![ASLRの肝
Moving?Target?Defense
Moving Target Defense
? Moving Target Defense
Moving?Target?Defense
屡贋のシステムは揖じ
贋
じ
バイナリを聞うので好
鵑砲覆蠅笋垢ぁ
C F壓の好弔枠てのマシンで揖じバ
イナリが聞われているため、屡贋
イナリが聞われているため 屡贋
コ`ド壅旋喘好弔鯤椶韻笋垢ぁ
C ?のマシンでなるバイナリにす
ることで、好弔鳬yしくする。(謹來)
バイナリ徭悶がシステ
ム阿篁することで
好弔鮖惘椶垢襦
? Instruction Set Randomization
Instruction?Set?Randomization
? g佩阿縫丱ぅ淵螢芥`ドを笋┐襦
? この方定で猟が竃てきている コ`ドもある
この方定で猟が竃てきている。コ ドもある。
?
?
?
Minestone [ACSAC¨10] http://nsl.cs.columbia.edu/projects/minestrone/isr/
Binary Stirring[CCS¨12,テキサス寄ダラス]
y
g[
,
]
ORP [IEEE SSP12,コロンビア] http://nsl.cs.columbia.edu/projects/orp/](https://image.slidesharecdn.com/os-140120200905-phpapp02/85/OS-18-320.jpg)
或皆セキュリティチュ`トリアル
- 2. Quiz セキュリティ室gとg廾兆をvSづけよ。 セキ リテ 室gとg廾兆をvSづけよ 廣今1鬉任覆い茵 ? ? ? ? ? ? ? ? DEP ASLR Code?Signing Code Signing Sandbox Access?Control Encrypt?Storage Encrypt Storage Integrity?Check Trusted?Computing ? ? ? ? ? ? ? ? SELinux Tripwire Ti i Exec?Shield W^X TrouSerS T S S BitLocker Jail PAX
- 3. Quiz セキュリティ室gとg廾兆をvSづけよ。 セキ リテ 室gとg廾兆をvSづけよ 廣今1鬉任覆い茵 ? ? ? ? ? ? ? ? DEP ASLR Code?Signing Code Signing Sandbox Access?Control Encrypt?Storage Encrypt Storage Integrity?Check Trusted?Computing ? ? ? ? ? ? ? ? SELinux Tripwire Ti i Exec?Shield W^X TrouSerS T S S BitLocker Jail PAX
- 5. バイナリにする好?契囮のs雰 好勅斜g Execute?Code? E ec te Code on??the?Stack Rturn\To\Libc A R T Lib Attack k 屡に贋壓するg佩コ`ドを 聞うだけなので、DEP契ぐこ とができない スタックに好張芥`ド を崔き、g佩 1980 屡贋契囮室g Compiler OS Reuse?to?Unsafe Reuse to Unsafe Code?Gadgets 1990? Type? Checking t輝たり好弔筌▲ レス息えいを旋喘し てASLRを指閲できる (Return?Oriented? Programming:?ROP) 2000 2010 Stack? Guard Data? Execution? Prevention? P ti (DEP) Address?Space? Layout? Randomization R d i ti (ASLR)? Moving?Target?Defense & Instruction?Set? Randomization 肝の契囮室g Hardware H d AMD?NX?bit Intel?DX?bit 伏凋の契l室gを庁したセキュ 伏凋の契l室gを庁したセキ リティ(謹來, 徭失俐,窒吽) (bt冩の暖竸冩梢 仝伏凋侏セ キュリティ々 H25- )
- 6. DEP: Data?Execution?Prevention デ`タg佩契峭 ? スタックやヒ`プI囃吉にコ`ドを崔き、g佩する好弔魴世亜 ? スタックやヒ`プは^宥械 ̄はコ`ドが崔かれることがないので、この メモリI囃をg佩鋤峭にする。 ? 麗尖メモリ徭悶には奉來がない。メモリの奉來は∀襯瓮皀蠅琶垢 が ペ`ジテ`ブルにあるが、Read/Write,?Supervisor/User,?Present?bit,? Dirty?bit などでg佩の鋤峭がoかった。(書はある。瘁峰) Dirty bit などでg佩の鋤峭がoかった (書はある 瘁峰)
