Spectre-Lücken erlaubt Malware zu verstecken

Computerwissenschaftler konnten zeigen, dass sich die auf CPUs bekannten Spectre-Lücken eignen, um Malware auf Systemen zu verstecken. Eine weitere, unwillkommene Erkenntnis.


Anzeige

Spectre ist ein Sammlung von Schwachstellen in modernen CPUs, die mittels Seitenkanalangriffen zum Diebstahl sensibler Daten ausgenutzt werden können. Erst kürzlich war gezeigt worden, dass bisherige Patches weitgehend wirkungslos sind. heise.de hat dieses Thema in diesem Beitrag aufbereitet.

Nun berichten ZDNet.com und The Register von einem ExSpectre genannten Ansatz. Sicherheitsforschern ist es gelungen, durch die CPU-Optimierungsfeatures (speculative execution) Malware in Anwendungen zu verstecken. Der Ansatz wurde auf dem Network and Distributed Systems Security (NDSS) Symposium 2019 in San Diego, Kalifornien, vorgestellt.

Das Dokument "ExSpectre: Hiding Malware in Speculative Execution", das von drei Informatik-Spezialisten der University of Colorado, Boulder in den USA – Jack Wampler, Ian Martiny und Eric Wustrow – mitverfasst wurde, beschreibt eine Möglichkeit, bösartigen Code in eine scheinbar harmlose Payload-Binary zu kompilieren, so dass er durch spekulative Ausführung ohne Erkennung ausgeführt werden kann.


Anzeige

Die Forscher haben einen Ansatz entwickelt, wie ein Nutzlastprogramm und ein Triggerprogramm interagieren können, um verdeckte Berechnungen durchzuführen. Das Nutzlast- und Triggerprogramm wird über häufig verwendete Angriffsvektoren (z.B. Trojanercode, Remote Exploit oder Phishing) installiert und muss auf derselben CPU ausgeführt werden. Das Triggerprogramm kann auch in Form einer speziellen Eingabe in die Payload oder einer residenten Anwendung erfolgen, die mit dem Payload-Programm interagiert.

"Wenn ein separates Triggerprogramm auf derselben Maschine läuft, missbraucht es den branch predictor der CPU und veranlasst das Nutzlastprogramm, seine bösartige Nutzlast spekulativ auszuführen, und die spekulative Ergebnisse an den Rest des Nutzlastprogramms zurückzumelden, um sein reales Verhalten zu ändern", schreiben die Forscher. Das Ergebnis ist eine gehärtete (stealth) Malware. Diese widersetzt sich der Erkennung durch aktuelle Reverse-Engineering-Techniken. Sie nutzt dazu den Umstand, dass sich in einer transienten Umgebung ausgeführt wird, die für statische oder dynamische Analysen, die von den meisten aktuellen Sicherheitsmaschinen verwendet werden, nicht zugänglich ist. Selbst wenn das Triggerprogramm erkannt und entfernt wird, bleibt der Nutzlastcode in Betrieb.

Es gibt jedoch Grenzen für diese Technik. Unter anderem kann der bösartige Code nur aus irgendwo zwischen hundert und zweihundert Anweisungen bestehen. Und die Geschwindigkeit, mit der Daten gewonnen werden können, ist nicht besonders schnell: Die Forscher entwickelten ein spekulatives Programm, das 1KB Daten entschlüsseln und mit einer Geschwindigkeit von 5,38 Kbps exfiltrieren konnte, wobei 20 redundante Iterationen angenommen wurden, um die Korrektheit der Daten sicherzustellen.


Anzeige

Dieser Beitrag wurde unter Sicherheit abgelegt und mit verschlagwortet. Setze ein Lesezeichen auf den Permalink.

3 Antworten zu Spectre-Lücken erlaubt Malware zu verstecken

  1. Bernard sagt:

    "dass bisherige Patches weitgehend wirkungslos sind"

    Sehr ärgerlich.

    Denn die bishering Patches haben vor allem dazu geführt, dass moderne Rechner jetzt deutlich langsamer sind.

  2. Nobody Private sagt:

    Ich finde diese Forschungen recht interessant, nur mit dem Publik machen hab ich schon ein bisschen Bauchweh. Wenn diese Tatsachen veröffentlicht werden sobald Fixe dafür vorliegen, feine Sache. Gibt es kein Gegenmittel wird es haarig. Es werden alle informiert, ich schaue dumm aus der Wäsche und der böse Bube freut sich.
    Siehe die Info zur unace dll. Kaum bekannt gegeben stürzen sich Leute drauf. Wie dort beschrieben ist die Reaktion von „Schutzsoftware" auch nicht die schnellste. Wenn einer dynamisch patchen kann und der andere, wie es aussieht eine offizielle gefixte Version hat kommen schon Fragen auf.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

Hinweis: Bitte beachtet die Regeln zum Kommentieren im Blog (Erstkommentare und Verlinktes landet in der Moderation, gebe ich alle paar Stunden frei, SEO-Posts/SPAM lösche ich rigoros). Kommentare abseits des Themas bitte unter Diskussion.

Du findest den Blog gut, hast aber Werbung geblockt? Du kannst diesen Blog auch durch eine Spende unterstützen.