Опубликована техника скрытия вредоносного кода в анклавах Intel SGX
Группа исследователей из Грацского технического университета (Австрия), ранее известная разработкой техники атаки NetSpectre и метода эксплуатация уязвимости в DRAM-памяти через локальную сеть, продемонстрировала метод (PDF) скрытия вредоносного кода при помощи изолированных анклавов Intel SGX и организации контроля за основной системой из выполняемого в анклаве кода, в обход накладываемых анклавом ограничений.
Напомним, что технология SGX (Software Guard Extensions) появилась в процессорах Intel Core шестого поколения (Skylake) и предлагает серию инструкций, позволяющих выделять приложениям пользовательского уровня закрытые области памяти - анклавы, содержимое которых не может быть прочитано и изменено даже ядром и кодом, выполняемым в режимах ring0, SMM и VMM. Передать управление коду в анклаве невозможно традиционными функциями перехода и манипуляциями с регистрами и стеком - для передачи управления в анклав применяется специально созданная новая инструкция, выполняющая проверку полномочий. При этом помещенный в анклав код может применять классические методы вызова для обращения к функциям внутри анклава и специальную инструкцию для вызова внешних функций. Для защиты от аппаратных атак, таких как подключение к модулю DRAM, применяется шифрование памяти анклава.
Бытует мнение, что размещение вредоносного кода в анклаве не представляет опасности, так как взаимодействие с внешним миром из анклава производится через связанное приложение, запрещен прямой доступ к памяти приложений и запрещены операции ввода-вывода. Тем не менее, группа исследователей нашла способ обойти штатный процесс запуска кода в анклаве, предоставляемый инструментарием Intel, и получить ключи, применяемые для формирования цифровых подписей компонентов анклава. Указанная возможность позволяет обойти ограничения, налагаемые контролирующей безопасность прослойкой, такие как доступ к памяти процессов и системным вызовам, и запустить из анклава код под прикрытием хост-процесса с доступом ко всем ресурсам компьютера.
Предложенный метод может применяться для скрытия вредоносной логики в анклаве или размещения в анклаве эксплоитов для атак на уязвимые приложения. Размещенный в анклаве вредоносный код становится недоступен для анализа из операционной системы и антивирусных приложений, но при этом может контролировать работу всей системы. При этом состояние внешнего окружения не вызывает подозрений - в основной ОС выполняются только легитимные программы, которые не содержат явно определенных вредоносных функций.
Для организации работы вредоносной логики в окружении операционной системы применяется метод возвратно-ориентированного программирования (ROP, Return-Oriented Programming). Суть метода в том, что для формирования вредоносной логики используется существующий легитимный код обычных приложений и библиотек. Атакующий оперирует уже имеющимися в библиотеках кусками машинных инструкций, завершающихся инструкцией возврата управления (как правило, это окончания библиотечных функций). Работа вредоносной вставки сводится к построению цепочки вызовов подобных блоков ("гаджетов") для получения нужной функциональности. Используя готовые блоки машинных инструкций (гаджеты) можно организовать достаточно сложные операции, в том числе организовать работу условных операторов и циклов.
Для доступа к памяти процесса из анклава используется техника TAP (TSX-based Address Probing), использующая процессорные инструкции TSX (Transactional Synchronization eXtensions) для определения виртуальных адресов, доступных для текущего процесса. Обнаружение кода в памяти позволяет выявить в нем "гаджеты" и построить цепочку их вызова для обеспечения нужной логики. Для совершения атаки остается инициировать передачу управления на построенную цепочку, но для этого требуется определить доступный на запись блок внешней памяти, чтобы сохранить в нем фиктивный кадр стека и разместить связанные с атакой данные (payload).
Для поиска доступных на запись областей применяется расширенный вариант техники TAP, получивший название CLAW (Checking Located Addresses for Writability). Метод основан на формировании транзакции TSX с подстановкой операций записи и ее отмены после попытки записи. Доступность на запись определяется на основании возвращенного транзакцией кода возврата. Отмечается, что описанная техника SGX-ROP эффективно обходит такие методы защиты как ASLR, "канареечные" метки в стеке и детекторы ошибок при работе с памятью (address sanitizer).