- 7. DEPのg廾 ? ソフトウ アでのg廾 ソフトウェアでのg廾 C エミュレ`ションでのg廾(PAX) C x86のコ`ドセグメント廠順を旋喘 (ExecShiled) ? ハ`ドウェアを聞ったg廾 ハ ドウェアを聞ったg廾 C SPARC,?Alpha,?PowerPCでは硬くから鬄Intel狼で は2000定參週。 は2000定參週 ? Intel?Itanium?Merced 2001參週 ? Intel?DX?(eXecute?Disable)bitPentium4?Prescott?2004/1 參週 ? ADM NX (N X t ) bit AMD64 2003/9參週 ADM?NX?(No?eXecute)?bit?:?AMD64?2003/9參週
- 8. DEPのg廾箭 ? OpenBSD C W^X (2003定5埖1晩) iみ圭"Write XOR Execute" W X (2003定5埖1晩)?iみ圭 Write?XOR?Execute ? エミュレ`ションor?NX?bitを聞う ? Linux C ^PAX ̄ (2000定10埖1晩) ? エミュレ`ションor?NX?bitを聞う C ^Exec?Shield ̄?by?Ingo?Molnar(2003定5埖2晩) ? x86のコ`ドセグメント廠順を旋喘 ? NX?bitを聞うカ`ネルパッチもあり ? Windows C Wi d Windows?XP?Service?Pack?2とWindows?Server?2003? XP S i P k 2とWi d S 2003 Service?Pack?1?(2004定8埖6晩)
- 9. DEPの} } ? Self\modifying?code(徭失きQえコ`ド)に鬉任ない C Code??obfuscation(yi晒)では駅勣なものがある C GCCで聞われてる仝トランポリン々啜弔防撹したコ`ドをU喇 するは聞えない。 C 徭失きQえによる恷m晒 ? cpuid凋綜のY惚からコ`ドをきQえる C http://mkosaki.blog46.fc2.com/blog\entry\104.html 仝alternative?マ クロと徭失俐屎コ`ド々より クロと徭失俐屎コ ド々より C 圷を屎せばマルチプロセッサ揖豚凋綜などという児云議な凋綜をP6,? Pentium4などという階恷除に弖紗するIntelがいのが、殆岷にコン パイルオプションなぞにしてしまったら、ディストリビュ`タはきっと Pentium4をOFFにしたGenericカ`ネルを塘下しだしてWくなるし訳周 蛍瓷凋綜なんぞいれた晩にゃあ朕も輝てられない堀業になるのは け栽い。ってことで、かなり哈な返隈がとられている。
- 10. DEPの指閲圭隈 Memory?Dual?mapping M D l i ? Matt?^skape ̄?Miller,?Using?dual\mappings?to?evade?automated? unpackers,?2008 より。 ? 2つの∀襯瓮皀螢擧`ジを1つ麗尖メモリペ`ジに護り輝てる C Executable?mapping ? コ`ドがg佩される。Debugger はここのみO DEP,?Debugger のO鵑 コ ドのみ コ`ドのみ Virtual Vi t l Physical C Editable?mapping ? PackerとしてPき、コ`ドを個 としてPき ドを個 (Self\modification)する Code C d Executable ? DEP(Data Execution Prevention) DEP(Data?Execution?Prevention) を指閲して、コ`ド個 Data Editable デ`タとしてg 佩コ`ドをき Qえ
