forum.opennet.ru

Составление сообщения

Исходное сообщение

"В OpenBSD добавлена новая защита от атак на основе заимствов..."
Отправлено opennews, 25-Июн-17 10:26

В состав OpenBSD принят (https://marc.info/?l=openbsd-cvs&m=149807300224819&w=2) набор патчей с реализацией технологии Trapsleds (https://marc.info/?l=openbsd-tech&m=149792179514439&w=2), позволяющей усложнить выполнение эксплоитов, использующих технику заимствования кусков кода (https://ru.wikipedia.org/wiki/%D0%92%D0%... основанную на приёмах возвратно-ориентированного программирования (ROP, Return-Oriented Programming).

Суть добавленного в OpenBSD метода защиты в применении для заполнения добавочных областей (используются (https://en.wikipedia.org/wiki/NOP_slide) для выравнивания блоков с кодом функций по 16-байтовой границе) инструкций INT3 вместо NOP на системах с архитектурой AMD64. Любые последовательности NOP длиннее двух байт заменяются на  двухбайтовый короткий переход JMP поверх набора инструкций INT3, используемых для заполнения. Таким образом, при штатном выполнении программа  перепрыгнет набор инструкций INT3 вместо холостого выполнения серии инструкций NOP.


В случае осуществления атаки, при переходе на код гаджта (составляющий эксплоит блок заимствованных машинных инструкций) попадание на область заполнения на базе INT3 вместо NOP приведёт к возникновению исключения и остановке выполнения (SIGTRAP) атакованной программы. При вызове гаджета создатели эксплоита должны будут точно рассчитать адрес перехода, что значительно труднее, чем организовать переход на предшествующую гаджету область заполнения из NOP-инструкций. Разница в производительности при использование JMP-перехода при проведении синтетических тестов почти не заметна и составляет менее  1%, что может рассматриваться как погрешность измерения.

Напомним, что техника заимствования кусков кода  используется для эксплуатации переполнений буфера в условиях, когда в страницах памяти стека и буфера установлен запрет на исполнение кода. Для организации выполнения кода атакующего в таких условиях логика выполнения shell-кода формируется с использованием методов возвратно-ориентированного программирования (ROP) -  атакующий не пытается разместить свой код в памяти, а оперирует уже имеющимися в загруженных библиотеках кусками машинных инструкций, завершающихся инструкцией возврата управления (как правило, это окончания библиотечных функций).  Работа эксплоита сводится к построению цепочки вызовов подобных блоков ("гаджетов") для получения нужной функциональности. Для автоматизации выявления гаджетов применяются специальные инструменты (https://github.com/JonathanSalwan/ROPgadget/). Используя готовые блоки  машинных инструкций (гаджеты) можно организовать достаточно сложные операции, в том числе организовать работу условных операторов и циклов.

URL: http://undeadly.org/cgi?action=article&sid=20170622065629
Новость: https://www.opennet.ru/opennews/art.shtml?num=46759

Исходное сообщение
"В OpenBSD добавлена новая защита от атак на основе заимствов..." Отправлено opennews, 25-Июн-17 10:26
В состав OpenBSD принят (https://marc.info/?l=openbsd-cvs&m=149807300224819&w=2) набор патчей с реализацией технологии Trapsleds (https://marc.info/?l=openbsd-tech&m=149792179514439&w=2), позволяющей усложнить выполнение эксплоитов, использующих технику заимствования кусков кода (https://ru.wikipedia.org/wiki/%D0%92%D0%... основанную на приёмах возвратно-ориентированного программирования (ROP, Return-Oriented Programming). Суть добавленного в OpenBSD метода защиты в применении для заполнения добавочных областей (используются (https://en.wikipedia.org/wiki/NOP_slide) для выравнивания блоков с кодом функций по 16-байтовой границе) инструкций INT3 вместо NOP на системах с архитектурой AMD64. Любые последовательности NOP длиннее двух байт заменяются на двухбайтовый короткий переход JMP поверх набора инструкций INT3, используемых для заполнения. Таким образом, при штатном выполнении программа перепрыгнет набор инструкций INT3 вместо холостого выполнения серии инструкций NOP. В случае осуществления атаки, при переходе на код гаджта (составляющий эксплоит блок заимствованных машинных инструкций) попадание на область заполнения на базе INT3 вместо NOP приведёт к возникновению исключения и остановке выполнения (SIGTRAP) атакованной программы. При вызове гаджета создатели эксплоита должны будут точно рассчитать адрес перехода, что значительно труднее, чем организовать переход на предшествующую гаджету область заполнения из NOP-инструкций. Разница в производительности при использование JMP-перехода при проведении синтетических тестов почти не заметна и составляет менее 1%, что может рассматриваться как погрешность измерения. Напомним, что техника заимствования кусков кода используется для эксплуатации переполнений буфера в условиях, когда в страницах памяти стека и буфера установлен запрет на исполнение кода. Для организации выполнения кода атакующего в таких условиях логика выполнения shell-кода формируется с использованием методов возвратно-ориентированного программирования (ROP) - атакующий не пытается разместить свой код в памяти, а оперирует уже имеющимися в загруженных библиотеках кусками машинных инструкций, завершающихся инструкцией возврата управления (как правило, это окончания библиотечных функций). Работа эксплоита сводится к построению цепочки вызовов подобных блоков ("гаджетов") для получения нужной функциональности. Для автоматизации выявления гаджетов применяются специальные инструменты (https://github.com/JonathanSalwan/ROPgadget/). Используя готовые блоки машинных инструкций (гаджеты) можно организовать достаточно сложные операции, в том числе организовать работу условных операторов и циклов. URL: http://undeadly.org/cgi?action=article&sid=20170622065629 Новость: https://www.opennet.ru/opennews/art.shtml?num=46759

