Bir grup araştırmacı Amsterdam Üniversitesi ve Zürih İsviçre Yüksek Teknik Okulu'ndan "NetCAT" ağ saldırısı tekniğini geliştirdi (Ağ Önbelleği ATtack) veri analizi yöntemlerinin kullanılmasına izin verir üçüncü taraf kanallardan bir kullanıcının bastığı tuşları uzaktan belirlemek için SSH oturumunda çalışırken. Sorun yalnızca RDMA (Uzaktan Doğrudan Bellek Erişimi) ve DDIO (Veriye Doğrudan G / Ç) teknolojilerini kullanan sunucularda kendini gösterir.
Intel, saldırının pratikte uygulanmasının zor olduğuna inanıyor.a, saldırganın yerel ağa erişimini gerektirdiğinden, şartlara ve organizasyona ek olarak ana bilgisayar iletişimi Genellikle izole ağlarda kullanılan RDMA ve DDIO teknolojilerini kullanarak, örneğin, kümelerin çalıştığı yer.
Saldırı için kullanılan yöntem Throwhammer savunmasızlığına benziyor, RAM'deki tek tek bitlerin içeriğinin RDMA sistemlerinde ağ paketi manipülasyonu yoluyla değiştirilmesine izin verir.
Araştırmacılar şu yorumu yapıyor:
Yeni sorun, ağ kartı ile diğer çevresel aygıtlar arasında işlemci önbelleği ile doğrudan etkileşim sağlayan DDIO mekanizmasının kullanılmasıyla gecikmeleri en aza indirmenin sonucudur (ağ kartı paketlerinin işlenmesi sırasında veriler önbelleğe alınır ve önbellekten alınır. hafızaya erişim).
DDIO sayesinde işlemci önbelleği, kötü amaçlı ağ etkinliği sırasında üretilen verileri de içerir.
NetCAT saldırısı, ağ kartlarının verileri önbelleğe almasına dayanır. aktif olarak ve modern yerel ağlarda paket işlemenin hızı, önbellek doldurmayı etkilemek ve veri aktarım gecikmelerinin analizi yoluyla önbellekteki verilerin varlığını veya yokluğunu belirlemek için yeterlidir.
Etkileşimli oturumları kullanırken, örneğin SSH aracılığıyla, bir tuşa bastıktan hemen sonra bir ağ paketi gönderiliryani, paketler arasındaki gecikmeler tuş vuruşları arasındaki gecikmelerle ilişkilidir.
İstatistiksel analiz yöntemlerini kullanarak ve tuş vuruşları arasındaki gecikmelerin genellikle klavyedeki bir tuşun konumuna bağlı olduğunu dikkate alarak, giriş bilgilerini yeniden oluşturmak bazı olasılıklar ile mümkündür. Örneğin, çoğu insan "a" dan sonra "s" yi "s" den sonra "g" den çok daha hızlı yazma eğilimindedir.
İşlemci tarafından önbelleğe alınan bilgiler, SSH gibi bağlantıları işlerken ağ kartı tarafından gönderilen paketlerin tam zamanını değerlendirmenize de olanak tanır.
Belirli bir trafik akışı oluşturarak, bir saldırgan önbellekte yeni verilerin ne zaman görüneceğini belirleyebilir sistemdeki belirli bir faaliyetle ilişkili.
Önbelleğin içeriğini analiz etmek için, önbelleği bir dizi referans değerle doldurmak ve değişiklikleri belirlemek için doldururken bunlara erişim süresini ölçmekten oluşan Prime + Probe yöntemi kullanılır.
Tekniğin olması mümkündür propuesta belirlemek için kullanılabilir yalnızca tuş vuruşları değil, aynı zamanda CPU tarafından önbelleğe alınan diğer hassas veri türleri.
Saldırımızda, DDIO etkin uygulama sunucusunun CPU çekirdekleri ve ağ kartı arasında paylaşılan bir kaynağa (son seviye önbellek) sahip olmasından yararlanıyoruz. Önbelleğin DDIO ile nasıl paylaşıldığını anlamak için DDIO'nun önemli özelliklerini tersine mühendislik uyguluyoruz.
RDMA devre dışı bırakıldığında potansiyel olarak bir saldırı gerçekleştirilebilir, ancak RDMA olmadan etkinliği azalır ve yürütme önemli ölçüde karmaşıktır.
DDIO'yu, bir sunucunun güvenliği ihlal edildikten sonra güvenlik sistemlerini atlayarak veri aktarmak için kullanılan gizli bir iletişim kanalı düzenlemek için kullanmak da mümkündür.
kaynak: https://www.vusec.net