ご存知のとおり、エンクレーブで実行されるコードの機能は大幅に制限されています。 システムコールを行うことはできません。 I/O 操作は実行できません。 ホスト アプリケーションのコード セグメントのベース アドレスはわかりません。 jmp を実行したり、ホスト アプリケーション コードを呼び出したりすることはできません。 ホスト アプリケーションを管理するアドレス空間構造 (たとえば、どのページがマップされているか、どのような種類のデータがそれらのページに配置されているかなど) についてはわかりません。 ホスト アプリケーションのメモリの一部をオペレーティング システムにマップするように要求することはできません (たとえば、/proc/pid/maps を通じて)。 書き込みの試みは言うまでもなく、ホスト アプリケーションの任意のメモリ領域を盲目的に読み取ろうとする単純な試みは、遅かれ早かれ (前者である可能性が高く) エンクレーブ プログラムの強制終了につながります。 これは、エンクレーブによって要求された仮想アドレス空間領域がホスト アプリケーションからアクセスできない場合に常に発生します。

このような厳しい現実を踏まえると、ウイルス作成者は悪意のある目的を達成するために SGX エンクレーブを使用できるでしょうか?

– アドレスを調査して読み取れるかどうかを確認するためのハック
– アドレスの書き込み可能性を調査するハッキング
– 制御フローをリダイレクトするハッキング
– 上記の XNUMX つのハックは悪役に何をもたらしますか?
– 悪役がこれらのハックを使用してランゾムワリを作成する方法

上記のすべてに基づいて、エンクレーブはホスト アプリケーションにのみサービスを提供することができ、悪意のあるものも含めて独自のイニシアティブを行使することはできないことが一般に受け入れられています。 これは、ウイルス作成者にとってエンクレーブは実際的な価値がないことを意味します。 この性急な仮定は、SGX 保護が非対称である理由の XNUMX つです。ホスト アプリケーション コードはエンクレーブ メモリにアクセスできませんが、エンクレーブ コードは任意のホスト アプリケーション メモリ アドレスに対して読み書きできます。

したがって、悪意のあるエンクレーブ コードがホスト アプリケーションに代わって任意のシステム コールを実行し、任意のコードを実行し、ホスト アプリケーションのメモリをスキャンしてその中に悪用可能な ROP チェーンを見つけることができた場合、ホスト アプリケーションの完全な制御を掌握する可能性があります。ステルスモード。 ユーザーファイルを盗んで暗号化するだけでなく、ユーザーに代わって動作することもできます。 たとえば、彼の代わりにフィッシングメールを送信したり、DoS 攻撃を実行したりします。 スタック カナリアやアドレス サニタイズなどの最新の保護メカニズムも恐れることはありません。

ここでは、攻撃者が上記の制限を克服して SGX を自らの悪意のある目的 (ROP 攻撃) に悪用するために使用するハッキングをいくつか紹介します。 ホスト アプリケーション プロセスを偽装した任意のコードを実行する (マルウェアでよく使用されるプロセス ハローイングと同様)、または既成のマルウェアを偽装する (ウイルス対策やその他の防御メカニズムによる迫害からマルウェアを守るため)。

アドレスを調査して読み取れるかどうかを確認するハック

エンクレーブは、仮想アドレス空間のどの範囲がホスト アプリケーションにアクセス可能であるかを認識せず、アクセスできないアドレスを読み取ろうとするとエンクレーブは強制終了されるため、攻撃者はフォールトを見つける方法を見つけるという課題に直面します。アドレス空間を寛容にスキャンします。 利用可能な仮想アドレスをマッピングする方法を見つけます。 悪役はインテルの TSX テクノロジーを悪用することでこの問題を解決します。 TSX の副作用の XNUMX つを使用します。メモリ アクセス関数が TSX トランザクションに配置されている場合、無効なアドレスへのアクセスから発生する例外は、オペレーティング システムに到達することなく TSX によって抑制されます。 無効なメモリ アドレスにアクセスしようとすると、エンクレーブ プログラム全体ではなく、現在のトランザクションのみが中止されます。 それ。 TSX を使用すると、エンクレーブは、崩壊のリスクなしに、トランザクション内から任意のアドレスに安全にアクセスできます。

もし 指定されたアドレスは利用可能です ホスト アプリケーションでは、TSX トランザクションはほとんどの場合成功します。 まれに、割り込み (スケジューラ割り込みなど)、キャッシュの削除、複数のプロセスによるメモリ位置の同時変更などの外部の影響により、失敗することがあります。 このようなまれなケースでは、TSX は障害が一時的なものであることを示すエラー コードを返します。 このような場合は、トランザクションを再開するだけで済みます。

もし 指定されたアドレスは利用できません ホスト アプリケーションでは、TSX は発生した例外を抑制し (OS には通知されません)、トランザクションを中止します。 トランザクションがキャンセルされたという事実に反応できるように、エラー コードがエンクレーブ コードに返されます。 これらのエラー コードは、問題のアドレスがホスト アプリケーションで利用できないことを示します。

エンクレーブ内部からの TSX のこの操作には、悪者にとって素晴らしい機能があります。ほとんどのハードウェア パフォーマンス カウンターは、エンクレーブ コードの実行時に更新されないため、エンクレーブ内で実行される TSX トランザクションを追跡することは不可能です。 したがって、TSX の悪意のある操作はオペレーティング システムには完全に認識されません。

さらに、上記のハッキングはシステム コールに依存していないため、システム コールをブロックするだけでは検出も防止もできません。 これは通常、採卵との戦いで良い結果をもたらします。

