Mar is eol duit, tá an cód a fhorghníomhaítear san iamhchríoch teoranta go mór ina fheidhmiúlacht. Ní féidir leis glaonna córais a dhéanamh. Ní féidir leis oibríochtaí I/O a dhéanamh. Ní fios seoladh bonn deighleog cód an fheidhmchláir óstaigh. Ní féidir leis jmp ná glaoch ar chód feidhmchláir an óstaigh. Níl aon smaoineamh aige faoin struchtúr spáis seoltaí a rialaíonn an t-iarratas óstaigh (mar shampla, cé na leathanaigh atá mapáilte nó cén cineál sonraí atá suite ar na leathanaigh sin). Ní féidir leis iarraidh ar an gcóras oibriúcháin píosa de chuimhne an fheidhmchláir óstaigh a mhapáil chuige (mar shampla, trí /proc/pid/maps). Is é an toradh a bheidh ar iarrachtaí naive chun réigiún cuimhne treallach iarratas óstach a léamh go dall, gan trácht ar iarrachtaí ar scríobh, luath nó mall (an chéad cheann is dócha) a fhoirceannadh iachall ar an gclár enclave. Tarlaíonn sé seo nuair nach bhfuil rochtain ag an bhfeidhmchlár óstaigh ar an réigiún spáis seoltaí fíorúla a iarrann an t-iamhchríoch.
I bhfianaise na réaltachtaí crua sin, an mbeidh scríbhneoir víreas in ann iamháin SGX a úsáid chun a chuid spriocanna mailíseach a bhaint amach?
Bunaithe ar na nithe thuas go léir, glactar leis go ginearálta nach bhfuil iamhach in ann freastal ar an iarratas óstaigh ach amháin, agus nach féidir leis an iamhchríoch a thionscnamh féin a fheidhmiú, lena n-áirítear cinn mailíseach. Ciallaíonn sé seo nach bhfuil aon luach praiticiúil ag iamhchríocha do scríbhneoirí víreas. Tá an toimhde hasty seo ar cheann de na fáthanna a bhfuil cosaint SGX neamhshiméadrach: ní féidir le cód feidhmchláir an óstaigh rochtain a fháil ar chuimhne iamhacháin, agus is féidir le cód imchlábhaigh léamh agus scríobh chuig aon seoladh cuimhne feidhmchláir óstaigh.
Dá bhrí sin, dá mbeadh cód iamh mailíseach in ann glaonna córas treallach a dhéanamh thar ceann an fheidhmchláir óstaigh, cód treallach a fhorghníomhú thar a cheann, scanadh a dhéanamh ar chuimhne an fheidhmchláir óstaigh agus slabhraí ROP in-úsáidte a aimsiú ann, d’fhéadfadh sé rialú iomlán a dhéanamh ar an bhfeidhmchlár óstaigh, i. mód stealth. Ní féidir leis ach comhaid úsáideora a ghoid agus a chriptiú, ach gníomhú freisin ar son an úsáideora. Mar shampla, seol ríomhphoist fioscaireachta ar a shon nó déan ionsaithe DoS. Gan eagla roimh fiú na meicníochtaí cosanta is nua-aimseartha, mar chruachan chanáracha agus sláintíocht seoltaí.
Taispeánfaimid cúpla hack duit a úsáideann ionsaitheoirí chun na teorainneacha a thuairiscítear thuas a shárú chun leas a bhaint as SGX chun a gcríoch mailíseach féin: ionsaithe ROP. Ceachtar chun cód treallach a fhorghníomhú atá faoi cheilt mar phróiseas iarratais óstach (cosúil le hollowing a phróiseáil, a úsáideann malware go minic), nó chun malware réamhdhéanta a cheilt (chun a malware a shábháil ó ghéarleanúint ag frithvíreas agus meicníochtaí cosanta eile).
Hack le haghaidh seoltaí fiosrúcháin féachaint an féidir iad a léamh
Ós rud é nach bhfuil a fhios ag an iamhchríoch cé na raonta den spás seoltaí fíorúla atá inrochtana don fheidhmchlár óstaigh, agus toisc go bhfuil iallach ar an iamhchríoch a fhoirceannadh nuair a bhíonn sé ag iarraidh seoladh dorochtana a léamh, bíonn ar an ionsaitheoir bealach a aimsiú chun an locht a fháil- scan an spás seolta go fulangach. Faigh bealach chun seoltaí fíorúla atá ar fáil a mhapáil. Réitíonn an villain an fhadhb seo trí mhí-úsáid a bhaint as teicneolaíocht TSX Intel. Úsáideann sé ceann d’fho-iarmhairtí TSX: má chuirtear an fheidhm rochtana cuimhne in idirbheart TSX, ansin cuireann TSX eisceachtaí a eascraíonn as rochtain ar sheoltaí neamhbhailí faoi chois gan an córas oibriúcháin a bhaint amach. Má dhéantar iarracht seoladh cuimhne neamhbhailí a rochtain, ní chuirtear deireadh leis ach an t-idirbheart reatha, ní an clár iamháin ar fad. Sin. Ceadaíonn TSX d'iamhchríoch rochtain a fháil go slán ar aon seoladh laistigh d'idirbheart - gan an baol go dtitfidh sé.
