Kif tafu, il-kodiċi esegwit fl-enklavi huwa limitat serjament fil-funzjonalità tiegħu. Ma jistax jagħmel sejħiet tas-sistema. Ma jistax iwettaq operazzjonijiet I/O. Ma jafx l-indirizz bażi tas-segment tal-kodiċi tal-applikazzjoni ospitanti. Ma jistax jmp jew isejjaħ kodiċi tal-applikazzjoni ospitanti. M'għandha l-ebda idea dwar l-istruttura tal-ispazju tal-indirizzi li tirregola l-applikazzjoni ospitanti (pereżempju, liema paġni huma mmappjati jew x'tip ta 'dejta tinsab fuq dawk il-paġni). Ma tistax titlob lis-sistema operattiva biex timmappa biċċa mill-memorja tal-applikazzjoni ospitanti magħha (pereżempju, permezz ta' /proc/pid/maps). Tentattivi naive biex jaqraw bl-addoċċ reġjun tal-memorja arbitrarju tal-applikazzjoni ospitanti, biex ma nsemmux attentati biex tikteb, illum jew għada (x'aktarx l-ewwel) iwasslu għat-terminazzjoni sfurzata tal-programm enclave. Dan jiġri kull meta r-reġjun tal-ispazju tal-indirizz virtwali mitlub mill-enklavi ma jkunx aċċessibbli għall-applikazzjoni ospitanti.
Minħabba realtajiet ħorox bħal dawn, kittieb tal-virus ikun jista' juża enclaves SGX biex jilħaq l-għanijiet malizzjużi tiegħu?
Fuq il-bażi ta' dak kollu t'hawn fuq, huwa ġeneralment aċċettat li enklavi hija kapaċi biss li sservi l-applikazzjoni ospitanti, u li l-enklavi ma tistax teżerċita l-inizjattiva tagħha stess, inklużi dawk malizzjużi. Dan ifisser li l-enclaves m'għandhom l-ebda valur prattiku għall-kittieba tal-virus. Din is-suppożizzjoni mgħaġġla hija waħda mir-raġunijiet għaliex il-protezzjoni SGX hija asimmetrika: il-kodiċi tal-applikazzjoni ospitanti ma jistax jaċċessa l-memorja tal-enclave, filwaqt li l-kodiċi tal-enclave jista 'jaqra u jikteb fi kwalunkwe indirizz tal-memorja tal-applikazzjoni ospitanti.
Għalhekk, jekk il-kodiċi tal-enclave malizzjuż kien kapaċi jagħmel sejħiet tas-sistema arbitrarji f'isem l-applikazzjoni ospitanti, jesegwixxi kodiċi arbitrarju f'isimha, jiskennja l-memorja tal-applikazzjoni ospitanti u jsib fih ktajjen ROP abbużabbli, jista 'jaħtaf il-kontroll sħiħ tal-applikazzjoni ospitanti, f' mod stealth. Jista 'mhux biss jisraq u jikkripta l-fajls tal-utent, iżda jaġixxi wkoll f'isem l-utent. Pereżempju, ibgħat emails ta' phishing f'ismu jew twettaq attakki DoS. Mingħajr biża 'ta' anki l-mekkaniżmi protettivi l-aktar moderni, bħal kanarini munzell u s-sanitizzazzjoni tal-indirizz.
Aħna ser nuruk ftit hacks li l-attakkanti jużaw biex jegħlbu l-limitazzjonijiet deskritti hawn fuq biex jieħdu vantaġġ minn SGX għall-iskopijiet malizzjużi tagħhom stess: attakki ROP. Jew biex tesegwixxi kodiċi arbitrarju moħbi bħala proċess ta 'applikazzjoni ospitanti (simili għal proċess hollowing, li spiss jintuża minn malware), jew biex jaħbi malware lest (biex isalva l-malware tiegħu minn persekuzzjoni minn antiviruses u mekkaniżmi ta' difiża oħra).
Hack għal probing indirizzi biex tara jekk jistgħux jinqraw
Peress li l-enklavi ma jafx liema firxiet tal-ispazju tal-indirizz virtwali huma aċċessibbli għall-applikazzjoni ospitanti, u peress li l-enklavi huwa sfurzat li jintemm meta jipprova jaqra indirizz inaċċessibbli, l-attakkant huwa ffaċċjat bil-kompitu li jsib mod biex jagħmel tort- skennja b'mod tolleranti l-ispazju tal-indirizz. Sib mod biex tfassal l-indirizzi virtwali disponibbli. Il-villain issolvi din il-problema billi juża ħażin it-teknoloġija TSX ta 'Intel. Juża wieħed mill-effetti sekondarji ta 'TSX: jekk il-funzjoni ta' aċċess għall-memorja titqiegħed fi tranżazzjoni TSX, allura l-eċċezzjonijiet li jirriżultaw mill-aċċess ta 'indirizzi invalidi huma mrażżna minn TSX mingħajr ma tilħaq is-sistema operattiva. Jekk isir tentattiv biex taċċessa indirizz tal-memorja invalidu, it-tranżazzjoni attwali biss tiġi abortita, mhux il-programm tal-enclave kollu. Dik. TSX jippermetti lil enklavi li jaċċessa b'mod sigur kwalunkwe indirizz minn ġewwa tranżazzjoni - mingħajr ir-riskju ta 'kollass.
