惡意軟體可以利用Intel 的軟體保護擴展(SGX)功能來躲避防毒(AV)軟體偵測。格拉茨科技大學的研究人員Michael Schwarz,Samuel Weiser和Daniel Gruss在最近證明了這一點。
SGX在2015年隨著第六代Intel Core處理器推出,存在於Intel的Core和Xeon處理器並支援各種硬體。它是中央處理器(CPU)指令集的架構擴展,用來保護資料不被洩露或修改。作法是讓應用程式能夠分區和分配記憶體區域,加密內容(如密碼、使用者資料)及限制對它們的存取。這是種非對稱保護,也就是說,作業系統或使用者應用程式不能存取安全區(enclave,Intel稱為指定位址空間)資料,但安全區(enclave)可以存取外部虛擬空間。
[相關新聞:SgxPectre可以從Intel SGX Enclaves取出資料]
根據研究人員的說法,駭客可以利用安全區(enclave)來隱藏惡意軟體。例如將勒索病毒的加密金鑰藏在記憶體內,讓系統更難修復。還可以用來執行未經授權的操作,如發送網路釣魚(Phishing)郵件和啟動分散式阻斷服務攻擊(DDoS)攻擊。駭客可以將惡意程式碼(如下載器)藏在受保護的安全區(enclave),讓惡意軟體解決方案無法觸及,同時可以下載並執行加密過的任意惡意程式碼。
繼續閱讀