Как засечь Meltdown-атаку в Linux с помощью Blacksmith

Уязвимость Meltdown — один из величайших факапов в истории вычислительной техники. Атака Meltdown позволяет одному процессу прочитать память другого процесса, что может быть использовано для воровства паролей, ключей к BitCoin и т.п. Особую опасность представляет, по понятным причинам, сочетание Meltdown и JavaScript.

До недавнего времени считалось, что засечь такую атаку невозможно, так как она имеет пассивный характер — данные читаются, но не изменяются. Спецы по киберзащите из SentinelOne нашли-таки способ выявлять такие атаки. Идея проста: в ядро Linux уже встроен механизм perf events, который позволяет в режиме реального времени мониторить производительность подсистем ядра и оборудования с привязкой к процессам. Этот механизм и используется для выявления подозрительных паттернов в поведении отдельных процессов. Грубо говоря, если какая-то программа производит большое количество чтений из памяти и больше ничего, то возможно она занята как раз попыткой эксплуатации Meltdown. Спецы использовали эту идею и написали программу Blacksmith.

Программа осуществляет мониторинг и предупреждает сисадмина, что кто-то еще в данный момент пытается стать сисадмином его компа. Blacksmith протестирован под Ubuntu 17.04, 17.10. Узнать подробности, посмотреть видео и скачать программу можно тут.