futurebeat.pl News Tech Mobile Gaming Nauka Moto Rozrywka Promocje
Wiadomość sprzęt i soft 31 grudnia 2021, 14:10

Niewykrywalny malware na SSD; odkryto poważną lukę w dyskach

Po procesorach, kartach graficznych, drukarkach etc. w końcu mamy lukę zabezpieczeń po prostu w dyskach. Jak się okazuje, współczesne SSD umożliwiają instalowanie niewykrywalnych wirusów.

Nie tylko gracze mają nieszczęście przekonać się o pomysłowości hakerów. Dlatego niektórzy badacze profilaktycznie szukają luk w zabezpieczeniach oprogramowania i sprzętu, nim zostaną one odkryte przez „przedsiębiorczych” złodziei. Po Steamie, procesorach, kartach graficznych, drukarkach itd. naukowcy znaleźli sposób na zainstalowanie niewykrywalnego, złośliwego oprogramowania bezpośrednio na dyskach SSD.

Luka odkryta przez badaczy z Uniwersytetu Korei w Seulu (via BleepingComputer.com) opiera się na wykorzystaniu tzw. over-provisioning (OP, dosł. nadzaopatrzenia) powiązanego z technologią flex capacity firmy Micron. Jest ona obecna w praktycznie wszystkich współczesnych SSD i – w największym skrócie – pozwala zwiększyć wydajność i żywotność dysku poprzez dostosowanie wolnej, „surowej” przestrzeni do tej wykorzystywanej przez użytkownika.

Ta pierwsza – de facto puste miejsce – to właśnie wspomniane „over-provisioning”, przy czym owa część SSD jest całkowicie niedostępna dla systemu i programów. Choć nie dotyczy to – jakżeby inaczej – hakerów.

Źródło: BleepingComputer.com

Koreańczycy przedstawili dwa modele ataku z wykorzystaniem owej luki. Pierwszy to po prostu schowanie malware bezpośrednio w „over-provisioning”. Pokazano to na przykładzie dwóch dysków, obu wykorzystywanych przez użytkownika w połowie. Złośliwy program instaluje się na nadzaopatrzeniu drugiego SSD, na którym powiększa tę „pustą” przestrzeń do 75%, jednocześnie redukując ją do 25% na pierwszym urządzeniu. W efekcie wirus ma więcej miejsca do działania, a użytkownik nadal widzi tyle samo „niewykorzystane” przestrzeni OP (tj. 50%):

W celu uproszczenia opisu przyjęto, że dwa urządzenia pamięci masowej SSD1 i SSD2 są połączone. Każde urządzenie pamięci masowej ma 50% przestrzeni OP. Po zapisaniu złośliwego oprogramowania na dysku SSD2 haker natychmiast zmniejsza obszar OP SSD1 do 25% i zwiększa obszar OP SSD2 do 75%.

W tym czasie złośliwy kod znajduje się w ukrytym obszarze SSD2. Haker, który uzyska dostęp do dysku SSD, może w każdej chwili aktywować wbudowany kod złośliwego oprogramowania poprzez zmianę rozmiaru obszaru OP. Ponieważ zwykli użytkownicy utrzymują 100% obszaru użytkownika na kanale, wykrycie złośliwego działania hakerów nie będzie łatwe.

Drugi model wykorzystuje przestrzeń nieprawidłowych danych (w oryg. invalid data area), gdzie znajdują się informacje de facto usunięte przez system operacyjny, ale fizycznie wciąż obecne na SSD (dyski te rzadko dokonują tak dokładnego czyszczenia). Również w tym przypadku haker może zmienić rozmiar „over-provisioning”, co przełoży się powiększenie tego „bufora” między OP a przestrzenią użytkową.

Źródło: BleepingComputer.com

Na szczęście jak dotąd nie pojawiły się doniesienia na temat przeprowadzenia podobnego ataku przez hakerów. Niemniej koreańscy badacze zalecają producentom implementację opcji pozwalających na monitorowanie OP, lepsze zabezpieczenia menadżerów SSD przed nieautoryzowanymi działaniami w tej przestrzeni oraz algorytmu kasującego, który „fizycznie” usuwałby nieprawidłowe dane bez zmniejszania wydajności w czasie rzeczywistym.

Jakub Błażewicz

Jakub Błażewicz

Ukończył polonistyczne studia magisterskie na Uniwersytecie Warszawskim pracą poświęconą tej właśnie tematyce. Przygodę z GRYOnline.pl rozpoczął w 2015 roku, pisząc w Newsroomie growym, a następnie również filmowym i technologicznym (nie zabrakło też udziału w Encyklopedii Gier). Grami wideo (i nie tylko wideo) zainteresowany od lat. Zaczynał od platformówek i do dziś pozostaje ich wielkim fanem (w tym metroidvanii), ale wykazuje też zainteresowanie karciankami (także papierowymi), bijatykami, soulslike’ami i w zasadzie wszystkim, co dotyczy gier jako takich. Potrafi zachwycać się pikselowymi postaciami z gier pamiętających czasy Game Boya łupanego (jeśli nie starszymi).

więcej