Bezpečnost | Malware | SSD

Korejci objevili způsob, jak schovat malware do nepřístupné oblasti SSD. Antiviry ho tam neodhalí

Jihokorejští bezpečnostní experti Na Young Ahn a Dong Hoon Lee vyvinuli sadu útoků na disky SSD, umožňující uložení malwaru na místo, které je mimo dosah uživatele a bezpečnostních řešení. Postup se zaměřuje na skrytou oblast označovanou jako Over-Provisioning (OP), kterou výrobci hojně využívají pro optimalizaci výkonu úložišť založených na pamětech NAND flash.

Over-Provisioning je funkce, která poskytuje přídavnou kapacitu určenou pro data, jež mají být z SSD vymazána, aniž by došlo k přerušení či poklesu výkonu systému. Vyhrazený prostor může být dynamicky upravován, což přináší výhody, mezi něž patří vyšší rychlost a delší životnost úložiště.

Vytvoření neviditelného prostoru

Oblast pro Over-Provisioning zabírá obvykle 7 až 25 % celkové kapacity disku. Pro pochopení nebezpečnosti útoku tímto způsobem je zásadní, že tato část SSD je neviditelná pro operační systém a všechny aplikace, které na něm běží, včetně bezpečnostních řešení a antivirových nástrojů. Jak uživatel spouští různé aplikace, management SSD automaticky upravuje tento prostor podle pracovní zátěže v závislosti na tom, jak jsou náročné na zápis nebo čtení.

Funkce flexibilní kapacity v jednotce SSD 
Funkce flexibilní kapacity v jednotce SSD

Jeden z útoků, který výzkumníci z Korejské univerzity v Soulu modelovali, se zaměřuje na neviditelnou oblast s nesmazanými informacemi, která se nachází mezi uživateli dostupným prostorem a oblastí pro Over-Provisioning. Její velikost logicky závisí na velikosti těchto dvou oblastí.

Odborníci ve své práci vysvětlují, že hacker může pomocí správce firmwaru změnit velikost oblasti OP, a vytvořit tak zneužitelný a prakticky neviditelný prostor pro data. Problém spočívá v tom, že mnoho výrobců SSD tuto oblast z důvodu šetření prostředků nemaže. Malware využívající tuto slabinu by tak mohl získat přístup k potenciálně citlivým informacím.

Forenzní cíl v oblasti OP Forenzní cíl v oblasti OP

Forenzní analýza paměti NAND flash přitom může odhalit data, která byla smazána až před šesti měsíci. Jako obranu proti tomuto typu útoku Na Young Ahn a Dong Hoon Lee navrhují, aby výrobci SSD mazali oblast OP pomocí algoritmu pseudo-erase, který by neměl mít zásadní vliv na výkon úložiště.

Schování malwaru do nepřístupné oblasti

Ve druhém modelu útoku je oblast pro Over-Provisioning využívána jako tajné místo, které uživatelé nemohou monitorovat nebo vymazat a kam by mohl útočník ukrýt malware. „Hacker, který získá přístup k disku SSD, může kdykoli aktivovat vložený malwarový kód změnou velikosti oblasti OP.“ uvádí zpráva.

Příklad injektáže malwaru v prostoru OP Příklad injektáže malwaru v prostoru OP

Jasnou výhodou takového útoku je, že je dokonale skrytý před uživatelem i jakýmkoli bezpečnostním softwarem. Odhalení škodlivého kódu v oblastech OP je nejen časově náročné, ale vyžaduje také specializované forenzní techniky.

V případě tohoto typu útoku je potenciálně účinným bezpečnostním opatřením proti injektáži malwaru do oblasti OP implementace systémů pro monitorování rychlosti validních a nevalidních dat, které sledují poměry v rámci SSD v reálném čase.

Výzkum sice ukazuje, že oblast Over-Provisioning na SSD lze teoreticky zneužít k uložení škodlivého softwaru, je však nepravděpodobné, že by v současné době k takovým útokům docházelo v reálném světě.

Diskuze (9) Další článek: Webkamera pro Teams má vypnutý mikrofon. Hovadina roku 2021 od Microsoftu [komentář]

Témata článku: , , , , , , , , , , ,