Ut notum est, codicem in elocutione exsecutum graviter in eius functione circumscriptum est. Non potest ratio vocat. Operationes I/O praestare non potest. Ignorat basis inscriptionis schedulae appositionis hospitii segmentum. Non potest jmp vel vocare exercitum applicationis codicis. Nullam notionem habet de structurae electronicae spatii quae exercitum applicationis gubernat (exempli gratia, quae paginae sunt deformatae vel qualis notitia in illis paginis sita est). Non potest ratio operativa petere ut particulam applicationis hospitis memoriae describas (exempli gratia, per /proc/pid/mappa). SIMPLEX conatus temere legere arbitrariam memoriae regionem exercitus applicationis, nedum scribendorum conatus, citius vel serius (primum verisimile) ad coactam terminationem enclave programmatis ducet. Hoc fit, quoties tractus virtualis inscriptionis ab elocutione petito inaccessibilis est ad applicationem hospitii.
Datis tam duris rebus, scriptor virus SGX uti poterit inhaeret ad fines suos malitiosos consequendos?
Ex his omnibus, generaliter accipitur clavum tantum posse servire hospitii applicatione, et clavem proprio marte exercere non posse, etiam malitiosis. Hoc significat quod enclavationes nullius valoris sunt ad virum scriptorum. Praeceps assumptio una est ex causis cur praesidium SGX asymmetricum est: applicatio exercitus ad codicem non potest accedere ad memoriam includere, dum innectere codicem legere et scribere cuilibet militiae applicationis memoriam electronica potest.
Si ergo malitiosa enclave codici potest ad arbitrariam rationem vocat pro applicatione hospitii facere, codicem arbitrarium pro se exsequi, exercitum applicationis memoriae scandere et vincula abusibilia ROP in ea invenire, in applicatione hospitii integram potestatem occupare posset, in furtim modum. Non solum subripere et encryptas usorum imagini non potest, sed etiam pro utentis agere. Exempli gratia, mittere phishing emails pro se vel agendi DoS impetus. Sine metu etiam recentiorum machinarum tutelae, sicut acervus canariorum et electronicarum sanitizationis.
Ostendimus vobis paucas autocinetas oppugnatores ad limitationes superandas supra descriptas uti SGX ad suas malicias propositas: ROP oppugnationes. Aut facere codicem arbitrarium habitu applicationis processus multitudinis (similis processus incaventiae, qui saepe ab malware utitur), vel promtum malware factum dissimulare (ut malware a persecutione per antiviros et alia machinamenta defensionis liberare).
Hack perscrutandi inscriptiones videre si legi possunt
Cum enclave nesciat utra spatia virtualis inscriptionis perviae sint ad exercitum applicationis, et cum enclava terminare cogatur, cum inaccessibilem orationem legere conetur, oppugnator incumbit munus inveniendi viam ad culpam. toleranter scan inscriptionis spatio. Viam invenias ad describendas inscriptiones virtualis praesto. Malus hanc quaestionem solvit abutendo technologia Intel's TSX. Utitur unus e parte effectus TSX: si munus accessus memoriae in transactione TSX ponitur, exceptiones quae ex inscriptionibus invalidis accessu oriuntur ab TSX supprimuntur quin ad systema operantem perveniant. Si temptatur accessus ad memoriam invalidam electronicam, modo transacta hodierna abortus est, non totum clavum inclusum. Quod. TSX permittit clavem ut cuilibet inscriptioni ab intra transactionem - sine ruinae periculo aditum admittat.
si certa oratio est available " exercitum applicatione, negotium TSX frequentius felix est. Rarissimis in casibus, deficere potest ob influentias externas sicut interruptiones (ut interrumpitur scheduler), evictiones cache, vel simultanea modificatio memoriae locus pluribus processibus. In his rarioribus casibus, TSX revertitur errorem codicis significans defectum temporalem esse. His in casibus, solum opus est ut sileo transactionem tuam.
si et certa oratio unavailable applicatio exercitus, TSX exceptionem quae facta est (in OS notificatur) supprimit et transactionem abortit. Error code in codicem enclave redditum est ut cum eo quod gestum est remissum agere possit. Errores hi codices indicant inscriptionem de qua agitur praesto esse ad exercitum applicationis.
Haec machinatio TSX ab intra clavum lepida lineamentum habet improbo: cum pleraque ferramenta calculis non renovata tempore clavorum codicis efficiatur, fieri non potest TSX transactionum intra clavem indagare. Sic maligna manipulatio TSX ratio operativae omnino invisibilis manet.
Accedit, cum praedicta hack non nititur in aliqua vocatione systematis, non potest deprehendi nec impediri nisi ratio interclusio vocat; quod plerumque in pugna contra ovum venationem provenit.
