forum.opennet.ru

Составление сообщения

Исходное сообщение

"Проект OpenBSD представил технику защиты RETGUARD"
Отправлено opennews, 21-Авг-17 12:55

Тео де Раадт (Theo de Raadt) представил (https://marc.info/?l=openbsd-tech&m=150317547021396&w=2) предварительную реализацию техники защиты RETGUARD, которую планируется интегрировать в OpenBSD для усложнения выполнения эксплоитов, построенных с использованием заимствования кусков кода (https://ru.wikipedia.org/wiki/%D0%92%D0%... и приёмов возвратно-ориентированного программирования (ROP, Return-Oriented Programming).
Суть метода защиты RETGUARD заключается в искажении адреса возврата обработчиков типовых функций системных библиотек и ядра - перед началом обработчика и  перед командой возврата управления (ret) добавляется вызов "xorl %rsp,(%rsp)" для x86_64 или "xorl %esp,(%rsp)" для 32-разрядных систем x86. При штатном ходе выполнения первый xor инвертирует адрес возврата, а второй инвертирует второй раз, приведя его к изначальному виду. При выполнении эксплоита осуществляется
переход на составляющий эксплоит блок заимствованных машинных инструкций (гаджет), точка входа в который как правило не совпадает с началом функции. Так как управление передано не на начало, а в определённую часть тела функции, первый "xor" будет пропущен и "xor" перед выходом исказит переданный эксплоитом адрес возврата.

Метод реализован в виде патча к компилятору clang, который на этапе компиляции производит автоматическую подстановка кода инвертирования адреса возврата во все функции. Для функций системной библиотеки и ядра, написанных на языке ассемблер, подготовлены отдельные патчи, в которых команды "xor" добавлены вручную. Для активации нового метода защиты в приложениях не требуется отдельных действий, достаточно наложить патч, после чего пересобрать gnu/usr.bin/clang и затем этим clang пересобрать систему.

Код пока оценивается как экспериментальный и предлагается для тестирования перед включением в основной состав OpenBSD. При этом работа базовой системы и большинства портов с предложенным патчем отмечается как не вызывающая нареканий. Тем не менее пока имеются отдельные проблемы при сборке  нескольких крупных портов, в коде которых используются прямые манипуляции с адресами возврата.После отладки и интеграции защиты адресов возврата планируется реализовать похожую технику для усложнения использования гаджетов, в которых возврат управления обеспечен через подстановку адреса для команды jmp (pop/jmp или JOP).

Напомним, что техника заимствования кусков кода  используется для эксплуатации переполнений буфера в условиях, когда в страницах памяти стека и буфера установлен запрет на исполнение кода. Для организации выполнения кода атакующего в таких условиях логика выполнения shell-кода формируется с использованием методов возвратно-ориентированного программирования (ROP) -  атакующий не пытается разместить свой код в памяти, а оперирует уже имеющимися в загруженных библиотеках кусками машинных инструкций, завершающихся инструкцией возврата управления (как правило, это окончания библиотечных функций).  Работа эксплоита сводится к построению цепочки вызовов подобных блоков ("гаджетов") для получения нужной функциональности. Для автоматизации выявления гаджетов применяются специальные инструменты (https://github.com/JonathanSalwan/ROPgadget/). Используя готовые блоки  машинных инструкций (гаджеты) можно организовать достаточно сложные операции, в том числе организовать работу условных операторов и циклов.

URL: http://undeadly.org/cgi?action=article&sid=20170819230157
Новость: https://www.opennet.ru/opennews/art.shtml?num=47060

