image

Backdoor verstopt zich via onbekende FPU-instructies

dinsdag 25 juni 2013, 10:36 door Redactie, 6 reacties

Een ongedocumenteerde instructie in de Floating Point Unit (FPU) van processoren wordt door malwaremakers gebruikt om een backdoor voor anti-virusbedrijven en beveiligingsonderzoekers te verstoppen. Onderzoekers van Microsoft liepen tegen een malware-exemplaar aan dat ze in eerste instantie niet konden analyseren omdat de analysetools steeds crashten.

De code van de malware bevatte volgens de documentatie van Intel ongeldige instructies, waardoor een applicatie meteen zou crashen zodra ze werden uitgevoerd. De malware bleek op verschillende systemen echter prima te werken.

Documentatie
Verder onderzoek wees uit dat de malware een aantal ongedocumenteerde FPU-instructies gebruikte, waar de analysetools niet mee overweg konden. De FPU is het gedeelte van een processor dat berekeningen met zwevende kommagetallen (floating point numbers) kan uitvoeren, zoals optellen, aftrekken, vermenigvuldigen, delen en worteltrekken.

De 'instructie-truc' zoals Microsoft het noemt, werd voor het eerst dit jaar door een andere backdoor toegepast en sindsdien ook door een Trojaans paard. Aangezien deze techniek niet op ondergrondse fora wordt besproken en het aantal malware-exemplaren dat de truc gebruikt zeer klein is, bestaat de mogelijkheid dat de families aan elkaar gerelateerd zijn of dat de makers informatie met elkaar uitwisselen.

"Een ding is zeker, malwaremakers blijven worstelen om detectie te omzeilen", zegt Daniel Radu van het Microsoft Malware Protection Center.

Reacties (6)
25-06-2013, 11:14 door Anoniem
Wel weer duidelijk dat dit een overgetypt MBO-blogje is. Net als het interessant begint te worden haakt iedereen af.

Geen wonder dus dat de malwaremakers winnen. Zij zijn niet degenen die "worstelen".
25-06-2013, 12:03 door Anoniem
En daarom horen processors ook geen ongedocumenteerde functionaliteit te hebben.
25-06-2013, 14:54 door Binsbergen
Dat je ongedocumenteerde instructies prima kan gebruiken, zonder dat de cpu crasht is al bekend sinds begin '80. Proof of concept en later gemaakte, niet officiële documentatie te vinden voor de 6502 en 65c02.
25-06-2013, 15:27 door golem

Een ding is zeker, malwaremakers blijven worstelen om detectie te omzeilen", zegt Daniel Radu van het Microsoft Malware Protection Center.
Ik heb het gevoel dat het niet de malwaremakers zijn die blijven worstelen. ;)
25-06-2013, 19:21 door vimes
Door Anoniem: Wel weer duidelijk dat dit een overgetypt MBO-blogje is. Net als het interessant begint te worden haakt iedereen af.
Inderdaad. Ik zou wel eens willen weten of de code ook daadwerkelijk uitgevoerd wordt en zo ja wat het dan voor speciaals doet. Of zijn er gewoon niet bestaande instructies in het programma verwerkt die nooit kunnen worden uitgevoerd, met als enig doel een analyse tool te laten crashen.
26-06-2013, 17:17 door Anoniem
In 1974 werd hieral onderzoek naar gedaan bij TU Delft op een DEC PDP-8. Het besturingssysteem gebruikte ongedocumenteerde neveneffecten van twee instructies om daarmee te bepalen of het systeem draaide op een echte PDP-8. Aanleiding destijds om alle instructiecode en effecten structureel te testen ...
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.