Kā zināms, anklāvā izpildītā koda funkcionalitāte ir nopietni ierobežota. Tas nevar veikt sistēmas zvanus. Tas nevar veikt I/O darbības. Tas nezina resursdatora lietojumprogrammas koda segmenta bāzes adresi. Tas nevar JMP vai izsaukt resursdatora lietojumprogrammas kodu. Tai nav ne jausmas par adrešu telpas struktūru, kas pārvalda resursdatora lietojumprogrammu (piemēram, kuras lapas ir kartētas vai kāda veida dati atrodas šajās lapās). Tā nevar lūgt operētājsistēmai kartēt ar to resursdatora lietojumprogrammas atmiņas daļu (piemēram, izmantojot /proc/pid/maps). Naivi mēģinājumi akli nolasīt patvaļīgu resursdatora lietojumprogrammas atmiņas apgabalu, nemaz nerunājot par mēģinājumiem rakstīt, agrāk vai vēlāk (visticamāk, pirmais) novedīs pie anklāva programmas piespiedu pārtraukšanas. Tas notiek ikreiz, kad anklāva pieprasītais virtuālās adrešu telpas reģions nav pieejams resursdatora lietojumprogrammai.

Vai, ņemot vērā tik skarbo realitāti, vīrusu rakstītājs varēs izmantot SGX anklāvus, lai sasniegtu savus ļaunprātīgos mērķus?

- Uzlauzt adreses, lai noskaidrotu, vai tās var nolasīt
- Uzlauzt adreses, lai pārbaudītu rakstāmību
- Hack, lai novirzītu kontroles plūsmu
– Ko nelietim dod trīs iepriekš uzskaitītie uzlauzumi?
- Kā ļaundaris izmanto šos uzlauzumus, lai izveidotu ranzowari

Pamatojoties uz visu iepriekš minēto, ir vispāratzīts, ka anklāvs spēj apkalpot tikai resursdatora lietojumprogrammu un ka anklāvs nevar īstenot savu iniciatīvu, tostarp ļaunprātīgas. Tas nozīmē, ka vīrusu rakstītājiem anklāviem nav praktiskas vērtības. Šis pārsteidzīgais pieņēmums ir viens no iemesliem, kāpēc SGX aizsardzība ir asimetriska: resursdatora lietojumprogrammas kods nevar piekļūt anklāva atmiņai, savukārt anklāva kods var nolasīt un rakstīt uz jebkuru resursdatora lietojumprogrammas atmiņas adresi.

Tāpēc, ja ļaunprātīgais anklāva kods varēja veikt patvaļīgus sistēmas izsaukumus resursdatora lietojumprogrammas vārdā, izpildīt patvaļīgu kodu tās vārdā, skenēt resursdatora lietojumprogrammas atmiņu un atrast tajā ļaunprātīgi izmantojamas ROP ķēdes, tas varētu pilnībā pārņemt resursdatora lietojumprogrammas kontroli. Maskēšanās režīms. Tas var ne tikai nozagt un šifrēt lietotāja failus, bet arī rīkoties lietotāja vārdā. Piemēram, sūtīt pikšķerēšanas e-pasta ziņojumus viņa vārdā vai veikt DoS uzbrukumus. Nebaidoties no pat vismodernākajiem aizsargmehānismiem, piemēram, sakrauj kanārijputnus un adrešu sanitāriju.

Mēs parādīsim dažus uzlaušanas veidus, ko uzbrucēji izmanto, lai pārvarētu iepriekš aprakstītos ierobežojumus, lai izmantotu SGX priekšrocības saviem ļaunprātīgiem mērķiem: ROP uzbrukumi. Lai izpildītu patvaļīgu kodu, kas slēpts kā resursdatora lietojumprogrammas process (līdzīgi procesa dobumam, ko bieži izmanto ļaunprātīga programmatūra), vai slēptu gatavu ļaunprātīgu programmatūru (lai pasargātu tās ļaunprātīgo programmatūru no pretvīrusu un citu aizsardzības mehānismu vajāšanas).

Uzlauzt adreses, lai redzētu, vai tās var nolasīt

Tā kā anklāvs nezina, kuri virtuālās adrešu telpas diapazoni ir pieejami resursdatora lietojumprogrammai, un tā kā anklāvs ir spiests pārtraukt darbību, mēģinot nolasīt nepieejamu adresi, uzbrucējs saskaras ar uzdevumu atrast veidu, kā novērst kļūdu. toleranti skenēt adrešu telpu. Atrodiet veidu, kā kartēt pieejamās virtuālās adreses. Ļaundaris šo problēmu atrisina, nepareizi izmantojot Intel TSX tehnoloģiju. Izmanto vienu no TSX blakusefektiem: ja atmiņas piekļuves funkcija ir ievietota TSX darījumā, tad TSX nomāc izņēmumus, kas rodas no piekļuves nederīgām adresēm, nesasniedzot operētājsistēmu. Ja tiek mēģināts piekļūt nederīgai atmiņas adresei, tiek pārtraukta tikai pašreizējā transakcija, nevis visa anklāva programma. Tas. TSX ļauj anklāvam droši piekļūt jebkurai adresei no darījuma – bez sabrukšanas riska.