- 11. DEPを指閲する好 ROP: Return?Oriented?Programming ? 好 好張芥`ドはスタック貧の崔 ドは タ ク貧の崔 かれてg佩されてきたが、ス タック貧でコ ドg佩できな タック貧でコ`ドg佩できな いような碧Mみ(DEP:Data Execution?Prevention)が_k された。 ? これを指閲する好弔箸靴銅 贋のコ`ドをMみ栽わせて 贋 ドをMみ栽わせ 好張芥`ドを恬撹するROP:? Return?Oriented? Return Oriented Programmingが竃てきた。 プログラムをきQ えてやろう 貨室g スタックメモリがo契 笋世升 スタックをオ`バフロ`さ せて好張芥`ドをきz む スタック貧ではプログラ ムをg佩できなくする NX (no execute)モ`ド Return?oriented?programming 好張芥`ド スタック貧のリタ`ンアドレスを えて、屎械コ`ドの僅頭を柵び竃 す桑を笋┐ 屎械コ`ド comp read write copy
- 12. Return?Oriented?Programming Return Oriented Programming ? ? Bufferover Flow吉でスタックを篤欧垢襦 メモリ貧にあるRET凋綜の岷念のコ`ドを鹿めてプログラムを恬る。スタッ ク貧ではRETの岷念のアドレスに卞るようにスタックフレ`ムを個ざんする。 スタック リタ`ンアドレス XXXX リタ ンアドレス リタ`ンアドレス YYYYY リタ ンアドレス リタ`ンアドレス ZZZZ スタックを好 スタックフレ`ムのリタ` ンアドレスをeみなす メモリ貧のコ`ド XXXX MOVE??A,B RET ´ YYYYY ADD?A,C MUL?A,B MUL A B RET ´ ZZZZ MOVE?B,C MOVE B C RET ROPで恬られた 好張芥`ド 恣をg佩する と嘔の好 コ`ドをg佩 するのと揖じ MOVE??A,B ADD?A,C MUL?A,B MUL A B MOVE?B,C
- 13. ASLR ? ROP徭悶はプログラムの軟rにコ`ドをランダムに塘崔 するASLR: Address?Space?Layout?Randomization?によりp 富された。 スタック リタ`ンアドレス XXXX リタ ンアドレス リタ`ンアドレス YYYYY リタ ンアドレス リタ`ンアドレス ZZZZ スタックを好 スタックフレ`ムのリタ` ンアドレスをeみなす メモリ貧のコ`ド XXXX\8192 MOVE??A,B RET ´ ADD?A,C YYYYY\8192 MUL?A,B RET ´ ZZZZ\8192 MOVE?B,C RET ASLRではメモリロ`ドにアドレスを ランダムに塘崔┐困蕕坑することで ROPを吭龍のないものにする。
- 14. ASLRのイメ`ジ S のイメ ジ ? ∀襯瓮皀蠶擇領志辰鰔(畠悶がランダムにならない) C また アドレスビ トの笋┐蕕譴詢志辰篭爐ない また、アドレスビットの笋┐蕕譴詢志辰篭爐ない ? 和了12bit?(4KB)はペ`ジで耕協。 ? 貧了はカ`ネル腎g、ユ`ザ腎gで俳り蛍けている。 C Linux 32bitの栽、貧了1GBがカ`ネル、和了3GBがユ`ザ。 0xFFFFFFFF カ`ネル 1指朕g佩 2指朕g佩 3指朕g佩 0xC0000000 コ`ド ユ`ザ ユ ザ ヒ`プ プ スタック コ`ド ヒ プ ヒ`プ スタック コ`ド ヒ`プ _兵アドレス が笋錣襪里 が笋 スタック 0x00000000 32ビットASLRでは方ビットを笋┐襪里澆妊┘鵐肇蹈圦`を_隠できない。
- 15. ASLR?のランダムさの殻業 ? 仝Windows?Server?2012?R2?マイグレ`ション ガイド々より。 http://download.microsoft.com/download/0/7/B/07BE7A3C\07B9\4173\B251\6865ADA98E5D/WS2012R2_MigrationGuide_v2.0.docx ? 箭8?ビットの栽、256?宥りの嶄から ベ`ス アドレスがQまる メモリI囃 Windows 7 および 2008 R2 Windows 8 および Windows Server 2012 參週 32 ビットプロセス 64 ビット プロセス 32 ビット プロセス 64 ビット プロセス 64 ビット プロセス (HE 嗤) 0 (ランダム晒 なし) 0 (ランダム晒 なし) 8 8 24 スタック 14 14 17 17 33 ヒ`プ 5 5 8 8 24 0 (ランダム晒 なし) 0 (ランダム晒 なし) 8 17 17 PEB、TEB 4 4 8 17 17 EXE イメ`ジ 8 8 8 17 * 17 * DLL イメ`ジ 8 8 8 19 * 19 * 掲 ASLR DLL イメ` イメ ジ (オプト イン) 0 (ランダム晒 なし) 0 (ランダム晒 なし) 8 8 24 ボトム アップの護り輝 て (オプト イン) プ トップ ダウンの護り輝 て (オプト イン) 燕: Windows 7 と Windows 8 の ASLR の?^、方忖はエントロピ`のビット方 * ベ`ス アドレス 4 GB 隆困 64 ビット EXE には 8 ビット、64 ビット DLL には 14 ビットのエントロピ`がm?される
