亚洲 欧美 国产 综合

    <dd id="dqexn"><track id="dqexn"></track></dd>

  1. <rp id="dqexn"></rp>
      1. <em id="dqexn"><acronym id="dqexn"><input id="dqexn"></input></acronym></em>

        1. 您的位置首頁 >互聯網 >

          研究人員找到了一種在具有Intel處理器的系統上運行惡意代碼的方法

          該方法使得該惡意軟件無法被防病毒軟件分析或識別,而是使用處理器自身的功能來保護不良代碼。惡意行為者不僅使惡意軟件通常難以檢查,還可以使用這種保護來編寫例如勒索軟件應用程序,這些應用程序永遠不會在可讀存儲器中公開其加密密鑰,從而使從攻擊中恢復的難度大大提高。

          這項研究是由格拉茨理工大學的邁克爾·施瓦茨,塞繆爾·韋瑟和丹尼爾·格魯斯(去年的幽靈攻擊的幕后研究者之一)進行的,它使用了英特爾在其Skylake處理器中引入的一項名為SGX(“軟件警衛擴展”)的功能。 。SGX使程序能夠開拓飛地在其中保護代碼和與代碼一起使用的數據的地方,以確保其機密性(系統上的其他任何事物都無法監視它們)和完整性(可以檢測到對代碼或數據的任何篡改)。隔離區的內容在每次寫入RAM時都進行透明加密,并在讀取時解密。處理器控制對安全區內存的訪問:阻止從安全區外部的代碼訪問安全區內存的任何嘗試;解密和加密僅針對安全區域內的代碼進行。

          當開發人員想要保護代碼和/或數據免于窺視時,SGX已被提升為解決一系列安全問題的解決方案。例如,可以使用在云平臺上運行的SGX飛地來運行自定義專有算法,這樣,即使云提供商也無法確定算法在做什么。在客戶端計算機上,可以以類似方式使用SGX安全區來實施DRM(數字版權管理)限制。DRM所使用的解密過程和解密密鑰可以保存在安全區域內,從而使系統其余部分無法讀取它們。市場上有一些生物識別產品使用SGX飛地來處理生物識別數據并安全地存儲它,以防被篡改。

          SGX已針對這種特定的威脅模型進行了設計:該飛地值得信賴并包含敏感內容,但其他所有內容(應用程序,操作系統甚至系統管理程序)都可能具有敵意。盡管已經對該威脅模型進行了攻擊(例如,編寫不正確的SGX安全區可能容易受到定時攻擊或Meltdown式攻擊),但只要遵循某些最佳實踐,它似乎就很強大。

          讓我們忽略英特爾的威脅模型

          研究人員將這種魯棒性用于惡意目的,并考慮了一個問題:如果飛地中的代碼是惡意的,會發生什么?通過設計SGX,反惡意軟件將無法檢查或分析正在運行的惡意軟件。這將使其成為放置惡意代碼的有希望的場所。但是,飛地中的代碼非常受限制。特別是,它沒有進行操作系統調用的準備;它無法打開文件,無法從磁盤讀取數據或無法將數據寫入磁盤。所有這些事情都必須在飛地之外執行。這樣,天真的,一個基于SGX的勒索軟件假想應用程序將需要大量外部代碼SGX飛地:枚舉所有文檔,讀取它們并用其加密版本覆蓋它們的片段將不受保護。只有加密操作本身會在安全區域內發生。

          但是,安全區代碼確實具有讀取和寫入未加密過程存儲器中任何位置的能力;盡管飛地外部無法看到內部,但飛地內部可以自由查看外部。研究人員利用這種能力掃描了進程的內存,并找到了構造面向返回的編程(ROP)有效載荷以運行其選擇的代碼所需的信息。這將可執行代碼的小片段鏈接在一起,這些片段是宿主應用程序的一部分,可以執行宿主應用程序不想要的事情。

          需要一些技巧才能執行此閱讀和寫作。如果安全區代碼嘗試讀取未分配的內存或寫入未分配或只讀的內存,則通常的行為是生成異常,并使處理器退出安全區以處理該異常。這將使掃描主機的內存成為不可能,因為一旦發生異常,惡意圍場將不再運行,并且很有可能導致程序崩潰。為了解決這個問題,研究人員重新研究了一種在Meltdown攻擊中也有用的技術:他們使用了另一個英特爾處理器功能,即事務同步擴展(TSX)。

          鄭重聲明:本文版權歸原作者所有,轉載文章僅為傳播更多信息之目的,如作者信息標記有誤,請第一時間聯系我們修改或刪除,多謝。
          亚洲 欧美 国产 综合

            <dd id="dqexn"><track id="dqexn"></track></dd>

          1. <rp id="dqexn"></rp>
              1. <em id="dqexn"><acronym id="dqexn"><input id="dqexn"></input></acronym></em>