Ваше сообщение

Имя*:

EMail:

Для отправки ответов на email укажите знак ! перед адресом, например, !user@host.ru (!! - не показывать email).
Более тонкая настройка отправки ответов производится в профиле зарегистрированного участника форума.

Заголовок*:

Сообщение*:

> В состав OpenBSD принят (https://marc.info/?l=openbsd-cvs&m=149807300224819&w=2) 
> набор патчей с реализацией технологии Trapsleds (https://marc.info/?l=openbsd-tech&m=149792179514439&w=2), 
> позволяющей усложнить выполнение эксплоитов, использующих технику заимствования кусков 
> кода (https://ru.wikipedia.org/wiki/%D0%92%D0%BE%D0%B7%D0%B2%D1%80%D0%B0%D1%82%D0%BD%D0%BE-%D0%BE%D1%80%D0%B8%D0%B5%D0%BD%D1%82%D0%B8%D1%80%D0%BE%D0%B2%D0%B0%D0%BD%D0%BD%D0%BE%D0%B5_%D0%BF%D1%80%D0%BE%D0%B3%D1%80%D0%B0%D0%BC%D0%BC%D0%B8%D1%80%D0%BE%D0%B2%D0%B0%D0%BD%D0%B8%D0%B5#.D0.97.D0.B0.D0.B8.D0.BC.D1.81.D1.82.D0.B2.D0.BE.D0.B2.D0.B0.D0.BD.D0.B8.D0.B5_.D0.BA.D1.83.D1.81.D0.BA.D0.BE.D0.B2_.D0.BA.D0.BE.D0.B4.D0.B0), 
> основанную на приёмах возвратно-ориентированного программирования (ROP, Return-Oriented 
> Programming).

> Суть добавленного в OpenBSD метода защиты в применении для заполнения добавочных областей 
> (используются (https://en.wikipedia.org/wiki/NOP_slide) для выравнивания блоков с 
> кодом функций по 16-байтовой границе) инструкций INT3 вместо NOP на системах 
> с архитектурой AMD64. Любые последовательности NOP длиннее двух байт заменяются на 
>  двухбайтовый короткий переход JMP поверх набора инструкций INT3, используемых для 
> заполнения. Таким образом, при штатном выполнении программа  перепрыгнет набор инструкций 
> INT3 вместо холостого выполнения серии инструкций NOP.

> В случае осуществления атаки, при переходе на код гаджта (составляющий эксплоит блок 
> заимствованных машинных инструкций) попадание на область заполнения на базе INT3 вместо 
> NOP приведёт к возникновению исключения и остановке выполнения (SIGTRAP) атакованной программы. 
> При вызове гаджета создатели эксплоита должны будут точно рассчитать адрес перехода, 
> что значительно труднее, чем организовать переход на предшествующую гаджету область заполнения 
> из NOP-инструкций. Разница в производительности при использование JMP-перехода при проведении 
> синтетических тестов почти не заметна и составляет менее  1%, что 
> может рассматриваться как погрешность измерения.

> Напомним, что техника заимствования кусков кода  используется для эксплуатации переполнений 
> буфера в условиях, когда в страницах памяти стека и буфера установлен 
> запрет на исполнение кода. Для организации выполнения кода атакующего в таких 
> условиях логика выполнения shell-кода формируется с использованием методов возвратно-ориентированного 
> программирования (ROP) -  атакующий не пытается разместить свой код в 
> памяти, а оперирует уже имеющимися в загруженных библиотеках кусками машинных инструкций, 
> завершающихся инструкцией возврата управления (как правило, это окончания библиотечных 
> функций).  Работа эксплоита сводится к построению цепочки вызовов подобных блоков 
> ("гаджетов") для получения нужной функциональности. Для автоматизации выявления гаджетов 
> применяются специальные инструменты (https://github.com/JonathanSalwan/ROPgadget/). 
> Используя готовые блоки  машинных инструкций (гаджеты) можно организовать достаточно сложные 
> операции, в том числе организовать работу условных операторов и циклов.

> URL: http://undeadly.org/cgi?action=article&sid=20170622065629 
> Новость: https://www.opennet.ru/opennews/art.shtml?num=46759

При общении не допускается: неуважительное отношение к собеседнику, хамство, унизительное обращение, ненормативная лексика, переход на личности, агрессивное поведение, обесценивание собеседника, провоцирование флейма голословными и заведомо ложными заявлениями. Не отвечайте на сообщения, явно нарушающие правила - удаляются не только сами нарушения, но и все ответы на них. Лог модерирования.

Партнёры:

Хостинг:

Закладки на сайте
Проследить за страницей

Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру