உங்களுக்குத் தெரியும், என்கிளேவில் செயல்படுத்தப்பட்ட குறியீடு அதன் செயல்பாட்டில் தீவிரமாக வரையறுக்கப்பட்டுள்ளது. இது கணினி அழைப்புகளை செய்ய முடியாது. இது I/O செயல்பாடுகளைச் செய்ய முடியாது. ஹோஸ்ட் பயன்பாட்டின் குறியீடு பிரிவின் அடிப்படை முகவரி அதற்குத் தெரியாது. இது jmp அல்லது ஹோஸ்ட் பயன்பாட்டுக் குறியீட்டை அழைக்க முடியாது. ஹோஸ்ட் அப்ளிகேஷனை நிர்வகிக்கும் முகவரி இட அமைப்பைப் பற்றி அதற்கு எந்த யோசனையும் இல்லை (உதாரணமாக, எந்தப் பக்கங்கள் மேப் செய்யப்பட்டுள்ளன அல்லது அந்தப் பக்கங்களில் எந்த வகையான தரவு உள்ளது). ஹோஸ்ட் பயன்பாட்டின் நினைவகத்தின் ஒரு பகுதியை வரைபடமாக்க இது இயக்க முறைமையைக் கேட்காது (எடுத்துக்காட்டாக, /proc/pid/maps மூலம்). புரவலன் பயன்பாட்டின் தன்னிச்சையான நினைவகப் பகுதியைக் கண்மூடித்தனமாகப் படிக்கும் அப்பாவி முயற்சிகள், எழுதுவதற்கான முயற்சிகளைக் குறிப்பிடாமல், விரைவில் அல்லது பின்னர் (பெரும்பாலும் முந்தையவை) என்க்ளேவ் நிரலை கட்டாயமாக நிறுத்துவதற்கு வழிவகுக்கும். என்கிளேவ் கோரிய மெய்நிகர் முகவரி இடப் பகுதி ஹோஸ்ட் பயன்பாட்டிற்கு அணுக முடியாத போதெல்லாம் இது நடக்கும்.
இத்தகைய கடுமையான யதார்த்தங்களைக் கருத்தில் கொண்டு, ஒரு வைரஸ் எழுத்தாளர் தனது தீங்கிழைக்கும் இலக்குகளை அடைய SGX என்கிளேவ்களைப் பயன்படுத்த முடியுமா?
மேலே உள்ள எல்லாவற்றின் அடிப்படையில், ஒரு என்கிளேவ் ஹோஸ்ட் பயன்பாட்டிற்கு மட்டுமே சேவை செய்யும் திறன் கொண்டது என்பது பொதுவாக ஏற்றுக்கொள்ளப்படுகிறது, மேலும் தீங்கிழைக்கும் செயல்கள் உட்பட அதன் சொந்த முயற்சியை என்கிளேவ் செயல்படுத்த முடியாது. வைரஸ் எழுத்தாளர்களுக்கு என்கிளேவ்கள் எந்த நடைமுறை மதிப்பையும் கொண்டிருக்கவில்லை என்பதே இதன் பொருள். SGX பாதுகாப்பு சமச்சீரற்றதாக இருப்பதற்கான காரணங்களில் இந்த அவசர அனுமானமும் ஒன்றாகும்: ஹோஸ்ட் அப்ளிகேஷன் கோட் என்க்ளேவ் நினைவகத்தை அணுக முடியாது, அதே சமயம் என்கிளேவ் குறியீடு எந்த ஹோஸ்ட் பயன்பாட்டு நினைவக முகவரியையும் படிக்கவும் எழுதவும் முடியும்.
எனவே, தீங்கிழைக்கும் என்கிளேவ் குறியீடு ஹோஸ்ட் பயன்பாட்டின் சார்பாக தன்னிச்சையான கணினி அழைப்புகளைச் செய்ய முடிந்தால், அதன் சார்பாக தன்னிச்சையான குறியீட்டை இயக்கவும், ஹோஸ்ட் பயன்பாட்டின் நினைவகத்தை ஸ்கேன் செய்து, அதில் முறைகேடான ROP சங்கிலிகளைக் கண்டறியவும் முடிந்தால், அது ஹோஸ்ட் பயன்பாட்டின் முழு கட்டுப்பாட்டையும் கைப்பற்றலாம். திருட்டுத்தனமான முறை. இது பயனர் கோப்புகளைத் திருடி குறியாக்கம் செய்வது மட்டுமல்லாமல், பயனரின் சார்பாகவும் செயல்படும். எடுத்துக்காட்டாக, அவர் சார்பாக ஃபிஷிங் மின்னஞ்சல்களை அனுப்பவும் அல்லது DoS தாக்குதல்களை நடத்தவும். கேனரிகளை அடுக்கி வைப்பது மற்றும் அட்ரஸ் சுத்திகரிப்பு போன்ற மிக நவீன பாதுகாப்பு வழிமுறைகளுக்கு பயப்படாமல்.
மேலே விவரிக்கப்பட்ட வரம்புகளைக் கடப்பவர்கள் தங்கள் சொந்த தீங்கிழைக்கும் நோக்கங்களுக்காக SGX ஐப் பயன்படுத்திக் கொள்ளப் பயன்படுத்தும் சில ஹேக்குகளை நாங்கள் உங்களுக்குக் காண்பிப்போம்: ROP தாக்குதல்கள். ஹோஸ்ட் அப்ளிகேஷன் செயல்முறையாக மாறுவேடமிட்டு தன்னிச்சையான குறியீட்டை இயக்குவது (பொதுவாக தீம்பொருளால் பயன்படுத்தப்படும் ஹாலோவிங் போன்றது), அல்லது ஒரு ஆயத்த தீம்பொருளை மாறுவேடமிடுவது (அதன் தீம்பொருளை வைரஸ் தடுப்பு மற்றும் பிற பாதுகாப்பு வழிமுறைகளால் துன்புறுத்துவதில் இருந்து காப்பாற்ற).
முகவரிகளைப் படிக்க முடியுமா என்பதைப் பார்க்க, அவற்றைப் பார்க்க ஹேக் செய்யவும்
ஹோஸ்ட் பயன்பாட்டிற்கு மெய்நிகர் முகவரி இடத்தின் எந்த வரம்புகளை அணுக முடியும் என்பதை என்கிளேவ் அறியாததால், அணுக முடியாத முகவரியைப் படிக்க முயற்சிக்கும்போது என்கிளேவ் நிறுத்தப்பட வேண்டிய கட்டாயத்தில் இருப்பதால், தாக்குபவர் தவறுக்கான வழியைக் கண்டறியும் பணியை எதிர்கொள்கிறார்- முகவரி இடத்தை சகிப்புத்தன்மையுடன் ஸ்கேன் செய்யவும். கிடைக்கக்கூடிய மெய்நிகர் முகவரிகளை வரைபடமாக்குவதற்கான வழியைக் கண்டறியவும். இன்டெல்லின் TSX தொழில்நுட்பத்தை தவறாக பயன்படுத்துவதன் மூலம் வில்லன் இந்த சிக்கலை தீர்க்கிறார். TSX இன் பக்க விளைவுகளில் ஒன்றைப் பயன்படுத்துகிறது: நினைவக அணுகல் செயல்பாடு TSX பரிவர்த்தனையில் வைக்கப்பட்டால், தவறான முகவரிகளை அணுகுவதால் ஏற்படும் விதிவிலக்குகள் இயக்க முறைமையை அடையாமல் TSX ஆல் அடக்கப்படும். தவறான நினைவக முகவரியை அணுக முயற்சித்தால், தற்போதைய பரிவர்த்தனை மட்டுமே நிறுத்தப்படும், முழு என்க்ளேவ் நிரல் அல்ல. அந்த. ஒரு பரிவர்த்தனைக்குள் இருந்து எந்த முகவரியையும் பாதுகாப்பாக அணுக TSX அனுமதிக்கிறது - சரிவு ஆபத்து இல்லாமல்.
என்றால் குறிப்பிட்ட முகவரி உள்ளது புரவலன் பயன்பாடு, TSX பரிவர்த்தனை பெரும்பாலும் வெற்றிகரமாக உள்ளது. அரிதான சந்தர்ப்பங்களில், குறுக்கீடுகள் (திட்டமிடல் குறுக்கீடுகள் போன்றவை), கேச் வெளியேற்றங்கள் அல்லது பல செயல்முறைகளால் நினைவக இருப்பிடத்தை ஒரே நேரத்தில் மாற்றியமைத்தல் போன்ற வெளிப்புற தாக்கங்கள் காரணமாக இது தோல்வியடையக்கூடும். இந்த அரிதான சந்தர்ப்பங்களில், தோல்வி தற்காலிகமானது என்பதைக் குறிக்கும் பிழைக் குறியீட்டை TSX வழங்கும். இந்த சந்தர்ப்பங்களில், நீங்கள் பரிவர்த்தனையை மறுதொடக்கம் செய்ய வேண்டும்.
என்றால் குறிப்பிட்ட முகவரி கிடைக்கவில்லை புரவலன் பயன்பாடு, TSX ஏற்பட்ட விதிவிலக்கை (OS அறிவிக்கப்படவில்லை) மற்றும் பரிவர்த்தனையை நிறுத்துகிறது. ஒரு பிழைக் குறியீடு என்கிளேவ் குறியீட்டிற்குத் திரும்பும், இதனால் பரிவர்த்தனை ரத்துசெய்யப்பட்டதற்கு அது எதிர்வினையாற்ற முடியும். இந்த பிழைக் குறியீடுகள், கேள்விக்குரிய முகவரி ஹோஸ்ட் பயன்பாட்டிற்குக் கிடைக்கவில்லை என்பதைக் குறிக்கிறது.
என்கிளேவ் உள்ளே இருந்து TSX இன் இந்த கையாளுதல் வில்லனுக்கு ஒரு நல்ல அம்சத்தைக் கொண்டுள்ளது: என்கிளேவ் குறியீடு செயல்படுத்தப்படும் நேரத்தில் பெரும்பாலான வன்பொருள் செயல்திறன் கவுண்டர்கள் புதுப்பிக்கப்படாமல் இருப்பதால், என்கிளேவ் உள்ளே செயல்படுத்தப்படும் TSX பரிவர்த்தனைகளைக் கண்காணிப்பது சாத்தியமில்லை. எனவே, TSX இன் தீங்கிழைக்கும் கையாளுதல் இயக்க முறைமைக்கு முற்றிலும் கண்ணுக்கு தெரியாததாகவே உள்ளது.
கூடுதலாக, மேலே உள்ள ஹேக் எந்த கணினி அழைப்புகளையும் நம்பவில்லை என்பதால், கணினி அழைப்புகளைத் தடுப்பதன் மூலம் அதைக் கண்டறியவோ தடுக்கவோ முடியாது; இது பொதுவாக முட்டை வேட்டைக்கு எதிரான போராட்டத்தில் நேர்மறையான விளைவை அளிக்கிறது.
ROP சங்கிலியை உருவாக்குவதற்கு ஏற்ற கேஜெட்களுக்கான ஹோஸ்ட் பயன்பாட்டுக் குறியீட்டைத் தேட வில்லன் மேலே விவரிக்கப்பட்ட ஹேக்கைப் பயன்படுத்துகிறார். அதே நேரத்தில், அவர் ஒவ்வொரு முகவரியையும் ஆராய வேண்டிய அவசியமில்லை. மெய்நிகர் முகவரி இடத்தின் ஒவ்வொரு பக்கத்திலிருந்தும் ஒரு முகவரியை ஆய்வு செய்தால் போதும். அனைத்து 16 ஜிகாபைட் நினைவகத்தையும் ஆய்வு செய்ய சுமார் 45 நிமிடங்கள் ஆகும் (இன்டெல் i7-6700K இல்). இதன் விளைவாக, வில்லன் ROP சங்கிலியை உருவாக்குவதற்கு ஏற்ற இயங்கக்கூடிய பக்கங்களின் பட்டியலைப் பெறுகிறார்.
எழுதும் தன்மைக்கான முகவரிகளை ஆய்வு செய்ய ஹேக்
ROP தாக்குதலின் என்கிளேவ் பதிப்பைச் செயல்படுத்த, தாக்குபவர் ஹோஸ்ட் பயன்பாட்டின் எழுதக்கூடிய பயன்படுத்தப்படாத நினைவகப் பகுதிகளைத் தேட வேண்டும். தாக்குபவர் இந்த நினைவக இருப்பிடங்களைப் பயன்படுத்தி ஒரு போலி ஸ்டாக் சட்டத்தை உட்செலுத்தவும், ஒரு பேலோடை (ஷெல்கோட்) செலுத்தவும் பயன்படுத்துகிறார். இதன் முக்கிய அம்சம் என்னவென்றால், ஒரு தீங்கிழைக்கும் என்கிளேவ் தனக்கென நினைவகத்தை ஒதுக்க ஹோஸ்ட் பயன்பாடு தேவைப்படாது, மாறாக ஹோஸ்ட் பயன்பாட்டால் ஏற்கனவே ஒதுக்கப்பட்ட நினைவகத்தை தவறாகப் பயன்படுத்த முடியும். நிச்சயமாக, அவர் அத்தகைய பகுதிகளை என்கிளேவ் சரியாமல் கண்டுபிடிக்க முடிந்தால்.