Más rud é tá an seoladh sonraithe ar fáil iarratas óstach, is minic a éiríonn leis an idirbheart TSX. I gcásanna neamhchoitianta, d’fhéadfadh go dteipfeadh air mar gheall ar thionchair sheachtracha amhail idirbhriseadh (cosúil le cur isteach ar an sceidealóir), díshealbhuithe taisce, nó modhnú comhuaineach ar shuíomh cuimhne trí phróisis iolracha. Sna cásanna neamhchoitianta seo, cuireann an TSX cód earráide ar ais a thugann le fios gur teip sealadach é. Sna cásanna seo, ní mór duit ach an t-idirbheart a atosú.
Más rud é níl an seoladh sonraithe ar fáil iarratas óstach, TSX shochtadh an eisceacht a tharla (ní chuirtear in iúl don OS) agus ginmhilleadh an t-idirbheart. Cuirtear cód earráide ar ais chuig an gcód iamh ionas gur féidir leis freagairt go bhfuil an t-idirbheart curtha ar ceal. Léiríonn na cóid earráide seo nach bhfuil an seoladh atá i gceist ar fáil don fheidhmchlár óstaigh.
Tá gné deas ag baint leis an ionramháil seo ar TSX ón taobh istigh den iamhchríoch don villain: ós rud é nach nuashonraítear an chuid is mó de na cuntair feidhmíochta crua-earraí nuair a dhéantar an cód iata a fhorghníomhú, ní féidir idirbhearta TSX a dhéantar laistigh den iamhchríoch a rianú. Mar sin, tá ionramháil mailíseach an TSX dofheicthe go hiomlán don chóras oibriúcháin.
Ina theannta sin, ós rud é nach bhfuil an hack thuas ag brath ar aon ghlaonna córais, ní féidir é a bhrath ná a chosc trí ghlaonna córais a bhlocáil; a thugann toradh dearfach de ghnáth sa troid in aghaidh fiach ubh.
Úsáideann an villain an hack a thuairiscítear thuas chun an cód iarratais óstach a chuardach le haghaidh gadgets atá oiriúnach chun slabhra ROP a fhoirmiú. Ag an am céanna, ní gá dó gach seoladh a iniúchadh. Is leor seoladh amháin a fhiosrú ó gach leathanach den spás seolta fíorúil. Tógann sé thart ar 16 nóiméad (ar Intel i45-7K) gach 6700 ghigibheart de chuimhne a scrúdú. Mar thoradh air sin, faigheann an villain liosta de na leathanaigh inrite atá oiriúnach chun slabhra ROP a thógáil.
Hack chun seoltaí inscríofa a fhiosrú
Chun leagan iamhach d'ionsaí ROP a dhéanamh, ní mór d'ionsaitheoir a bheith in ann cuardach a dhéanamh ar réimsí cuimhne inscríofa neamhúsáidte den fheidhmchlár óstaigh. Úsáideann an t-ionsaitheoir na láithreacha cuimhne seo chun fráma cruachta bréige a instealladh agus chun pálasta (shellcode) a instealladh. Is é an rud is bun ná nach féidir le hiamhán mailíseach a cheangal ar an bhfeidhmchlár óstaigh cuimhne a leithdháileadh dó féin, ach ina ionad sin is féidir leis an gcuimhne atá leithdháilte cheana féin ag an bhfeidhmchlár óstach a mhí-úsáid. Más rud é, ar ndóigh, bainistíonn sé réimsí den sórt sin a aimsiú gan an t-iamhchríoch a thit.
Déanann an villain an cuardach seo trí leas a bhaint as fo-iarmhairt eile de chuid TSX. Ar dtús, mar a tharla sa chás roimhe seo, déanann sé an seoladh a fhiosrú chun a bheith ann, agus seiceálann sé ansin an bhfuil an leathanach a fhreagraíonn don seoladh seo inscríofa. Chun seo a dhéanamh, úsáideann an villain an hack seo a leanas: cuireann sé feidhm scríobh in idirbheart TSX, agus tar éis é a bheith críochnaithe, ach sula mbeidh sé críochnaithe, ginmhilleadh sé go héigeantach an t-idirbheart (ginmhilleadh follasach).
Trí bhreathnú ar an gcód tuairisceáin ó idirbheart TSX, tuigeann an t-ionsaitheoir an bhfuil sé inscríofa. Más “ginmhilleadh follasach” é, tuigeann an villain go n-éireodh leis an taifeadadh dá leanfadh sé é. Má tá an leathanach inléite amháin, críochnaíonn an t-idirbheart le hearráid seachas “ginmhilleadh follasach”.
