文章摘要
研究人员发现一种名为"Battering RAM"的攻击方式,通过50美元的硬件设备可绕过英特尔和AMD最新的内存加密保护技术,包括Intel SGX和AMD SEV-SNP,在系统启动后篡改加密内存数据。该攻击利用内存模块在启动时通过验证后转为恶意模式的特点。
文章总结
研究报告:Battering RAM攻击——突破现代内存加密防御
核心发现
研究人员开发出一种名为"Battering RAM"的新型攻击技术,仅需50美元成本即可突破Intel SGX和AMD SEV-SNP等尖端内存加密技术。这种攻击通过一种可动态启用的内存中间件(interposer)实现,能够在系统启动后绕过所有信任检查,对加密内存进行任意读写操作。
技术原理
攻击工具:
- 定制开发的DDR4内存中间件(成本<50美元)
- 采用4层PCB标准设计,包含模拟开关和树莓派Pico控制器
- 在系统启动阶段保持透明,运行时通过开关切换进入攻击模式
攻击方式:
- 针对Intel SGX:通过地址别名诱导,5个步骤即可获取明文
- 安装中间件
- 分配别名缓冲区
- 捕获密文
- 分配攻击者控制的内存区域
- 重放密文获取明文
- 针对AMD SEV-SNP:破坏虚拟机认证机制,可植入任意后门
- 针对Intel SGX:通过地址别名诱导,5个步骤即可获取明文
影响范围
- 受影响技术:
- Intel Scalable SGX(完全突破)
- AMD SEV-SNP(绕过认证)
- 重新激活已被修复的BadRAM攻击
- 适用场景:所有使用DDR4内存的云计算系统
行业响应
- Intel和AMD已承认漏洞存在
- 厂商声明物理攻击不在当前产品防护范围内
- 相关技术文档已移至arXiv存档
防护建议
- 重新评估威胁模型:现有内存加密技术无法防御物理篡改
- 注意供应链安全:恶意内部人员或供应商可能实施攻击
- 关注DDR5演进:虽然DDR4仍占主流(2024年65%市场份额),但DDR5架构变化可能缓解此类攻击
研究资料
- 完整硬件设计已开源(GitHub)
- 包含物料清单(BOM)和攻击演示代码
- 详细技术论文可供下载
(注:原文中的图片链接、详细步骤表格和厂商声明链接等辅助信息已精简,保留核心技术内容和关键数据)
评论总结
以下是评论内容的总结:
技术可行性认可
- 有评论认为该技术概念上可行(评论1:"conceptually achievable"),并提到15年前就讨论过类似可能性。
- 另一评论指出,尽管厂商投入大量工程资源,用户仍能访问自己设备的数据(评论2:"access to the data running on your own device")。
对机密计算的质疑
- 有用户质疑这是否使机密计算过时(评论3:"making confidential computing obsolete")。
- 另一评论对AMD和Intel的回应表示困惑,认为其技术本应证明数据中心运营商无法访问客户数据(评论4:"prove...they do not have access to data")。
技术限制与缓解措施
- 有评论提到DDR5的信号完整性问题和频率下降(评论5:"DDR5 DIMMs...drop the frequency by ~30-40%")。
- 另一建议通过添加"enclave generation number"来修复漏洞(评论9:"adding an enclave generation number to the key initialization inputs")。
攻击实际风险评估
- 有评论认为物理访问攻击不现实(评论6:"Battering RAM needs physical access...no")。
- 另一评论指出物理访问意味着根本性安全问题(评论10:"Physical access owns")。
对TEE和SGX的讨论
- 有用户呼吁不要放弃TEE,并推荐AWS Nitro(评论8:"don't give up on TEE, see AWS Nitro")。
- 长篇分析指出SGX设计初衷良好,但因软件行业复杂性容忍度低而未能充分发挥潜力(评论12:"SGX...minimize the size of the trusted computing base")。
行业影响
- 有评论提到该漏洞可能阻碍敏感工作(如核反应堆设计)上云(评论11:"takes the wind out of the idea")。
- 另一评论认为论文价值有限,仅证明产品符合宣传的威胁模型(评论12:"meet their advertised threat model")。