Computerwissenschaftler konnten zeigen, dass sich die auf CPUs bekannten Spectre-Lücken eignen, um Malware auf Systemen zu verstecken. Eine weitere, unwillkommene Erkenntnis.
Anzeige
Spectre ist ein Sammlung von Schwachstellen in modernen CPUs, die mittels Seitenkanalangriffen zum Diebstahl sensibler Daten ausgenutzt werden können. Erst kürzlich war gezeigt worden, dass bisherige Patches weitgehend wirkungslos sind. heise.de hat dieses Thema in diesem Beitrag aufbereitet.
ExSpectre: Researchers hide malware in benign apps with the help of speculative execution (same CPU optimization feature exploited by Meltdown and Spectre)https://t.co/ZoMXKKuOlm pic.twitter.com/UdBcIOZnU5
— Catalin Cimpanu (@campuscodi) 26. Februar 2019
Nun berichten ZDNet.com und The Register von einem ExSpectre genannten Ansatz. Sicherheitsforschern ist es gelungen, durch die CPU-Optimierungsfeatures (speculative execution) Malware in Anwendungen zu verstecken. Der Ansatz wurde auf dem Network and Distributed Systems Security (NDSS) Symposium 2019 in San Diego, Kalifornien, vorgestellt.
Das Dokument "ExSpectre: Hiding Malware in Speculative Execution", das von drei Informatik-Spezialisten der University of Colorado, Boulder in den USA – Jack Wampler, Ian Martiny und Eric Wustrow – mitverfasst wurde, beschreibt eine Möglichkeit, bösartigen Code in eine scheinbar harmlose Payload-Binary zu kompilieren, so dass er durch spekulative Ausführung ohne Erkennung ausgeführt werden kann.
Anzeige
Die Forscher haben einen Ansatz entwickelt, wie ein Nutzlastprogramm und ein Triggerprogramm interagieren können, um verdeckte Berechnungen durchzuführen. Das Nutzlast- und Triggerprogramm wird über häufig verwendete Angriffsvektoren (z.B. Trojanercode, Remote Exploit oder Phishing) installiert und muss auf derselben CPU ausgeführt werden. Das Triggerprogramm kann auch in Form einer speziellen Eingabe in die Payload oder einer residenten Anwendung erfolgen, die mit dem Payload-Programm interagiert.
"Wenn ein separates Triggerprogramm auf derselben Maschine läuft, missbraucht es den branch predictor der CPU und veranlasst das Nutzlastprogramm, seine bösartige Nutzlast spekulativ auszuführen, und die spekulative Ergebnisse an den Rest des Nutzlastprogramms zurückzumelden, um sein reales Verhalten zu ändern", schreiben die Forscher. Das Ergebnis ist eine gehärtete (stealth) Malware. Diese widersetzt sich der Erkennung durch aktuelle Reverse-Engineering-Techniken. Sie nutzt dazu den Umstand, dass sich in einer transienten Umgebung ausgeführt wird, die für statische oder dynamische Analysen, die von den meisten aktuellen Sicherheitsmaschinen verwendet werden, nicht zugänglich ist. Selbst wenn das Triggerprogramm erkannt und entfernt wird, bleibt der Nutzlastcode in Betrieb.
Es gibt jedoch Grenzen für diese Technik. Unter anderem kann der bösartige Code nur aus irgendwo zwischen hundert und zweihundert Anweisungen bestehen. Und die Geschwindigkeit, mit der Daten gewonnen werden können, ist nicht besonders schnell: Die Forscher entwickelten ein spekulatives Programm, das 1KB Daten entschlüsseln und mit einer Geschwindigkeit von 5,38 Kbps exfiltrieren konnte, wobei 20 redundante Iterationen angenommen wurden, um die Korrektheit der Daten sicherzustellen.
Anzeige
"dass bisherige Patches weitgehend wirkungslos sind"
Sehr ärgerlich.
Denn die bishering Patches haben vor allem dazu geführt, dass moderne Rechner jetzt deutlich langsamer sind.
zum Teil so langsam, dass sie gar nicht mehr liefen :-)
Ich finde diese Forschungen recht interessant, nur mit dem Publik machen hab ich schon ein bisschen Bauchweh. Wenn diese Tatsachen veröffentlicht werden sobald Fixe dafür vorliegen, feine Sache. Gibt es kein Gegenmittel wird es haarig. Es werden alle informiert, ich schaue dumm aus der Wäsche und der böse Bube freut sich.
Siehe die Info zur unace dll. Kaum bekannt gegeben stürzen sich Leute drauf. Wie dort beschrieben ist die Reaktion von „Schutzsoftware" auch nicht die schnellste. Wenn einer dynamisch patchen kann und der andere, wie es aussieht eine offizielle gefixte Version hat kommen schon Fragen auf.