TSX இன் மற்றொரு பக்க விளைவைப் பயன்படுத்தி வில்லன் இந்தத் தேடலை மேற்கொள்கிறார். முதலில், முந்தைய வழக்கைப் போலவே, அது அதன் இருப்புக்கான முகவரியை ஆராய்கிறது, பின்னர் இந்த முகவரியுடன் தொடர்புடைய பக்கம் எழுதக்கூடியதா என்பதைச் சரிபார்க்கிறது. இதைச் செய்ய, வில்லன் பின்வரும் ஹேக்கைப் பயன்படுத்துகிறார்: அவர் TSX பரிவர்த்தனையில் எழுதும் செயல்பாட்டை வைக்கிறார், அது முடிந்ததும், ஆனால் அது முடிவதற்கு முன்பு, அவர் பரிவர்த்தனையை வலுக்கட்டாயமாக நிறுத்துகிறார் (வெளிப்படையான நிறுத்தம்).
TSX பரிவர்த்தனையிலிருந்து திரும்பப் பெறும் குறியீட்டைப் பார்ப்பதன் மூலம், அது எழுதக்கூடியதா என்பதை தாக்குபவர் புரிந்துகொள்கிறார். அது ஒரு "வெளிப்படையான கருக்கலைப்பு" என்றால், வில்லன் அதைப் பின்பற்றியிருந்தால் பதிவு வெற்றிகரமாக இருந்திருக்கும் என்பதை புரிந்துகொள்கிறார். பக்கம் படிக்க மட்டுமே எனில், பரிவர்த்தனையானது "வெளிப்படையான நிறுத்தம்" அல்லாத பிழையுடன் முடிவடையும்.
இந்த டிஎஸ்எக்ஸ் கையாளுதலானது வில்லனுக்கு ஏற்ற மற்றொரு அம்சத்தைக் கொண்டுள்ளது (வன்பொருள் செயல்திறன் கவுண்டர்கள் மூலம் கண்காணிப்பது சாத்தியமற்றது) என்பதால், பரிவர்த்தனை வெற்றிகரமாக இருந்தால் மட்டுமே அனைத்து மெமரி ரைட் கட்டளைகளும் செய்யப்படுகின்றன. மாறாமல் உள்ளது.
கட்டுப்பாட்டு ஓட்டத்தைத் திருப்பிவிட ஹேக்
ஒரு என்கிளேவில் இருந்து ROP தாக்குதலைச் செய்யும்போது - பாரம்பரிய ROP தாக்குதல்களைப் போலல்லாமல் - தாக்குபவர், தாக்கப்பட்ட திட்டத்தில் (பஃபர் ஓவர்ஃப்ளோ அல்லது அது போன்ற ஏதாவது) எந்தப் பிழைகளையும் பயன்படுத்தாமல் RIP பதிவேட்டின் கட்டுப்பாட்டைப் பெற முடியும். ஸ்டேக்கில் சேமிக்கப்பட்டுள்ள RIP பதிவேட்டின் மதிப்பை தாக்குபவர் நேரடியாக மேலெழுத முடியும். குறிப்பாக, இந்த பதிவின் மதிப்பை அதன் சொந்த ROP சங்கிலியுடன் மாற்றலாம்.
இருப்பினும், ROP சங்கிலி நீண்டதாக இருந்தால், ஹோஸ்ட் அப்ளிகேஷன்களின் அடுக்கின் பெரிய பகுதியை மேலெழுதுவது தரவு சிதைவு மற்றும் எதிர்பாராத நிரல் நடத்தைக்கு வழிவகுக்கும். தன் தாக்குதலை மறைவாக நடத்த முயலும் வில்லனுக்கு இந்த நிலையில் திருப்தி இல்லை. எனவே, அது தனக்கென ஒரு போலியான தற்காலிக அடுக்கு சட்டத்தை உருவாக்கி அதில் தனது ROP சங்கிலியை சேமித்து வைக்கிறது. போலி ஸ்டாக் ஃப்ரேம் ஒரு சீரற்ற எழுதக்கூடிய நினைவக இடத்தில் வைக்கப்பட்டு, உண்மையான அடுக்கை அப்படியே விட்டுவிடும்.
மேலே பட்டியலிடப்பட்டுள்ள மூன்று ஹேக்குகள் வில்லனுக்கு என்ன கொடுக்கின்றன?
(1) முதலில், தீங்கிழைக்கும் என்கிளேவ் மூலம் அவற்றைப் படிக்க முடியுமா என்பதைப் பார்க்க, முகவரிகளை ஆய்வு செய்ய ஹேக் செய்யவும், – துஷ்பிரயோகம் செய்யக்கூடிய ROP கேஜெட்டுகளுக்காக ஹோஸ்ட் பயன்பாட்டைத் தேடுகிறது.