Ja norādītā adrese ir pieejama resursdatora lietojumprogramma, TSX darījums visbiežāk ir veiksmīgs. Retos gadījumos tas var neizdoties ārēju ietekmju dēļ, piemēram, pārtraukumu (piemēram, plānotāja pārtraukumu), kešatmiņas izlikšanas vai vairāku procesu vienlaicīgas atmiņas vietas modificēšanas dēļ. Šajos retajos gadījumos TSX atgriež kļūdas kodu, kas norāda, ka kļūme ir īslaicīga. Šādos gadījumos jums vienkārši jāatsāk darījums.

Ja norādītā adrese nav pieejama resursdatora lietojumprogramma, TSX nomāc notikušo izņēmumu (OS netiek paziņots) un pārtrauc darījumu. Anklāva kodam tiek atgriezts kļūdas kods, lai tas varētu reaģēt uz faktu, ka darījums ir atcelts. Šie kļūdu kodi norāda, ka attiecīgā adrese nav pieejama resursdatora lietojumprogrammai.

Šai TSX manipulācijai no anklāva iekšpuses ir jauka īpašība nelietim: tā kā lielākā daļa aparatūras veiktspējas skaitītāju netiek atjaunināti anklāva koda izpildes laikā, nav iespējams izsekot anklāvā veiktajām TSX transakcijām. Tādējādi ļaunprātīgas manipulācijas ar TSX operētājsistēmai paliek pilnīgi neredzamas.

Turklāt, tā kā iepriekšminētā uzlaušana nav atkarīga no sistēmas izsaukumiem, to nevar ne atklāt, ne novērst, vienkārši bloķējot sistēmas zvanus; kas parasti dod pozitīvu rezultātu cīņā pret olu medībām.

Ļaundaris izmanto iepriekš aprakstīto uzlaušanu, lai resursdatora lietojumprogrammas kodā meklētu sīkrīkus, kas piemēroti ROP ķēdes veidošanai. Tajā pašā laikā viņam nav jāpārbauda katra adrese. Pietiek ar vienu adresi no katras virtuālās adrešu telpas lapas. Visu 16 gigabaitu atmiņas pārbaude aizņem apmēram 45 minūtes (Intel i7-6700K). Rezultātā nelietis saņem sarakstu ar izpildāmām lapām, kas ir piemērotas ROP ķēdes konstruēšanai.

Uzlauzt adreses rakstāmības pārbaudei

Lai veiktu ROP uzbrukuma anklāva versiju, uzbrucējam jāspēj meklēt resursdatora lietojumprogrammas ierakstāmos neizmantotos atmiņas apgabalus. Uzbrucējs izmanto šīs atmiņas vietas, lai ievadītu viltus steka rāmi un lietderīgo slodzi (čaulas kodu). Rezultāts ir tāds, ka ļaunprātīgs anklāvs nevar pieprasīt resursdatora lietojumprogrammai piešķirt sev atmiņu, bet tā vietā var ļaunprātīgi izmantot resursdatora lietojumprogrammas jau piešķirto atmiņu. Ja, protams, viņam izdosies atrast šādas zonas, nesabrūkot anklāvai.

Ļaundaris veic šo meklēšanu, izmantojot citu TSX blakusefektu. Vispirms, tāpat kā iepriekšējā gadījumā, tas pārbauda adreses esamību un pēc tam pārbauda, ​​vai šai adresei atbilstošā lapa ir rakstāma. Lai to izdarītu, ļaundaris izmanto šādu uzlaušanu: viņš ievieto rakstīšanas funkciju TSX darījumā un pēc tam, kad tas ir pabeigts, bet pirms tā pabeigšanas, viņš piespiedu kārtā pārtrauc darījumu (explicit abort).

Aplūkojot atgriešanas kodu no TSX darījuma, uzbrucējs saprot, vai tas ir ierakstāms. Ja tas ir "skaidrs aborts", ļaundaris saprot, ka ieraksts būtu bijis veiksmīgs, ja viņš būtu tam sekojis. Ja lapa ir tikai lasāma, darījums beidzas ar kļūdu, kas nav “skaidra pārtraukšana”.