悪役は上記のハックを使用して、ホスト アプリケーション コードから ROP チェーンの形成に適したガジェットを検索します。 同時に、すべてのアドレスを調査する必要はありません。 仮想アドレス空間の各ページから 16 つのアドレスをプローブするだけで十分です。 45 GB のメモリすべてをプローブするには、約 7 分かかります (Intel i6700-XNUMXK の場合)。 その結果、悪役は ROP チェーンの構築に適した実行可能ページのリストを受け取ります。

アドレスの書き込み可能性を調査するためのハック

ROP 攻撃のエンクレーブ バージョンを実行するには、攻撃者はホスト アプリケーションの書き込み可能な未使用のメモリ領域を検索できる必要があります。 攻撃者はこれらのメモリの場所を使用して、偽のスタック フレームを挿入し、ペイロード (シェルコード) を挿入します。 要するに、悪意のあるエンクレーブは、ホスト アプリケーションにメモリの割り当てを自分自身に要求することはできませんが、その代わりに、ホスト アプリケーションによってすでに割り当てられているメモリを悪用する可能性があるということです。 もちろん、彼が飛び地を崩壊させずにそのようなエリアを見つけることができた場合。

悪役は、TSX の別の副作用を利用してこの検索を実行します。 まず、前のケースと同様に、アドレスが存在するかどうかを調べてから、このアドレスに対応するページが書き込み可能かどうかをチェックします。 これを行うために、悪役は次のハックを使用します。TSX トランザクションに書き込み関数を配置し、トランザクションが完了した後、完了する前にトランザクションを強制的に中止します (明示的な中止)。

攻撃者は、TSX トランザクションからのリターン コードを調べることで、それが書き込み可能かどうかを理解します。 それが「明示的な中絶」であれば、悪役はそれを実行していれば録音は成功したであろうことを理解しています。 ページが読み取り専用の場合、トランザクションは「明示的な中止」以外のエラーで終了します。

TSX のこの操作には、(ハードウェア パフォーマンス カウンターによる追跡が不可能であること以外に) 悪者にとって嬉しい機能がもう XNUMX つあります。すべてのメモリ書き込みコマンドはトランザクションが成功した場合にのみコミットされるため、トランザクションを強制的に完了させることで、プローブされたメモリ セルが確実には変わらないままです。

制御フローをリダイレクトするハッキング

従来の ROP 攻撃とは異なり、エンクレーブから ROP 攻撃を実行する場合、攻撃者は攻撃対象プログラムのバグ (バッファ オーバーフローなど) を悪用することなく、RIP レジスタの制御を取得できます。 攻撃者は、スタックに保存されている RIP レジスタの値を直接上書きする可能性があります。 特に、このレジスタの値を独自の ROP チェーンに置き換えることができます。

ただし、ROP チェーンが長い場合、ホスト アプリケーションのスタックの大きな部分を上書きすると、データの破損や予期しないプログラムの動作が発生する可能性があります。 秘密裏に攻撃を実行しようとする悪役は、この状況に満足していません。 したがって、それ自体のために偽の一時スタック フレームを作成し、その中に ROP チェーンを格納します。 偽のスタック フレームはランダムな書き込み可能なメモリの場所に配置され、実際のスタックはそのまま残ります。

上記の XNUMX つのハックは悪役に何をもたらしますか?

(1) まず、悪意のある飛び地を介して アドレスを調査して読み取れるかどうかを確認するためのハッキング, – ホスト アプリケーション内で悪用可能な ROP ガジェットを検索します。

(2)その後、 アドレスの書き込み可能性を調査するためのハッキング, – 悪意のあるエンクレーブは、ペイロードの挿入に適したホスト アプリケーションのメモリ内の領域を特定します。

(3) 次に、エンクレーブは、ステップ (1) で検出されたガジェットから ROP チェーンを作成し、このチェーンをホスト アプリケーション スタックに挿入します。

(4) 最後に、ホスト アプリケーションが前のステップで作成された ROP チェーンに遭遇すると、ホスト アプリケーションの権限とシステム コールを行う機能を使用して、悪意のあるペイロードが実行を開始します。

悪役がこれらのハックを使用してランゾワリを作成する方法

ホスト アプリケーションが ECALL の XNUMX つを介してエンクレーブに制御を移した後 (このエンクレーブが悪意のあるものであると疑うことなく)、悪意のあるエンクレーブはコードを挿入するためにホスト アプリケーションのメモリ内の空きスペースを検索します (これらのセルのシーケンスを空きスペースとして取得します)。ゼロで埋められています）。 それから アドレスを調査して読み取れるかどうかを確認するためのハッキング, – エンクレーブはホスト アプリケーション内の実行可能ページを検索し、現在のディレクトリに「RANSOM」という名前の新しいファイルを作成する ROP チェーンを生成し (実際の攻撃では、エンクレーブは既存のユーザー ファイルを暗号化します)、身代金メッセージを表示します。 同時に、ホスト アプリケーションは、エンクレーブが単に XNUMX つの数値を加算しているだけだと単純に信じます。 これはコードではどのように見えるでしょうか?

理解しやすいように、定義を通していくつかのニーモニックを紹介しましょう。

ペイロードの実行後にホスト アプリケーションの通常の動作を復元するために、RSP レジスタと RBP レジスタの元の値を保存します。

適切なスタック フレームを探しています (「制御フローをリダイレクトするためのハック」セクションのコードを参照)。

適切な ROP ガジェットを見つける:

ペイロードを注入する場所を見つける:

ROP チェーンを構築します。

このようにして、悪意のあるプログラムに対抗するために設計された Intel の SGX テクノロジーが、悪役によって逆の目的を達成するために悪用されます。

出所： habr.com