Malus hack descriptus utitur ad quaerendum codicem hospitem applicationis ad gadgetes aptas ad catenam ROP formandam. Eodem tempore non indiget omni oratione explorare. Satis est unam inscriptionem ex unaquaque pagina virtualis inscriptionis explorare. Omnes perscrutatores 16 gigabytae memoriae circiter 45 minuta accipit (in Intel i7-6700K). Quam ob rem improbus indicem paginarum exsecutabilium quae ad catenam ROP construendam aptae sunt accipit.
Hack perscrutandi oratio pro writability
Ad explendum enclave versionem oppugnationis ROP, oppugnator indiget ut areas memoriae exercitus applicationis insuetas pervestigare possit. Oppugnator his locis memoriae utitur, ut fictum acervum tabulae injiciat et payload injiciat (shellcode). Solum versus est quod malitiosa clausura non potest exigere applicationem hospitii ad memoriam sibi collocandam, sed potius abutere potest memoria iam partita ab hospite applicatione. Si, utique, tales areas sine clausura dilapsa invenire procurat.
Improbus hanc inquisitionem peragit ut effectum alterius partis TSX opprimat. Primum, ut in priore casu, electronicam eius existentiae rimatur, deinde sistit an pagina huic inscriptioni correspondens sit writable. Ad hoc improbus utitur hac caede: ponit munus scribendum in transactione TSX et postquam peracta est, sed antequam perfecit, transactionem violenter abortum facit.
Inspiciendo codicem reditus ex negotio TSX, oppugnator intelligit num writable sit. Si abortus explicitus est, improbus intellegit recordationem successurum fuisse si cum eo persecutus esset. Si pagina tantum legitur, transactio alio errore terminatur quam "abortus explicitus".
Haec manipulatio TSX aliam notam habet quae improbus est delicatus (praeter impossibilitatem sequi per calculis ferramentis faciendis): cum omnes memoriae scribant mandata, si res bene gesta est, negotium ad perficiendum cogens ut cellae memoriae exploratae. servata manet.
Hack ad redirect imperium fluxus
Cum impetum ROP faciendo ab inclave - dissimiles ROP impetus traditum - oppugnator imperium RIP mandare potest obtinere sine ullis cimices in programmate oppugnato abutitur (exundatio quiddam vel aliquid tale). Oppugnator directe rescribere potest valorem tabulae RIP in ACERVUS conditam. Praesertim valorem huius registri cum sua ROP catena reponere potest.
Sed si ROP catena longa est, scribendo magnam FRUSTUM exercitum applicationis acervus ad corruptionem datam ducere potest et mores programmatis inopinati. Malus, qui occulte impetum suum quaerit exsequi, non contentus est hac re. Ideo fictum tempus acervum sibi fingit ac catenam ROP in eo reponit. Artus fictus acervus in temere writable loco memoriae positus est, verum acervum integrum relinquens.
Quid tres autocineti suprascripti improbo dant?
Primo, in clausula malitiosa hack pro perscrutandis inscriptionibus videre, si legi possunt, - applicationem exercitus pro abusione ROP gadgetes scrutatur.
(2) Deinde by saginantur perscrutandi oratio pro writability, - enclava malitiosa areas agnoscit in applicatione hospitii memoriam quae apta sunt ad injiciendum payload.
(3) Deinde clavum ROP catenam e gadgetibus in gradu deprehensis creat (1) et hanc catenam in acervum exercitum applicationis infundit.
(4) Denique cum in applicatione exercitus ROP catena in priore gradu creato incidit, payload malitiosa exsequi incipit - cum privilegiis hospitii adhibitis et facultate faciendi ratio vocat.
Ut improbus his autocinetis utitur ad creandum ranzowari
Post exercitum applicationis imperium ad clavem transfert per unum ecallarum (sine suspicione hanc clavem esse malitiosam), malitiosus enclavus perquirit spatium liberum in memoria militiae applicationis ad codicem injiciendum (accipiens ut spatia illarum seriei cellularum. cyphris repleta). tum per hack pro perscrutandis inscriptionibus videre, si legi possunt, - enclave perquirit paginas exsecutabiles in applicatione hostiae et catenam ROP gignit quae novum fasciculum nomine "RANSOM" creat in directorio hodierno (in impetu reali, encryptae encryptarum quae in usuario sunt) et nuntium redemptionis ostendit. Eodem tempore, exercitus applicationis simplicem credit clavem esse simpliciter duos numeros addit. Quid hoc simile in codice?
Ad facilitatem perceptionis, nonnulla mnemonica introducamus per definitiones:
RSP et RBP registra bona originalia servamus ut applicationem normalem exercitum exercitus post solutionem exsecutionis restituamus;
Quaerimus idoneum ACERVUM tabulae (vide codicem e sectione "hack ad redirectionem control fluxus").
ROP gadgets idoneum nactus;
Locum nactus injicere payload;
ROP catenam construimus:
Ita technologiam Intel's SGX, malignis programmatibus occurrere destinata, a sceleratis usurpatur ad contrarias metas assequendas.
Source: www.habr.com