ZeRO и No-FAT: аппаратная защита памяти без потери производительности

ZeRO и No-FAT: аппаратная защита памяти без потери производительности

ZeRO и No-FAT: аппаратная защита памяти без потери производительности

Исследователи из Колумбийского университета предложили два новаторских способа обеспечения безопасности по памяти аппаратными средствами. Оба метода можно реализовать, слегка изменив микроархитектуру. Тестирование показало, что при подходе No-FAT снижение производительности незначительно — около 8%; в случае ZeRØ потери равны нулю.

Безопасность доступа к памяти — давняя проблема, о которой каждый раз вспоминают при появлении серьезных угроз. За сорок лет было предложено множество различных решений, но они либо плохо работали, либо требовали жертв. Меры противодействия эксплойту Spectre и Meltdown, например, повлекли падение производительности — в среднем на 20%, в отдельных случаях в два раза. Кроме того, с появлением новых угроз используемая защита может потерять свою эффективность, и специалистам придется искать альтернативные решения.

Согласно описанию ZeRØ (PDF), этот механизм позволяет обеспечить защиту кода и указателей системы, притом без поражения в производительности. Его реализация предполагает замену инструкций обращения к памяти и схемы кодирования метаданных — по словам авторов проекта, эти изменения можно привнести в современные процессоры без особого труда. Университетские исследователи предлагают использовать ZeRØ в дополнение к средствам противодействия атакам на память.

 

Техника No-FAT (PDF) была разработана с прицелом на снижение потребления ресурсов при проверках безопасности по памяти. С этой целью авторы исследования предложили использовать группировку распределителей памяти (memory allocator binning) — набрающий популярность метод, который позволяет ускорить вычисление начального адреса и размера участка памяти, выделенного под указатель, притом выполнять это во время доступа к данным.

Применение No-FAT, по словам разработчиков, снимает многие проблемы, свойственные традиционным подходам, — такие как совместимость с незащищенным софтом и заметное падение производительности. Прогон тестов SPEC CPU2017 показал, что при новом способе защиты памяти быстродействие снижается примерно на 8%.

Среди прочих достоинств создатели No-FAT особо отметили надежную защиту от некоторых видов Spectre-атак. Их метод также позволяет значительно ускорить фаззинг при поиске уязвимостей, автоматическую очистку памяти, улучшить предсказуемость предвыборки данных и работы контроллеров DRAM.

 

Финансирование проектов ZeRØ и No-FAT частично осуществлялось за счет грантов, полученных от ВМС и ВВС США, а также целевой дотации Qualcomm. Спецподразделение ВВС уже работает над созданием чипов с новой встроенной защитой.

Android-троян RedHook включает отладку и лезет в систему как разработчик

Android-вредонос RedHook вернулся с апгрейдом, от которого владельцам смартфонов точно не станет спокойнее. Троян, впервые описанный в июле 2025 года, теперь умеет самостоятельно злоупотреблять ADB Wireless Debugging и получать шелл-права уровня uid 2000. Он не просто следит за экраном и крадёт данные, а лезет глубже в систему через легальные инструменты для разработчиков.

Базовый набор RedHook и раньше был неприятным: трансляция экрана, кейлоггер, управление интерфейсом через Accessibility, кража учётных данных. Но новые версии пошли дальше.

Вредонос использует разрешения Accessibility, чтобы сам включать режим разработчика, переходить в настройки и активировать беспроводную ADB-отладку. Всё это он делает за спиной пользователя, прикрываясь полноэкранным оверлеем.

 

Дальше в ход идёт встроенный ADB-клиент и подход в стиле Shizuku — легитимного инструмента, который позволяет приложениям работать с ADB-демоном локально. Только здесь удобство для энтузиастов превращается в подарок для атакующих.

 

После запуска привилегированного серверного процесса RedHook может выдавать себе разрешения, менять системные настройки, выполнять шелл-команды, тихо устанавливать и удалять приложения, а также перехватывать низкоуровневые касания без новых запросов к пользователю.

Распространяют RedHook по старинке — через социальную инженерию. Операторы подсовывают APK через фейковые сайты госорганов и финансовых организаций, а затем убеждают жертву установить приложение звонками или сообщениями. По данным Group-IB, кампания расширилась с Вьетнама на Индонезию, что указывает на более широкую активность в Юго-Восточной Азии.

 

За живучесть трояна тоже можно поставить мрачный плюс. Он использует однопиксельную активность, тихий звук в MediaSession, WakeLock, взаимный перезапуск процессов и восстановление после перезагрузки. После старта устройства RedHook снова включает Wireless ADB, подгружает ключи и быстро возвращает себе привилегированный доступ.

Командный сервер управляет вредоносом через WebSocket и REST: принимает пароли, СМС, скриншоты, кейлоги и отдаёт команды — от жестов на экране до включения камеры и установки APK.

RSS: Новости на портале Anti-Malware.ru