2019/02/16

Malware usa protecção dos CPUs Intel para escapar a antivirus


Investigadores demonstraram como os sistemas de segurança dos mais recentes CPUs da Intel, podem ser utilizados por malware para se protegerem da inspecção de anti-virus.

Pode dizer-se que era uma questão de tempo. Da mesma forma que os CPUs e software têm evoluído no sentido de se precaverem contra a possibilidade de actividade maliciosa, também o malware poderá tirar partido desses mesmos sistemas para se tornar ainda mais resistente - na prática podendo ser equiparado ao mesmo tipo de adaptação e resistência aos antibióticos por parte das super-bactérias.

Os CPUs mais recentes permitem a criação de partes "isoladas" destinadas a efectuar processamento seguro que garanta que nenhum outro processo possa aceder aos seus conteúdos, uma secção designada por SGX (Software Guard eXtensions) adicionada nos CPUs da série Skylake da Intel. Com o SGX, um sistema pode fazer encriptação de dados sem se preocupar que um processo malicioso roube as chaves de encriptação; ou qualquer outro processo que se deseje manter secreto e a salvo de tentativas de espionagem, mesmo de dentro do próprio CPU. E foi precisamente isso que estes investigadores usaram para manter a salvo o seu malware ficando fora do alcance da inspecção dos anti-virus.

Correr um malware no SGX não é tão fácil como se possa imaginar, uma vez que as restrições que o tornam seguro também limitam bastante o que pode fazer. No entanto, combinando várias outras técnicas, estes investigadores conseguiram com que um malware a correr no SGX pudesse forçar a execução de código malicioso no seu exterior. Há também o detalhe de que, para correr no SGX, o código tem que ter uma assinatura validada pela Intel, mas os investigadores dizem que também isso poderia ser contornado, infectando um qualquer programa legítimo que tivesse a capacidade de enviar código para o SGX, e depois mudando o conteúdo que é enviado...

Por agora este tipo de ataque é demasiado complexo e rebuscado para ser uma ameaça imediata... mas serve como sinal de alerta para a próxima geração de malware que poderá vir a surgir... e que subverte a utilização das secções seguras dos CPUs deixando os utilizadores sob a ameaça de malware "indetectável".

Sem comentários:

Enviar um comentário (problemas a comentar?)

[pub]