{"id":215197,"date":"2019-03-01T00:03:00","date_gmt":"2019-02-28T23:03:00","guid":{"rendered":"https:\/\/www.borncity.com\/blog\/?p=215197"},"modified":"2019-02-28T20:01:16","modified_gmt":"2019-02-28T19:01:16","slug":"spectre-lcken-erlaubt-malware-zu-verstecken","status":"publish","type":"post","link":"https:\/\/borncity.com\/blog\/2019\/03\/01\/spectre-lcken-erlaubt-malware-zu-verstecken\/","title":{"rendered":"Spectre-L&uuml;cken erlaubt Malware zu verstecken"},"content":{"rendered":"<p><img loading=\"lazy\" decoding=\"async\" style=\"float: left; margin: 0px 10px 0px 0px; display: inline\" src=\"https:\/\/borncity.com\/blog\/wp-content\/uploads\/2015\/01\/Schutz.jpg\" width=\"40\" align=\"left\" height=\"47\"\/>Computerwissenschaftler konnten zeigen, dass sich die auf CPUs bekannten Spectre-L\u00fccken eignen, um Malware auf Systemen zu verstecken. Eine weitere, unwillkommene Erkenntnis. <\/p>\n<p><!--more--><\/p>\n<p>Spectre ist ein Sammlung von Schwachstellen in modernen CPUs, die mittels Seitenkanalangriffen zum Diebstahl sensibler Daten ausgenutzt werden k\u00f6nnen. Erst k\u00fcrzlich war gezeigt worden, dass bisherige Patches weitgehend wirkungslos sind. heise.de hat dieses Thema in <a href=\"https:\/\/www.heise.de\/security\/meldung\/Software-Schutz-vor-Spectre-Angriffen-ist-weitestgehend-nutzlos-4311666.html\" target=\"_blank\" rel=\"noopener noreferrer\">diesem Beitrag<\/a> aufbereitet. <\/p>\n<blockquote class=\"twitter-tweet\" data-lang=\"de\">\n<p lang=\"en\" dir=\"ltr\">ExSpectre: Researchers hide malware in benign apps with the help of speculative execution (same CPU optimization feature exploited by Meltdown and Spectre)<a href=\"https:\/\/t.co\/ZoMXKKuOlm\">https:\/\/t.co\/ZoMXKKuOlm<\/a> <a href=\"https:\/\/t.co\/UdBcIOZnU5\">pic.twitter.com\/UdBcIOZnU5<\/a><\/p>\n<p>\u2014 Catalin Cimpanu (@campuscodi) <a href=\"https:\/\/twitter.com\/campuscodi\/status\/1100503466970177538?ref_src=twsrc%5Etfw\">26. Februar 2019<\/a><\/p><\/blockquote>\n<p><script async src=\"https:\/\/platform.twitter.com\/widgets.js\" charset=\"utf-8\"><\/script>  <\/p>\n<p>Nun berichten <a href=\"https:\/\/www.zdnet.com\/article\/researchers-hide-malware-in-benign-apps-with-the-help-of-speculative-execution\/\" target=\"_blank\" rel=\"noopener noreferrer\">ZDNet.com<\/a> und <a href=\"https:\/\/www.theregister.co.uk\/2019\/02\/27\/spectre_malware_invisible\/\" target=\"_blank\" rel=\"noopener noreferrer\">The Register<\/a> von einem ExSpectre genannten Ansatz. Sicherheitsforschern ist es gelungen, durch die CPU-Optimierungsfeatures (speculative execution) Malware in Anwendungen zu verstecken. Der Ansatz wurde auf dem Network and Distributed Systems Security (NDSS) Symposium 2019 in San Diego, Kalifornien, vorgestellt.<\/p>\n<p>Das Dokument \"<a href=\"https:\/\/www.ndss-symposium.org\/wp-content\/uploads\/2019\/02\/ndss2019_02B-5_Wampler_paper.pdf\" target=\"_blank\" rel=\"noopener noreferrer\">ExSpectre: Hiding Malware in Speculative Execution<\/a>\", das von drei Informatik-Spezialisten der University of Colorado, Boulder in den USA &#8211; Jack Wampler, Ian Martiny und Eric Wustrow &#8211; mitverfasst wurde, beschreibt eine M\u00f6glichkeit, b\u00f6sartigen Code in eine scheinbar harmlose Payload-Binary zu kompilieren, so dass er durch spekulative Ausf\u00fchrung ohne Erkennung ausgef\u00fchrt werden kann.<\/p>\n<p>Die Forscher haben einen Ansatz entwickelt, wie ein Nutzlastprogramm und ein Triggerprogramm interagieren k\u00f6nnen, um verdeckte Berechnungen durchzuf\u00fchren. Das Nutzlast- und Triggerprogramm wird \u00fcber h\u00e4ufig verwendete Angriffsvektoren (z.B. Trojanercode, Remote Exploit oder Phishing) installiert und muss auf derselben CPU ausgef\u00fchrt werden. Das Triggerprogramm kann auch in Form einer speziellen Eingabe in die Payload oder einer residenten Anwendung erfolgen, die mit dem Payload-Programm interagiert.<\/p>\n<p>\"Wenn ein separates Triggerprogramm auf derselben Maschine l\u00e4uft, missbraucht es den branch predictor der CPU und veranlasst das Nutzlastprogramm, seine b\u00f6sartige Nutzlast spekulativ auszuf\u00fchren, und die spekulative Ergebnisse an den Rest des Nutzlastprogramms zur\u00fcckzumelden, um sein reales Verhalten zu \u00e4ndern\", schreiben die Forscher. Das Ergebnis ist eine geh\u00e4rtete (stealth) Malware. Diese widersetzt sich der Erkennung durch aktuelle Reverse-Engineering-Techniken. Sie nutzt dazu den Umstand, dass sich in einer transienten Umgebung ausgef\u00fchrt wird, die f\u00fcr statische oder dynamische Analysen, die von den meisten aktuellen Sicherheitsmaschinen verwendet werden, nicht zug\u00e4nglich ist. Selbst wenn das Triggerprogramm erkannt und entfernt wird, bleibt der Nutzlastcode in Betrieb.<\/p>\n<p>Es gibt jedoch Grenzen f\u00fcr diese Technik. Unter anderem kann der b\u00f6sartige Code nur aus irgendwo zwischen hundert und zweihundert Anweisungen bestehen. Und die Geschwindigkeit, mit der Daten gewonnen werden k\u00f6nnen, ist nicht besonders schnell: Die Forscher entwickelten ein spekulatives Programm, das 1KB Daten entschl\u00fcsseln und mit einer Geschwindigkeit von 5,38 Kbps exfiltrieren konnte, wobei 20 redundante Iterationen angenommen wurden, um die Korrektheit der Daten sicherzustellen.<\/p>\n","protected":false},"excerpt":{"rendered":"<p>Computerwissenschaftler konnten zeigen, dass sich die auf CPUs bekannten Spectre-L\u00fccken eignen, um Malware auf Systemen zu verstecken. Eine weitere, unwillkommene Erkenntnis.<\/p>\n","protected":false},"author":2,"featured_media":0,"comment_status":"open","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[426],"tags":[4328],"class_list":["post-215197","post","type-post","status-publish","format-standard","hentry","category-sicherheit","tag-sicherheit"],"_links":{"self":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/215197","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/comments?post=215197"}],"version-history":[{"count":0,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/215197\/revisions"}],"wp:attachment":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/media?parent=215197"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/categories?post=215197"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/tags?post=215197"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}