Fakultat¨ fur¨ Elektrotechnik und Informatik Institut fur¨ Softwaretechnik und Theoretische Informatik Lehrstuhl fur¨ Security in Telecommunications Detecting Peripheral-based Attacks on the Host Memory vorgelegt von Dipl.-Inform. Patrick Stewin { geb. in Staaken (jetzt Berlin-Spandau) { von der Fakult¨atIV { Elektrotechnik und Informatik der Technischen Universit¨atBerlin zur Erlangung des akademischen Grades Doktor der Ingenieurwissenschaften { Dr.-Ing. { genehmigte Dissertation Promotionsausschuss: Vorsitzender: Prof. Dr. Hans-Ulrich Heiß, Technische Universit¨atBerlin Gutachter: Prof. Dr. Jean-Pierre Seifert, Technische Universit¨atBerlin Gutachter: Prof. Dr. Konrad Rieck, Georg-August-Universit¨atG¨ottingen Gutachter: Prof. Dr.-Ing. Volker Roth, Freie Universit¨atBerlin Tag der wissenschaftlichen Aussprache: 18. Juli 2014 Berlin 2014 D83 Ich versichere von Eides statt, dass ich diese Dissertation selbst¨andigverfasst und nur die angegebenen Quellen und Hilfsmittel verwendet habe. Datum i/ix Abstract Adversaries can deploy rootkit techniques on the target platform to persistently attack computer systems in a stealthy manner. Industrial and political espionage, surveillance of users as well as conducting cybercrime require stealthy attacks on computer systems. Utilizing a rootkit technique means, that a part of the im- plemented attack code is responsible for concealing the attack. Attack code that is loaded into peripherals such as the network interface card or special micro-controllers currently are the peak of the evolution of rootkits. This work examines such stealthy peripheral-based attacks on the host computer. Peripherals have a dedicated pro- cessor and dedicated runtime memory to handle their tasks. This means that these peripherals are essentially a separate system. Attackers benefit from this kind of iso- lation. Peripherals generally communicate with the host via the host main memory. Attackers exploit this fact. All host runtime data is present in the main memory. This includes cryptographic keys, passwords, opened files, and other sensitive data. The attacker only needs to locate such data. Subsequently, attackers can read and modify the data unbeknownst by utilizing the direct memory access mechanism of the peripheral. This allows for circumventing security software such as state-of-the- art anti-virus software and modern hardened operating system kernels. Detecting such attacks is the goal of this work. Stealthy malicious software (malware) that is based on an isolated micro-controller is implemented to conduct an attack analysis. The malware proof of concept is called DAGGER, which is de- rived from Direct memory Access based keystroke code loGGER. The development and analysis of this malware reveals important properties of peripheral-based mal- ware. The results of the analysis are the basis for the development of a novel runtime detector. The detector is called BARM{ Bus Agent Runtime Monitor. This detec- tor reveals stealthy peripheral-based attacks on the host main memory by exploiting certain hardware properties. A permanent and resource-efficient measurement strat- egy ensures that the detector is also capable of detecting transient attacks. Such transient attacks are possible when the applied measurement strategy only measures at certain points in time. The attacker exploits this measurement strategy by at- tacking the system in between two measurements and by destroying all attack traces before the system is measured. The detector represents an alternative solution for previously proposed preventive protection approaches, i. e., input/output memory management units. Previously proposed approaches are not necessarily effective due to practical issues. This fact as well as the threat posed by peripheral-based mal- ware demand the alternative detector solution that is presented in this work. The detector does not only reveal an attack, but also halt the malicious device. BARM immediately detects and prevents attacks that are conducted by DAGGER. The performance overhead is negligible. Furthermore, BARM is able to report if the host main memory is attacked by a peripheral to an external platform. \Detecting Peripheral-based Attacks on the Host Memory" ii/ix \Detecting Peripheral-based Attacks on the Host Memory" iii/ix Zusammenfassung Um Computersysteme unerkannt und dauerhaft zu attackieren, k¨onnenAngreifer Rootkit-Techniken auf der Zielplattform einsetzen. Industriespionage sowie Spi- onage auf politischer Ebene, das Uberwachen¨ von Computerbenutzern oder Ver- brechen im Umfeld der Cyberkriminalit¨aterfordern heimliche Angriffe. Eine Rootkit- Technik anzuwenden bedeutet, dass ein Teil des implementierten Angriffscodes f¨ur die Tarnung der Attacke zust¨andigist. Angriffscode, der in Peripherieger¨atenwie