控制着计算机系统设备的工作方式, 其安全性关系到整个信息系统的安全、可靠和稳定.而软件作为人类智力活动的表达和产物, 在其规模和复杂程度迅速增长的同时, 就不可避免地存在漏洞(和缺陷)[1-3].在当前严峻的网络空间(cyberspace)安全形势下, 软件漏洞以其高威胁、难防御、普遍存在等特点, 被作为一种战略资源, 广泛用于攻防博弈中[4-6].而本文则是在当前系统架构和软件生态环境下, 从攻击和防护两个角度对软件漏洞利用中的二进制代码重用关键技术展开探讨和研究.
自1988年11月第1个缓冲区溢出漏洞攻击案例——莫里斯蠕虫(Morris worm)之后, 针对软件漏洞的攻击与防护技术就已被广泛研究[7].回顾过去30年的发展历程, 研究人员通过向编译器、操作系统和处理器这3个层面引入新安全特性, 实现在源代码安全检查、二进制代码生成和软件运行过程中对软件进行保护, 提高软件的安全性, 试图消除或降低攻击者利用软件漏洞对信息系统进行攻击的可能性.
然而, 攻防技术相生相长.虽然在硬件、操作系统和软件不同维度的防护下, 传统的完全依赖于代码注入(code injection)的控制流劫持类漏洞的攻击方式已能被较好地防御, 但攻击者仍可利用跳转指令将内存空间中已有的、分散的代码片段(code blocks)链接, 构造出其所期望的、具有攻击目的的功能逻辑, 最终实现在不引入外部代码的情况下, 实施控制流劫持后的恶意攻击[8].这种利用内存中已经存在的代码片段实现新的功能逻辑的程序执行方式, 就是二进制代码重用技术.当前, 内存不可执行(non-executable memory, 简称NX)或数据执行保护(data execution prevention, 简称DEP)、动态代码签名(dynamic code-signing)等安全特性被广泛部署于主流操作系统中, 使得漏洞攻击的难度显著提高.在这种情况下, 代码重用技术的“无需注入具有可执行能力攻击代码”的特性使其能够有效绕过这些新型安全机制, 其在漏洞利用中的关键性作用更加凸显.从已公开发布和披露的案例来看, 代码重用技术已成为控制流劫持类漏洞利用中的一个必要环节.
最近10年, 网络空间安全形势的愈加严峻, 学术界、工业界都对二进制代码重用进行了广泛且深入的研究.这些研究涵盖基于二进制代码重用的攻击思路、相应的防护方法与检测机制等方面.本文从3个方面进行分析和探讨:(1) 二进制代码重用技术的基本原理、本质思想, 不同平台架构、操作系统环境下的应用以及在攻防博弈下的进化; (2) 针对二进制代码重用攻击方法的防护和缓解机制的研究, 涵盖从软件本身、程序运行环境(如操作系统)等角度进行的安全性防护以及针对攻击行为的异常检测方法; (3) 工业界对重要学术成果的转化和应用情况, 如微软发布的CFG(control flow guard)和Intel拟推出的处理器级别的代码重用防护技术——CET (control-flow enforcement technology).最后, 本文对二进制代码重用未来的发展方向从攻击、防护和代码逻辑混淆等角度进行展望和探讨.
1 二进制代码重用关键技术1.1 代码重用基本原理
在缓冲区溢出、UAF(use-after-free)等常见漏洞利用中, 攻击者往往能够成功地控制线程调用栈中的返回地址或保存程序跳转目标(代码指针)的寄存器, 形成控制流劫持.通过将控制流重定向到其所期望的任何有效代码区域, 即可造成任意代码执行的高风险威胁.在早期的漏洞利用中, 攻击者直接将所劫持的控制流重定向到已精心布局(注入)在栈或堆中的外部代码(shellcode), 进行后续执行.但随着不可执行栈、NX(no-execute)、DEP等内存不可执行技术的引入, 使得攻击者直接注入到内存中的shellcode不具备执行权限, 从而攻击失效.而Apple在iOS系统中引入的代码签名机制则比DEP等更为严格, 只有包含已签名代码的内存页才具有执行权限, 这也同样限制了外部注入的代码执行[9, 10].
如果攻击者将控制流的跳转目标指向内存中某函数的入口处, 并在栈上布局了该函数的调用参数, 则可以实现对该函数的调用.若被调用的是类似system()或execv()等安全敏感的函数, 则可在不注入代码的情况下造成有效攻击.但在实际攻击过程中, 对单个函数的调用往往是不够的, 攻击者通过使用位于函数末尾的类ret的指令片段, 让控制流跳转的目标地址始终来自于其布局在栈上的数据, 从而实现内存中分散指令片段的连续调用, 形成具有特定功能的大规模代码片段重用攻击.
图 1是一个二进制代码重用示例, 其功能是通过代码重用的方式实现了两个值的加法运算, 并将结果写入指定内存地址0x400000.通过在调用栈上精心布局指向内存中已有指令片段的指针和指令运行期间需要引用的数据, 使得每个指令片段在完成其功能执行后能够通过ret指令“返回”到栈上预置数据指向的代码片段, 即下一个指令片段, 从而实现在具备不同功能的指令片段上的连续运行, 最终实现特定的完整功能逻辑.
|
| Fig. 1 An example of binary code reuse and connected code blocks图 1 二进制代码重用示例及指令片段连续调用 |
, 控制着计算机系统设备的工作方式, 其安全性关系到整个信息系统的安全、可靠和稳定.而软件作为人类智力活动的表达和产物, 在其规模和复杂程度迅速增长的同时, 就不可避免地存在漏洞(和缺陷)[1-3].在当前严峻的网络空间(cyberspace)安全形势下, 软件漏洞以其高威胁、难防御、普遍存在等特点, 被作为一种战略资源, 广泛用于攻防博弈中[4-6].而本文则是在当前系统架构和软件生态环境下, 从攻击和防护两个角度对软件漏洞利用中的二进制代码重用关键技术展开探讨和研究.