Исходное сообщение
"Проект OpenBSD представил технику защиты RETGUARD" Отправлено opennews, 21-Авг-17 12:55
Тео де Раадт (Theo de Raadt) представил (https://marc.info/?l=openbsd-tech&m=150317547021396&w=2) предварительную реализацию техники защиты RETGUARD, которую планируется интегрировать в OpenBSD для усложнения выполнения эксплоитов, построенных с использованием заимствования кусков кода (https://ru.wikipedia.org/wiki/%D0%92%D0%... и приёмов возвратно-ориентированного программирования (ROP, Return-Oriented Programming). Суть метода защиты RETGUARD заключается в искажении адреса возврата обработчиков типовых функций системных библиотек и ядра - перед началом обработчика и перед командой возврата управления (ret) добавляется вызов "xorl %rsp,(%rsp)" для x86_64 или "xorl %esp,(%rsp)" для 32-разрядных систем x86. При штатном ходе выполнения первый xor инвертирует адрес возврата, а второй инвертирует второй раз, приведя его к изначальному виду. При выполнении эксплоита осуществляется переход на составляющий эксплоит блок заимствованных машинных инструкций (гаджет), точка входа в который как правило не совпадает с началом функции. Так как управление передано не на начало, а в определённую часть тела функции, первый "xor" будет пропущен и "xor" перед выходом исказит переданный эксплоитом адрес возврата. Метод реализован в виде патча к компилятору clang, который на этапе компиляции производит автоматическую подстановка кода инвертирования адреса возврата во все функции. Для функций системной библиотеки и ядра, написанных на языке ассемблер, подготовлены отдельные патчи, в которых команды "xor" добавлены вручную. Для активации нового метода защиты в приложениях не требуется отдельных действий, достаточно наложить патч, после чего пересобрать gnu/usr.bin/clang и затем этим clang пересобрать систему. Код пока оценивается как экспериментальный и предлагается для тестирования перед включением в основной состав OpenBSD. При этом работа базовой системы и большинства портов с предложенным патчем отмечается как не вызывающая нареканий. Тем не менее пока имеются отдельные проблемы при сборке нескольких крупных портов, в коде которых используются прямые манипуляции с адресами возврата.После отладки и интеграции защиты адресов возврата планируется реализовать похожую технику для усложнения использования гаджетов, в которых возврат управления обеспечен через подстановку адреса для команды jmp (pop/jmp или JOP). Напомним, что техника заимствования кусков кода используется для эксплуатации переполнений буфера в условиях, когда в страницах памяти стека и буфера установлен запрет на исполнение кода. Для организации выполнения кода атакующего в таких условиях логика выполнения shell-кода формируется с использованием методов возвратно-ориентированного программирования (ROP) - атакующий не пытается разместить свой код в памяти, а оперирует уже имеющимися в загруженных библиотеках кусками машинных инструкций, завершающихся инструкцией возврата управления (как правило, это окончания библиотечных функций). Работа эксплоита сводится к построению цепочки вызовов подобных блоков ("гаджетов") для получения нужной функциональности. Для автоматизации выявления гаджетов применяются специальные инструменты (https://github.com/JonathanSalwan/ROPgadget/). Используя готовые блоки машинных инструкций (гаджеты) можно организовать достаточно сложные операции, в том числе организовать работу условных операторов и циклов. URL: http://undeadly.org/cgi?action=article&sid=20170819230157 Новость: https://www.opennet.ru/opennews/art.shtml?num=47060

Ваше сообщение

Имя*:

EMail:

Для отправки ответов на email укажите знак ! перед адресом, например, !user@host.ru (!! - не показывать email).
Более тонкая настройка отправки ответов производится в профиле зарегистрированного участника форума.

Заголовок*:

Сообщение*:

> Тео де Раадт (Theo de Raadt) представил (https://marc.info/?l=openbsd-tech&m=150317547021396&w=2) 
> предварительную реализацию техники защиты RETGUARD, которую планируется интегрировать 
> в OpenBSD для усложнения выполнения эксплоитов, построенных с использованием заимствования 
> кусков кода (https://ru.wikipedia.org/wiki/%D0%92%D0%BE%D0%B7%D0%B2%D1%80%D0%B0%D1%82%D0%BD%D0%BE-%D0%BE%D1%80%D0%B8%D0%B5%D0%BD%D1%82%D0%B8%D1%80%D0%BE%D0%B2%D0%B0%D0%BD%D0%BD%D0%BE%D0%B5_%D0%BF%D1%80%D0%BE%D0%B3%D1%80%D0%B0%D0%BC%D0%BC%D0%B8%D1%80%D0%BE%D0%B2%D0%B0%D0%BD%D0%B8%D0%B5#.D0.97.D0.B0.D0.B8.D0.BC.D1.81.D1.82.D0.B2.D0.BE.D0.B2.D0.B0.D0.BD.D0.B8.D0.B5_.D0.BA.D1.83.D1.81.D0.BA.D0.BE.D0.B2_.D0.BA.D0.BE.D0.B4.D0.B0) 
> и приёмов возвратно-ориентированного программирования (ROP, Return-Oriented Programming).