(2) பின்னர் மூலம் எழுதும் தன்மைக்கான முகவரிகளை ஆய்வு செய்வதற்கு ஹேக், - ஒரு தீங்கிழைக்கும் என்கிளேவ் ஹோஸ்ட் பயன்பாட்டின் நினைவகத்தில் பேலோடை உட்செலுத்துவதற்கு ஏற்ற பகுதிகளை அடையாளம் காட்டுகிறது.
(3) அடுத்து, என்கிளேவ் படி (1) இல் கண்டுபிடிக்கப்பட்ட கேஜெட்களிலிருந்து ஒரு ROP சங்கிலியை உருவாக்குகிறது மற்றும் இந்த சங்கிலியை ஹோஸ்ட் அப்ளிகேஷன் ஸ்டேக்கில் செலுத்துகிறது.
(4) இறுதியாக, புரவலன் பயன்பாடு முந்தைய கட்டத்தில் உருவாக்கப்பட்ட ROP சங்கிலியை சந்திக்கும் போது, தீங்கிழைக்கும் பேலோட் செயல்படத் தொடங்குகிறது - ஹோஸ்ட் பயன்பாட்டின் சலுகைகள் மற்றும் கணினி அழைப்புகளை செய்யும் திறன்.
ரஞ்சோவாரியை உருவாக்க ஒரு வில்லன் இந்த ஹேக்குகளை எவ்வாறு பயன்படுத்துகிறார்
புரவலன் பயன்பாடு ECALL களில் ஒன்றின் மூலம் கட்டுப்பாட்டை என்கிளேவுக்கு மாற்றிய பிறகு (இந்த என்கிளேவ் தீங்கிழைக்கும் என்று சந்தேகிக்காமல்), தீங்கிழைக்கும் என்கிளேவ் குறியீட்டை உட்செலுத்துவதற்காக ஹோஸ்ட் பயன்பாட்டின் நினைவகத்தில் இலவச இடத்தைத் தேடுகிறது (அந்த கலங்களின் வரிசைகளை இலவச இடைவெளிகளாக எடுத்துக்கொள்கிறது. பூஜ்ஜியங்களால் நிரப்பப்பட்டது). பின்னர் மூலம் அவற்றைப் படிக்க முடியுமா என்பதைப் பார்க்க, முகவரிகளை ஆய்வு செய்ய ஹேக் செய்யவும், – என்கிளேவ் ஹோஸ்ட் பயன்பாட்டில் இயங்கக்கூடிய பக்கங்களைத் தேடுகிறது மற்றும் தற்போதைய கோப்பகத்தில் "RANSOM" என்ற புதிய கோப்பை உருவாக்கும் ROP சங்கிலியை உருவாக்குகிறது (உண்மையான தாக்குதலில், என்க்ளேவ் ஏற்கனவே உள்ள பயனர் கோப்புகளை என்க்ரிப்ட் செய்கிறது) மற்றும் மீட்கும் செய்தியைக் காட்டுகிறது. அதே நேரத்தில், ஹோஸ்ட் அப்ளிகேஷன், என்கிளேவ் இரண்டு எண்களைச் சேர்க்கிறது என்று அப்பாவியாக நம்புகிறது. குறியீட்டில் இது எப்படி இருக்கும்?
உணர்வின் எளிமைக்காக, வரையறைகள் மூலம் சில நினைவூட்டல்களை அறிமுகப்படுத்துவோம்:
பேலோடைச் செயல்படுத்திய பிறகு ஹோஸ்ட் பயன்பாட்டின் இயல்பான செயல்பாட்டை மீட்டெடுக்க RSP மற்றும் RBP பதிவேடுகளின் அசல் மதிப்புகளைச் சேமிக்கிறோம்:
பொருத்தமான ஸ்டாக் ஃப்ரேமைத் தேடுகிறோம் (“கட்டுப்பாட்டு ஓட்டத்தைத் திருப்பியனுப்புவதற்கான ஹேக்” பிரிவில் உள்ள குறியீட்டைப் பார்க்கவும்).
பொருத்தமான ROP கேஜெட்களைக் கண்டறிதல்:
பேலோடை உட்செலுத்துவதற்கான இடத்தைக் கண்டறிதல்:
நாங்கள் ஒரு ROP சங்கிலியை உருவாக்குகிறோம்:
தீங்கிழைக்கும் நிரல்களை எதிர்கொள்ள வடிவமைக்கப்பட்ட இன்டெல்லின் SGX தொழில்நுட்பம், எதிர் இலக்குகளை அடைய வில்லன்களால் இப்படித்தான் பயன்படுத்தப்படுகிறது.
ஆதாரம்: www.habr.com