新技术发布：在SGX中植入超级恶意软件

据外媒报道，研究人员设计出了一种新技术，可以将恶意软件隐藏在英特尔SGX（Software Guard eXtensions）安全区中，多种安全技术都无法检测到。

研究小组成员包括奥地利格拉茨技术大学（Graz University of Technology）的MichaelSchwarz、Samuel Weiser和Daniel Gruss，以及发现Spectre-Meltdown CPU漏洞的专家。专家指出，主机应用程序通过不允许enclave攻击应用程序的接口与enclave进行通信。研究人员在英特尔CPU中使用了TSX（Transactional Synchronization eXtensions）以及TAP（TSX-based Address Probing, 一种抗错误读取技术）。

英特尔SGX是一项针对应用程序开发人员的技术，能防止代码和数据泄露或修改。它允许在Intel SGX enclave中执行应用程序代码，enclave可以理解为一个数据运行的安全环境，防止操作系统、内核、BIOS、SMM和hypervisor等进程在更高权限级别上运行。

新技术允许专家在内存区编写恶意代码，由于这些区域是安全区，使得安全检测效果不佳。

SGX-ROP攻击使用新的基于TSX的内存公开原语（memory-disclosure primitive）和任意地址写原语（write-anything-anywhereprimitive）来构造代码重用攻击。SGX-ROP可以绕过ASLR、栈金丝雀保护（stack canaries）和地址消毒剂（address sanitizer）。

运行SGX中的恶意软件时，SGX强大的保密性和完整性从根本上禁止了在enclave中进行恶意软件检查和分析。SGX不仅没有帮助用户免受伤害，反而构成了安全威胁，为超级恶意软件提供了攻击便利。

专家们发布了一个概念验证（proof-of-concept），绕过ASLR、栈金丝雀保护和地址消毒剂的整个攻击过程只需20.8秒。专家表示，下一代勒索软件若是将加密密钥保存在enclave中，勒索软件恢复工具就无法发挥作用。

注：本文由E安全编译报道,转载请注明原文地址

https://www.easyaq.com

▼点击“阅读原文” 查看更多精彩内容