zum Beispiel der Netzwerkkarte zur Ausf¨uhrungkommt, repr¨asentiert momentan den Gipfel der Rootkit-Evolution. Diese Arbeit untersucht solche vermeintlich heim- lichen peripheriebasierten Attacken auf den Hostcomputer. Peripherieger¨atehaben einen dedizierten Prozessor sowie dedizierten Laufzeitspeicher, um ihre Aufgaben zu erf¨ullen. Somit stellen diese Ger¨ateseparierte Systeme dar. Angreifer profi- tieren von dieser Art der Isolierung. Peripherieger¨atekommunizieren ¨ublicherweise ¨uber den Hauptspeicher mit dem Hostsystem. Angreifer nutzen genau diesen Um- stand aus. S¨amtliche Laufzeitdaten des Hosts befinden sich im Hauptspeicher. Dazu z¨ahlenunter anderem kryptografische Schl¨ussel,Passw¨orter,ge¨offneteDateien sowie weitere sensible Daten. Der Angreifer braucht diese Daten lediglich zu lokalisieren. Dann kann der Angreifer mittels direktem Speicherzugriff des Peripherieger¨atesdie Daten unerkannt auslesen oder modifizieren. Dabei werden Sicherheitsprogramme wie dem Stand der Technik entsprechende Antivirensoftware oder moderne geh¨artete Betriebssystemkerne umgangen. Ziel dieser Arbeit ist es, solche heimlichen Angriffe zu enttarnen. Es wird ein heimlicher Angriff mit Hilfe eines speziellen vom Hostcomputer isolierten Mikro- Controllers zu Analysezwecken implementiert. Der zugeh¨origeProof of Concept wird DAGGER genannt, was vom englischen Direct memory Access based keystroke code loGGER abgeleitet ist. Die Entwicklung und Analyse dieses heimlichen Angriffs bringt wichtige Eigenschaften von peripheriebasierter b¨osartigerSoftware zu Tage. Mit den gewonnenen Erkenntnissen wird ein neuartiger Detektor entwickelt. Der De- tektor wird BARM genannt. BARM steht f¨ur Bus Agent Runtime Monitor. Dieser Detektor deckt mit Hilfe bestimmter Hardwareeigenschaften heimliche Hauptspei- cherattacken auf. Durch eine permanente und ressourcenschonende Messstrategie ist der Detektor in der Lage, kurzlebige Attacken zu enttarnen. Solche Attacken sind m¨oglich, wenn nur zu bestimmten Zeitpunkten gemessen wird. Diese Messstrate- gie kann der Angreifer ausnutzen, indem er zwischen zwei Messungen angreift und rechtzeitig vor der kommenden Messung seine Spuren verwischt. Der Detektor repr¨asentiert eine alternative L¨osungzu bisherigen pr¨aventiven Schutzsans¨atzenwie zum Beispiel zu Memory Management Units, die die Ein- und Ausgaben von Pe- ripherieger¨atenber¨ucksichtigen k¨onnen.Die bisherigen pr¨aventiven Ans¨atzebieten aufgrund der praktischen Umsetzung nicht notwendigerweise ausreichend Schutz. Diese Tatsache sowie das Bedrohungspotential, das von kompromittierten Periphe- rieger¨atenausgeht, verlangt nach der in dieser Arbeit vorgestellten alternativen De- tektorl¨osung. Der Detektor kann Angriffe nicht nur aufdecken, sondern auch un- terbinden. BARM detektiert und stoppt DAGGER-Angriffe unverz¨uglich. Dabei \Detecting Peripheral-based Attacks on the Host Memory" iv/ix entstehen lediglich unbedeutende Leistungsverluste. Zus¨atzlich ist BARM in der Lage, zuverl¨assigeiner externen Plattform mitzuteilen, ob der Hauptspeicher durch ein Peripherieger¨atangegriffen wird. \Detecting Peripheral-based Attacks on the Host Memory" v/ix Publications Related to this Thesis The work presented in this thesis resulted in the following peer-reviewed publica- tions: Understanding DMA Malware, Patrick Stewin and Iurii Bystrov, DIMVA2012 Proceedings of the 9th Conference on Detection of Intrusions and Malware & Vulnerability Assessment, Heraklion, Crete, Greece, July 26-27th, 2012 ([see 123] / Chapter4) Extended Abstract { Poster: Towards Detecting DMA Malware, Patrick Stewin, Jean-Pierre Seifert, Collin Mulliner, CCS2011 Proceedings of the 18th ACM Conference on Computer and Communications Security, 2011 ([see 126] / Chapter4) A Primitive for Revealing Stealthy Peripheral-based Attacks on the Comput- ing Platform's Main Memory, Patrick Stewin, RAID2013 Proceedings of the 16th International Symposium on Research in Attacks, Intrusions and Defenses (RAID), St. Lucia, October 23-25, 2013 ([see 122] / Chapter5) The following peer-reviewed publications were updated for Chapter6 to consider the DMA based malware scenario that is the focus of this thesis: Beyond Secure Channels, Yacine Gasmi, Ahmad-Reza Sadeghi, Patrick Stewin, Martin Unger, N. Asokan, STC2007 Proceedings of the 2007 ACM Workshop on Scalable Trusted Computing, 2007 ([see 52]) An Efficient Implementation of Trusted Channels based on OpenSSL, Fred- erik Armknecht, Yacine Gasmi, Ahmad-Reza Sadeghi, Patrick Stewin, Martin Unger, Gianluca Ramunno, Davide Vernizzi, STC2008 Proceedings of the 3rd ACM Workshop on Scalable Trusted Computing, 2008 ([see 10]) \Detecting Peripheral-based Attacks on the Host Memory" vi/ix \Detecting Peripheral-based Attacks on the Host Memory" Contents Abstracti