如何发现防不胜防的边信道攻击?

安全 黑客攻防
缓存攻击——通过制造缓存争用起效。此类攻击的共同特征,是对高分辨率计时器的需求;它们使用内存屏蔽来连续针对性读取操作;利用共享的内存刷新指令等实现缓存驱逐。

 反病毒软件捕捉不到Rowhammer及类似边信道攻击,于是,一组美国科学家着手研究该怎样捕获这些攻击的特征。

[[181714]]

一旦考虑到实验室环境和间谍工具之类的东西,边信道攻击就是很具体的事儿了。举个例子,Rowhammer攻击。这是一个通过快速重写RAM行,以纯软件方式翻转RAM上邻近存储单元的攻击方法。最终,Rowhammer能使攻击者搞崩内核进程,获取到root权限。

美国马萨诸塞州伍斯特理工学院(WPI)的3名研究员,在国际密码研究学会(IACR)发表了一篇论文,展示了类似病毒扫描的边信道攻击检测技术。

他们在文章中指出,标准反病毒软件检测不了Rowhammer之类的漏洞利用,因为此类攻击“明显基于无辜的指令集”。

虽然防御此类“微架构”攻击是可能的,但这3名研究人员提出的方法,是在边信道恶意代码部署之前(比如投送到应用商店),就扫描软件以确保二进制代码干净。

他们的工具名为MASScan(微架构静态扫描),基于对恶意边信道攻击方式的分析:

缓存攻击——通过制造缓存争用起效。此类攻击的共同特征,是对高分辨率计时器的需求;它们使用内存屏蔽来连续针对性读取操作;利用共享的内存刷新指令等实现缓存驱逐。

DRAM访问攻击——造成系统内存冲突。此类攻击与缓存攻击类似,共享计时器、内存屏蔽和缓存驱逐特征。

Rowhammer攻击——仅有缓存驱逐一个明显特征。

通过阻断内存总线制造隐秘信道——高分辨率计时器和锁定指令的组合,目的是拖住内存总线以在两个共存进程间建立隐秘信道。

MASScan的重点在于分析二进制文件以发现这些特征——当今病毒扫描器发现不了的特征。MASScan是一组 IDA Pro 反汇编调试器脚本集,可被转译成适用于其他二进制分析器的代码。

比如说,cflush指令本身不是恶意的,那么MASScan寻找的就是cflush指令的循环执行——也就是缓存攻击、DRAM访问攻击和Rowhammer攻击全都利用的操作。

比较遗憾的是:除了资本化,MASScan同时也是 Errata Security 出品的一款声名狼藉的端口扫描器的名字,那款扫描器名为Masscan,仅仅是大小写不同而已。希望WPI三人组发布代码的时候能改个名字,免得撞名。

责任编辑:武晓燕 来源: 安全牛
相关推荐

2013-05-13 13:53:51

2024-09-10 15:11:12

2009-04-27 14:42:03

2022-05-27 13:57:13

钓鱼数据安全

2022-06-22 11:09:21

网络钓鱼网络攻击

2020-05-06 08:01:39

黑客恶意攻击网络安全

2016-11-04 20:45:07

2021-09-13 15:35:14

戴尔

2021-06-15 10:41:00

数据中毒机器学习网络攻击

2012-12-09 17:46:27

2009-03-24 13:37:03

2011-06-28 14:03:06

2010-09-28 09:33:16

2013-04-07 15:51:41

2014-11-24 09:13:38

2021-10-20 11:52:49

ATM机AI密码

2017-03-30 23:06:36

2017-09-11 16:24:47

2024-07-29 09:42:05

点赞
收藏

51CTO技术栈公众号