Tá gné eile ag an ionramháil TSX seo atá deas don villain (seachas an dodhéanta é a rianú trí chuntair feidhmíochta crua-earraí): ós rud é go bhfuil gach ordú scríobh cuimhne tiomanta ach amháin má éiríonn leis an idirbheart, cinntíonn brú an t-idirbheart a chur i gcrích go bhfuil an chill chuimhne probed. fós gan athrú.
Hack chun sreabhadh rialaithe a atreorú
Agus ionsaí ROP á dhéanamh aige ó iamhchríoch - murab ionann agus ionsaithe ROP traidisiúnta - is féidir leis an ionsaitheoir smacht a fháil ar an gclár RIP gan leas a bhaint as aon fhabhtanna sa chlár faoi ionsaí (thar maolán nó rud éigin mar sin). Is féidir le hionsaitheoir luach an chláir RIP atá stóráilte ar an gcruach a fhorscríobh go díreach. Go háirithe, is féidir leis a slabhra ROP féin a chur in ionad luach an chláir seo.
Mar sin féin, má tá an slabhra ROP fada, is féidir éilliú sonraí agus iompar cláir gan choinne a bheith mar thoradh ar fhorscríobh smután mór de chruach an fheidhmchláir óstaigh. Níl an villain, a fhéachann lena ionsaí a dhéanamh faoi cheilt, sásta leis an staid chúrsaí seo. Mar sin, cruthaíonn sé fráma cruachta sealadach bréige dó féin agus stórálann sé a slabhra ROP ann. Cuirtear an fráma cruachta bréige i suíomh cuimhne randamach inscríofa, rud a fhágann an fíor-stack slán.
Cad a thugann na trí hack atá liostaithe thuas don villain?
(1) Gcéad dul síos, an enclave mailíseach tríd hack le haghaidh seoltaí fiosrúcháin féachaint an féidir iad a léamh, – déanann sé cuardach ar an bhfeidhmchlár óstaigh le haghaidh giuirléidí ROP inúsáidte.
(2) Ansin trí hack le haghaidh seoltaí inscríbhniúcháin a fhiosrú, – aithníonn iamhchríoch mailíseach réimsí i gcuimhne an fheidhmchláir óstaigh atá oiriúnach chun pálasta a instealladh.
(3) Ansin, cruthaíonn an enclave slabhra ROP ó na giuirléidí a aimsíodh i gcéim (1) agus instealladh an slabhra seo isteach sa stack iarratais óstach.
(4) Ar deireadh, nuair a thagann an t-iarratas óstach ar an slabhra ROP a cruthaíodh sa chéim roimhe seo, tosaíonn an t-ualach pá mailíseach a fhorghníomhú - le pribhléidí an iarratais óstaigh agus an cumas glaonna córais a dhéanamh.
Conas a úsáideann villain na hacks seo a chruthú ranzowari
Tar éis don fheidhmchlár óstach rialú a aistriú chuig an iamhchríoch trí cheann de na ECALLs (gan amhras a bheith ann go bhfuil an t-iamhchríoch mailíseach seo), cuardaigh an t-iamhchríoch mailíseach spás saor in aisce i gcuimhne an fheidhmchláir óstaigh ar chód instealladh (ag tógáil mar spásanna saor in aisce ar na sraitheanna cealla sin a líonadh le nialais). Ansin tríd hack le haghaidh seoltaí fiosrúcháin féachaint an féidir iad a léamh, – déanann an t-iamhchríoch cuardach ar leathanaigh inrite san fheidhmchlár óstach agus gineann sé slabhra ROP a chruthaíonn comhad nua darb ainm “RANSOM” san eolaire reatha (i bhfíor-ionsaí, criptíonn an t-imfhálú comhaid úsáideora atá ann cheana féin) agus taispeánann sé teachtaireacht airgead fuascailte. Ag an am céanna, creideann an t-iarratas óstach go naively go bhfuil an enclave ach ag cur dhá uimhir. Cén chuma atá air seo sa chód?
Ar mhaithe le tuiscint níos éasca, tugaimid roinnt cuimhneacháin isteach trí na sainmhínithe:
Sábhálann muid bunluachanna na gclár RSP agus RBP chun gnáthoibriú an iarratais óstaigh a athbhunú tar éis an pálasta a chur i gcrích:
Táimid ag lorg fráma cruachta oiriúnach (féach an cód ón alt “hack for atreorú sreabhadh rialaithe”).
Giuirléidí ROP oiriúnacha a aimsiú:
Ag aimsiú áit chun an pálasta a instealladh:
Tógaimid slabhra ROP:
Seo é an chaoi a mbaineann villains leas as teicneolaíocht SGX Intel, atá deartha chun dul i ngleic le cláir mhailíseacha, chun spriocanna eile a bhaint amach.
Foinse: will.com