> Суть метода защиты RETGUARD заключается в искажении адреса возврата обработчиков типовых 
> функций системных библиотек и ядра - перед началом обработчика и  
> перед командой возврата управления (ret) добавляется вызов "xorl %rsp,(%rsp)" для x86_64 
> или "xorl %esp,(%rsp)" для 32-разрядных систем x86. При штатном ходе выполнения 
> первый xor инвертирует адрес возврата, а второй инвертирует второй раз, приведя 
> его к изначальному виду. При выполнении эксплоита осуществляется 
>  переход на составляющий эксплоит блок заимствованных машинных инструкций (гаджет), точка 
> входа в который как правило не совпадает с началом функции. Так 
> как управление передано не на начало, а в определённую часть тела 
> функции, первый "xor" будет пропущен и "xor" перед выходом исказит переданный 
> эксплоитом адрес возврата.

> Метод реализован в виде патча к компилятору clang, который на этапе компиляции 
> производит автоматическую подстановка кода инвертирования адреса возврата во все функции. 
> Для функций системной библиотеки и ядра, написанных на языке ассемблер, подготовлены 
> отдельные патчи, в которых команды "xor" добавлены вручную. Для активации нового 
> метода защиты в приложениях не требуется отдельных действий, достаточно наложить патч, 
> после чего пересобрать gnu/usr.bin/clang и затем этим clang пересобрать систему.

> Код пока оценивается как экспериментальный и предлагается для тестирования перед включением 
> в основной состав OpenBSD. При этом работа базовой системы и большинства 
> портов с предложенным патчем отмечается как не вызывающая нареканий. Тем не 
> менее пока имеются отдельные проблемы при сборке  нескольких крупных портов, 
> в коде которых используются прямые манипуляции с адресами возврата.После отладки и 
> интеграции защиты адресов возврата планируется реализовать похожую технику для усложнения 
> использования гаджетов, в которых возврат управления обеспечен через подстановку адреса 
> для команды jmp (pop/jmp или JOP).

> Напомним, что техника заимствования кусков кода  используется для эксплуатации переполнений 
> буфера в условиях, когда в страницах памяти стека и буфера установлен 
> запрет на исполнение кода. Для организации выполнения кода атакующего в таких 
> условиях логика выполнения shell-кода формируется с использованием методов возвратно-ориентированного 
> программирования (ROP) -  атакующий не пытается разместить свой код в 
> памяти, а оперирует уже имеющимися в загруженных библиотеках кусками машинных инструкций, 
> завершающихся инструкцией возврата управления (как правило, это окончания библиотечных 
> функций).  Работа эксплоита сводится к построению цепочки вызовов подобных блоков 
> ("гаджетов") для получения нужной функциональности. Для автоматизации выявления гаджетов 
> применяются специальные инструменты (https://github.com/JonathanSalwan/ROPgadget/). 
> Используя готовые блоки  машинных инструкций (гаджеты) можно организовать достаточно сложные 
> операции, в том числе организовать работу условных операторов и циклов.

> URL: http://undeadly.org/cgi?action=article&sid=20170819230157 
> Новость: https://www.opennet.ru/opennews/art.shtml?num=47060

При общении не допускается: неуважительное отношение к собеседнику, хамство, унизительное обращение, ненормативная лексика, переход на личности, агрессивное поведение, обесценивание собеседника, провоцирование флейма голословными и заведомо ложными заявлениями. Не отвечайте на сообщения, явно нарушающие правила - удаляются не только сами нарушения, но и все ответы на них. Лог модерирования.

Партнёры:

Хостинг:

Закладки на сайте
Проследить за страницей

Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру