②邮箱eapp@easyaq.com

@E安全,最专业的前沿网络安全媒体和产业服务平台,每日提供优质全球网络安全资讯与深度思考,欢迎关注微信公众号「E安全」(EAQapp),或登陆E安全门户网站户网站户网站户网站www.easyaq.com ,  查看更多精彩内容。