自1988年11月第1个缓冲区溢出漏洞攻击案例——莫里斯蠕虫(Morris worm)之后, 针对软件漏洞的攻击与防护技术就已被广泛研究[7].回顾过去30年的发展历程, 研究人员通过向编译器、操作系统和处理器这3个层面引入新安全特性, 实现在源代码安全检查、二进制代码生成和软件运行过程中对软件进行保护, 提高软件的安全性, 试图消除或降低攻击者利用软件漏洞对信息系统进行攻击的可能性.
然而, 攻防技术相生相长.虽然在硬件、操作系统和软件不同维度的防护下, 传统的完全依赖于代码注入(code injection)的控制流劫持类漏洞的攻击方式已能被较好地防御, 但攻击者仍可利用跳转指令将内存空间中已有的、分散的代码片段(code blocks)链接, 构造出其所期望的、具有攻击目的的功能逻辑, 最终实现在不引入外部代码的情况下, 实施控制流劫持后的恶意攻击[8].这种利用内存中已经存在的代码片段实现新的功能逻辑的程序执行方式, 就是二进制代码重用技术.当前, 内存不可执行(non-executable memory, 简称NX)或数据执行保护(data execution prevention, 简称DEP)、动态代码签名(dynamic code-signing)等安全特性被广泛部署于主流操作系统中, 使得漏洞攻击的难度显著提高.在这种情况下, 代码重用技术的“无需注入具有可执行能力攻击代码”的特性使其能够有效绕过这些新型安全机制, 其在漏洞利用中的关键性作用更加凸显.从已公开发布和披露的案例来看, 代码重用技术已成为控制流劫持类漏洞利用中的一个必要环节.
最近10年, 网络空间安全形势的愈加严峻, 学术界、工业界都对二进制代码重用进行了广泛且深入的研究.这些研究涵盖基于二进制代码重用的攻击思路、相应的防护方法与检测机制等方面.本文从3个方面进行分析和探讨:(1) 二进制代码重用技术的基本原理、本质思想, 不同平台架构、操作系统环境下的应用以及在攻防博弈下的进化; (2) 针对二进制代码重用攻击方法的防护和缓解机制的研究, 涵盖从软件本身、程序运行环境(如操作系统)等角度进行的安全性防护以及针对攻击行为的异常检测方法; (3) 工业界对重要学术成果的转化和应用情况, 如微软发布的CFG(control flow guard)和Intel拟推出的处理器级别的代码重用防护技术——CET (control-flow enforcement technology).最后, 本文对二进制代码重用未来的发展方向从攻击、防护和代码逻辑混淆等角度进行展望和探讨.
1 二进制代码重用关键技术1.1 代码重用基本原理
在缓冲区溢出、UAF(use-after-free)等常见漏洞利用中, 攻击者往往能够成功地控制线程调用栈中的返回地址或保存程序跳转目标(代码指针)的寄存器, 形成控制流劫持.通过将控制流重定向到其所期望的任何有效代码区域, 即可造成任意代码执行的高风险威胁.在早期的漏洞利用中, 攻击者直接将所劫持的控制流重定向到已精心布局(注入)在栈或堆中的外部代码(shellcode), 进行后续执行.但随着不可执行栈、NX(no-execute)、DEP等内存不可执行技术的引入, 使得攻击者直接注入到内存中的shellcode不具备执行权限, 从而攻击失效.而Apple在iOS系统中引入的代码签名机制则比DEP等更为严格, 只有包含已签名代码的内存页才具有执行权限, 这也同样限制了外部注入的代码执行[9, 10].
如果攻击者将控制流的跳转目标指向内存中某函数的入口处, 并在栈上布局了该函数的调用参数, 则可以实现对该函数的调用.若被调用的是类似system()或execv()等安全敏感的函数, 则可在不注入代码的情况下造成有效攻击.但在实际攻击过程中, 对单个函数的调用往往是不够的, 攻击者通过使用位于函数末尾的类ret的指令片段, 让控制流跳转的目标地址始终来自于其布局在栈上的数据, 从而实现内存中分散指令片段的连续调用, 形成具有特定功能的大规模代码片段重用攻击.
图 1是一个二进制代码重用示例, 其功能是通过代码重用的方式实现了两个值的加法运算, 并将结果写入指定内存地址0x400000.通过在调用栈上精心布局指向内存中已有指令片段的指针和指令运行期间需要引用的数据, 使得每个指令片段在完成其功能执行后能够通过ret指令“返回”到栈上预置数据指向的代码片段, 即下一个指令片段, 从而实现在具备不同功能的指令片段上的连续运行, 最终实现特定的完整功能逻辑.
|
| Fig. 1 An example of binary code reuse and connected code blocks图 1 二进制代码重用示例及指令片段连续调用 |
扫一扫
372
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