Jekk l-indirizz speċifikat huwa disponibbli applikazzjoni ospitanti, it-tranżazzjoni TSX ħafna drabi tirnexxi. F'każijiet rari, jista 'jfalli minħabba influwenzi esterni bħal interruzzjonijiet (bħal interruzzjonijiet tal-iskedar), żgumbramenti tal-cache, jew modifika simultanja ta' post tal-memorja minn proċessi multipli. F'dawn il-każijiet rari, it-TSX jirritorna kodiċi ta 'żball li jindika li l-falliment huwa temporanju. F'dawn il-każijiet, għandek bżonn biss li terġa 'tibda t-tranżazzjoni.
Jekk l-indirizz speċifikat mhuwiex disponibbli applikazzjoni ospitanti, TSX irażżan l-eċċezzjoni li seħħet (l-OS ma jiġix innotifikat) u twaqqaf it-tranżazzjoni. Kodiċi ta' żball jiġi rritornat lill-kodiċi tal-enclave sabiex ikun jista' jirreaġixxi għall-fatt li t-tranżazzjoni ġiet ikkanċellata. Dawn il-kodiċijiet ta' żball jindikaw li l-indirizz inkwistjoni mhuwiex disponibbli għall-applikazzjoni ospitanti.
Din il-manipulazzjoni ta 'TSX minn ġewwa l-enclave għandha karatteristika sabiħa għall-villain: peress li l-biċċa l-kbira tal-counters tal-prestazzjoni tal-hardware mhumiex aġġornati fil-ħin li jiġi esegwit il-kodiċi tal-enclave, huwa impossibbli li jiġu segwiti t-tranżazzjonijiet TSX esegwiti ġewwa l-enclave. Għalhekk, il-manipulazzjoni malizzjuża tat-TSX tibqa' kompletament inviżibbli għas-sistema operattiva.
Barra minn hekk, peress li l-hack ta 'hawn fuq ma jiddependix fuq xi sejħiet tas-sistema, la jista' jiġi skopert u lanqas evitat billi sempliċement jimblokka s-sejħiet tas-sistema; li normalment jagħti riżultat pożittiv fil-ġlieda kontra l-kaċċa tal-bajd.
Il-villain juża l-hack deskritt hawn fuq biex ifittex il-kodiċi tal-applikazzjoni ospitanti għal aġġeġġi adattati biex jiffurmaw katina ROP. Fl-istess ħin, m'għandux għalfejn jistħarreġ kull indirizz. Huwa biżżejjed li sonda indirizz wieħed minn kull paġna tal-ispazju tal-indirizz virtwali. L-istħarriġ tas-16-il gigabytes tal-memorja kollha jieħu madwar 45 minuta (fuq Intel i7-6700K). Bħala riżultat, il-villain jirċievi lista ta 'paġni eżekutibbli li huma adattati għall-kostruzzjoni ta' katina ROP.
Hack għall-istħarriġ indirizzi għall-kitba
Biex twettaq verżjoni enclave ta' attakk ROP, attakkant jeħtieġ li jkun jista' jfittex żoni ta' memorja mhux użati li jistgħu jinkitbu tal-applikazzjoni ospitanti. L-attakkant juża dawn il-postijiet tal-memorja biex jinjetta frame stack falz u biex jinjetta payload (shellcode). L-aħħar linja hija li enklavi malizzjuż ma jkunx kapaċi jeħtieġ li l-applikazzjoni ospitanti talloka memorja għaliha nnifisha, iżda minflok tista 'tuża ħażin il-memorja diġà allokata mill-applikazzjoni ospitanti. Jekk, ovvjament, jirnexxielu jsib żoni bħal dawn mingħajr ma jiġġarraf l-enklavi.
Il-villain iwettaq din it-tfittxija billi jisfrutta effett sekondarju ieħor ta 'TSX. L-ewwel, bħal fil-każ preċedenti, jistħarreġ l-indirizz għall-eżistenza tiegħu, u mbagħad jiċċekkja jekk il-paġna li tikkorrispondi għal dan l-indirizz tistax tinkiteb. Biex tagħmel dan, il-villain juża l-hack li ġej: huwa jqiegħed funzjoni ta 'kitba fi tranżazzjoni TSX, u wara li tkun tlestiet, iżda qabel ma tkun tlestiet, huwa jwaqqaf it-tranżazzjoni bil-forza (abort espliċitu).
Billi tħares lejn il-kodiċi tar-ritorn minn tranżazzjoni TSX, l-attakkant jifhem jekk jistax jinkiteb. Jekk ikun “abort espliċitu”, il-villain jifhem li r-recording kien ikun ta’ suċċess kieku kien ikompli bih. Jekk il-paġna tinqara biss, allura t-tranżazzjoni tispiċċa bi żball ieħor għajr "abort espliċitu".