Šai manipulācijai ar TSX ir vēl viena nelietim patīkama funkcija (papildus neiespējamībai izsekot, izmantojot aparatūras veiktspējas skaitītājus): tā kā visas atmiņas ierakstīšanas komandas tiek izpildītas tikai tad, ja darījums ir veiksmīgs, piespiežot darījumu pabeigt, tiek nodrošināts, ka pārbaudītā atmiņas šūna. paliek nemainīgs.

Hack, lai novirzītu kontroles plūsmu

Veicot ROP uzbrukumu no anklāva – atšķirībā no tradicionālajiem ROP uzbrukumiem – uzbrucējs var iegūt kontroli pār RIP reģistru, neizmantojot nekādas kļūdas uzbruktajā programmā (bufera pārpilde vai tamlīdzīgi). Uzbrucējs var tieši pārrakstīt stekā saglabātā RIP reģistra vērtību. Jo īpaši tā var aizstāt šī reģistra vērtību ar savu ROP ķēdi.

Tomēr, ja ROP ķēde ir gara, lielas resursdatora lietojumprogrammas steka daļas pārrakstīšana var izraisīt datu bojājumus un neparedzētu programmas darbību. Ļaundaris, kurš savu uzbrukumu cenšas īstenot slēpti, nav apmierināts ar šo lietu stāvokli. Tāpēc tas izveido sev viltotu pagaidu steku rāmi un tajā glabā savu ROP ķēdi. Viltus steka rāmis tiek ievietots nejaušā ierakstāmā atmiņas vietā, atstājot īsto steku neskartu.

Ko nelietim dod trīs iepriekš uzskaitītie uzlauzumi?

(1) Pirmkārt, ļaunprātīgais anklāvs cauri uzlauzt adreses, lai redzētu, vai tās var nolasīt, – meklē resursdatora lietojumprogrammā ļaunprātīgus ROP sīkrīkus.

(2) Pēc tam līdz uzlauzt, lai pārbaudītu adreses rakstāmībai, — ļaunprātīgs anklāvs identificē apgabalus resursdatora lietojumprogrammas atmiņā, kas ir piemēroti lietderīgās slodzes ievadīšanai.

(3) Pēc tam anklāvs izveido ROP ķēdi no 1. darbībā atklātajiem sīkrīkiem un ievada šo ķēdi resursdatora lietojumprogrammu kaudzē.

(4) Visbeidzot, kad resursdatora lietojumprogramma saskaras ar ROP ķēdi, kas izveidota iepriekšējā darbībā, tiek sākta ļaunprātīgās slodzes izpilde — ar resursdatora lietojumprogrammas privilēģijām un iespēju veikt sistēmas zvanus.

Kā nelietis izmanto šos uzlauzumus, lai izveidotu ranzowari

Pēc tam, kad resursdatora lietojumprogramma nodod vadību anklāvam, izmantojot vienu no ECALL (neaizdzinoties, ka šis anklāvs ir ļaunprātīgs), ļaunprātīgais anklāvs meklē brīvu vietu resursdatora lietojumprogrammas atmiņā koda ievadīšanai (kā brīvas vietas ņemot šīs šūnu secības kas piepildīts ar nullēm). Tad cauri uzlauzt adreses, lai redzētu, vai tās var nolasīt, – anklāvs meklē izpildāmās lapas resursdatora lietojumprogrammā un ģenerē ROP ķēdi, kas izveido jaunu failu ar nosaukumu “RANSOM” pašreizējā direktorijā (reālā uzbrukumā anklāvs šifrē esošos lietotāja failus) un parāda izpirkuma ziņojumu. Tajā pašā laikā resursdatora lietojumprogramma naivi uzskata, ka anklāvs vienkārši pievieno divus skaitļus. Kā tas izskatās kodā?

Lai atvieglotu uztveri, ieviesīsim dažas mnemonikas, izmantojot definīcijas:

Mēs saglabājam RSP un RBP reģistru sākotnējās vērtības, lai pēc slodzes izpildes atjaunotu normālu resursdatora lietojumprogrammas darbību:

Meklējam piemērotu steka rāmi (skat. kodu no sadaļas “Hack for redirecting control flow”).

Piemērotu ROP sīkrīku atrašana:

Vietas atrašana kravnesības ievadīšanai:

Mēs veidojam ROP ķēdi:

Tādā veidā ļaundari izmanto Intel SGX tehnoloģiju, kas izstrādāta, lai cīnītos pret ļaunprātīgām programmām, lai sasniegtu pretējus mērķus.

Avots: www.habr.com