研究人员隐藏了英特尔SGX飞地中的恶意软件

一个学术团队已经找到了一种方法来滥用英特尔SGX飞地来隐藏安全软件中的恶意代码，并允许创建研究人员称之为“超级恶意软件”的内容。

英特尔软件防护扩展(SGX)是所有现代英特尔CPU中的一项功能，允许开发人员将应用程序隔离在安全的“飞地”中。

这些飞地工作在CPU处理存储器的硬件​​隔离部分，应用程序可以运行处理极其敏感细节的操作，例如加密密钥，密码，用户数据等。

直到今天，影响SGX飞地的唯一已知漏洞是侧通道攻击泄露了飞地内部正在处理的数据，泄露了应用程序的秘密。

但是在今天发表的一篇研究论文中，安全研究人员表明，SGX飞地可以用作隐藏无法检测到的恶意软件的地方。

这个前所未见的概念依赖于攻击者能够安装或欺骗用户安装设置恶意飞地的应用程序。

创建和加载恶意飞地并不像听起来那么容易，因为英特尔的SGX技术只接受并启动已使用已批准密钥的内部白名单上的签名密钥签名的飞地。这些密钥通常分发给经过批准的开发人员。

但该研究小组表示，至少有四种方法可以让威胁行为者获得签名密钥并签署恶意飞地。

“事实上，我们收到了一位学生的报告，他们独立于我们发现通过英特尔的流程很容易获得这样的签名密钥，”研究人员说。[我们不会列出所有四种方法，但可以在研究人员论文的第二页找到它们。]

但是，即使攻击者设法签名，植入，然后运行恶意飞地，这仍然不意味着系统已被感染，因为SGX飞地也无法完全访问本地操作系统所具有的相同类型的操作，仅限于几个命令。

但是在他们的研究论文中，学者们通过使用称为回归导向编程(ROP)的开发技术来躲避英特尔交易同步扩展(TSX)，以允许恶意飞地访问更广泛的命令集，从而解决了这一限制。它通常有权获得。

“我们的SGX-ROP攻击使用新的基于TSX的内存泄露原语和随处可写的原语来构建来自飞地内部的代码重用攻击，然后由主机应用程序无意中执行，”研究团队说。

“通过SGX-ROP，我们绕过ASLR，堆栈金丝雀，并解决消毒剂，”他们补充说。“我们证明，SGX目前不会保护用户免受伤害，而是会带来安全威胁，从而促进所谓的超级恶意软件攻击。”

该研究小组发布了概念验证代码，表明使用飞地恶意软件的攻击现在可以在实际水平上实现。

Since SGX enclaves are meant to work separately and be out of reach of the main operating system, any malicious enclave is theoretically impossible to detect by security products, and is the equivalent of a rootkit on steroids.

“英特尔意识到这项研究基于英特尔®SGX威胁模型之外的假设。英特尔SGX的价值在于在受保护的飞地执行代码;但是，英特尔SGX不保证代码在飞地来自可信赖的来源，“英特尔发言人通过电子邮件告诉我们。“在所有情况下，我们建议使用来自可靠来源的程序，文件，应用程序和插件。保护客户仍然是我们的关键优先事项，我们要感谢Michael Schwarz，Samuel Weiser和Daniel Grus正在进行的研究和与英特尔合作进行协调的漏洞披露。“

有关详细信息，请参阅标题为“使用英特尔SGX的实用Enclave恶意软件”的研究论文，可从此处下载PDF格式。

这项研究也不是第一次。在本文发表前一周，英特尔安全研究员Marion Marschalek也展示了恶意代码如何滥用SGX飞地来感染系统。视频如下。

　　免责声明：本文由用户上传，与本网站立场无关。财经信息仅供读者参考，并不构成投资建议。投资者据此操作，风险自担。 如有侵权请联系删除！