Din il-manipulazzjoni ta 'TSX għandha karatteristika oħra li hija sabiħa għall-villain (minbarra l-impossibbiltà ta' traċċar permezz ta 'counters tal-prestazzjoni tal-hardware): peress li l-kmandi kollha tal-kitba tal-memorja huma impenjati biss jekk it-tranżazzjoni tirnexxi, li jġiegħel it-tranżazzjoni titlesta tiżgura li ċ-ċellula tal-memorja sondata jibqa' mhux mibdul.
Hack biex tidderieġi mill-ġdid il-fluss tal-kontroll
Meta jwettaq attakk ROP minn enklavi - kuntrarjament għall-attakki ROP tradizzjonali - l-attakkant jista 'jikseb il-kontroll tar-reġistru RIP mingħajr ma jisfrutta l-ebda bug fil-programm attakkat (buffer overflow jew xi ħaġa bħal dik). Attakkant jista 'jissostitwixxi direttament il-valur tar-reġistru RIP maħżun fuq il-munzell. B'mod partikolari, tista' tissostitwixxi l-valur ta' dan ir-reġistru bil-katina ROP tagħha stess.
Madankollu, jekk il-katina ROP hija twila, allura l-kitba fuq biċċa kbira tal-munzell tal-applikazzjoni ospitanti tista 'twassal għal korruzzjoni tad-dejta u mġiba tal-programm mhux mistennija. Il-villain, li jfittex li jwettaq l-attakk tiegħu bil-moħbi, mhuwiex sodisfatt b’dan l-istat ta’ fatt. Għalhekk, joħloq qafas ta 'munzell temporanju falz għalih innifsu u jaħżen il-katina ROP tiegħu fih. Il-qafas tal-munzell falz jitqiegħed f'post tal-memorja li jista 'jinkiteb bl-addoċċ, u jħalli l-munzell reali intatt.
X'jagħti t-tliet hacks elenkati hawn fuq lill-villain?
(1) L-ewwel, l-enclave malizzjuż permezz Hack għall-indirizzi probing biex tara jekk jistgħux jinqraw, – tfittex fl-applikazzjoni ospitanti għal aġġeġġi ROP abbużabbli.
(2) Imbagħad minn Hack għall-istħarriġ indirizzi għall-kitba, – enklavi malizzjuż jidentifika żoni fil-memorja tal-applikazzjoni ospitanti li huma adattati biex tinjetta tagħbija.
(3) Sussegwentement, l-enclave toħloq katina ROP mill-aġġeġġi skoperti fil-pass (1) u tinjetta din il-katina fil-munzell tal-applikazzjoni ospitanti.
(4) Fl-aħħarnett, meta l-applikazzjoni ospitanti tiltaqa 'mal-katina ROP maħluqa fil-pass preċedenti, it-tagħbija malizzjuża tibda tesegwixxi - bil-privileġġi tal-applikazzjoni ospitanti u l-abbiltà li tagħmel sejħiet tas-sistema.
Kif villain juża dawn il-hacks biex joħloq ranzowari
Wara li l-applikazzjoni ospitanti tittrasferixxi l-kontroll lejn l-enclave permezz ta’ waħda mill-ECALLs (mingħajr ma tissuspetta li din l-enclave hija malizzjuża), l-enclave malizzjuż tfittex spazju ħieles fil-memorja tal-applikazzjoni ospitanti għall-injezzjoni tal-kodiċi (tieħu bħala spazji ħielsa dawk is-sekwenzi ta’ ċelloli dik mimlija b’żerijiet). Imbagħad permezz Hack għall-indirizzi probing biex tara jekk jistgħux jinqraw, – l-enklavi jfittex paġni eżekutibbli fl-applikazzjoni ospitanti u jiġġenera katina ROP li toħloq fajl ġdid bl-isem "RANSOM" fid-direttorju attwali (f'attakk reali, l-enklavi jikkripta fajls tal-utent eżistenti) u juri messaġġ ta' fidwa. Fl-istess ħin, l-applikazzjoni ospitanti temmen b'mod naive li l-enklavi qed sempliċement iżżid żewġ numri. Kif jidher dan fil-kodiċi?
Għal faċilità tal-perċezzjoni, ejja nintroduċu xi mnemoniċi permezz tad-definizzjonijiet:
Aħna nissejvjaw il-valuri oriġinali tar-reġistri RSP u RBP sabiex nirrestawraw it-tħaddim normali tal-applikazzjoni ospitanti wara li nwettqu t-tagħbija:
Qegħdin infittxu qafas ta 'munzell adattat (ara l-kodiċi mit-taqsima "hack għal direzzjoni mill-ġdid tal-fluss tal-kontroll").
Sib aġġeġġi ROP adattati:
Sib post fejn tinjetta t-tagħbija:
Nibnu katina ROP:
Dan huwa kif it-teknoloġija SGX ta 'Intel, iddisinjata biex tiġġieled programmi malizzjużi, hija sfruttata minn villains biex jintlaħqu għanijiet opposti.
Sors: www.habr.com