- 16. ASLRのn} ? バイナリ徭悶をPIC(Position?Independent?Code)にする 駅勣あり。 ? ~アドレスを峺協されている硬いバイナリはASLRを 試喘できない。 ASLRはロ ドrのみに塘崔を 指笋┐襪里如 業ア ? ASLRはロ`ドrのみに塘崔を匯指笋┐襪里如匯業ア ドレスが息えいしたら吭龍がない。 C ApacheなどForkのみでプロセスを謹く塗伏するものは裡。 ? Execすればよいが、謹くは佩っていない。 C Re\Randomization?の駅勣來 Re Randomi ation の駅勣來 ? タネンバウム冩のUSENIX\SEC12猟 C Enhanced?Operating?System?Security?Through?Ef?cient?and?Fine\grained? Address?Space?Randomization Add S R d i ti
- 17. Windowsのセキュリティ鯢 XP SP0 XP?XP2 Vista, 7 Win 8 DEP(software) 〜 $ $ $ DEP(hardware) DEP(h d ) 〜 $ $ $ ASLR(stack) 〜 〜 $ £ ASLR(module) 〜 〜 $ £ ASLR(heap) 〜 〜 〜 $ カ`ネル隠o (ASLR) 〜 〜 @ $ FFRI 仝 Windows 8 C 巌樋來宑C嬬の晒 々より https://www.google.co.jp/url?sa=t&rct=j&q=&esrc=/slideshow/os-30235081/30235081/s&source=web&cd=1&cad=rja&ved=0CC0QFjAA&url=http%3A%2F%2Fwww.ffri.jp%2Fassets%2Ffiles%2F monthly_research%2FMR201209_Windows8_Exploit_Mitigation.pdf&ei=t2DLUuPoL4SlkwXHsIHgCg&usg=AFQjCNGIBa1L4fHZrw7qHQhVRQWTYf2aTA&sig 2=btFLcMsnvqnEd5DyzKNMCw&bvm=bv.58187178,d.dGI
- 18. ASLRの肝 Moving?Target?Defense Moving Target Defense ? Moving Target Defense Moving?Target?Defense 屡贋のシステムは揖じ 贋 じ バイナリを聞うので好 鵑砲覆蠅笋垢ぁ C F壓の好弔枠てのマシンで揖じバ イナリが聞われているため、屡贋 イナリが聞われているため 屡贋 コ`ド壅旋喘好弔鯤椶韻笋垢ぁ C ?のマシンでなるバイナリにす ることで、好弔鳬yしくする。(謹來) バイナリ徭悶がシステ ム阿篁することで 好弔鮖惘椶垢襦 ? Instruction Set Randomization Instruction?Set?Randomization ? g佩阿縫丱ぅ淵螢芥`ドを笋┐襦 ? この方定で猟が竃てきている コ`ドもある この方定で猟が竃てきている。コ ドもある。 ? ? ? Minestone [ACSAC¨10] http://nsl.cs.columbia.edu/projects/minestrone/isr/ Binary Stirring[CCS¨12,テキサス寄ダラス] y g[ , ] ORP [IEEE SSP12,コロンビア] http://nsl.cs.columbia.edu/projects/orp/
- 19. ISR:?Instruction?Set?Randomization ? 屡贋のバイナリコ`ドを吉な凋綜で崔きかえること でROPによるコ ド壅旋喘を契ぐ。 でROPによるコ`ド壅旋喘を契ぐ。 書までの圭塀 ディスク div???b?/?2 mul??a x?2 mul??a?x?2 xor?a,?a ret ISR g佩 (ロ`ダ) div???b?/?2 mul??a x?2 mul a x 2 mul??a?x?2 xor?a,?a ret メモリ アドレス コ`ドI囃 揖じ凋綜がg 佩される div???b?/?2 mul??a x?2 mul??a?x?2 xor?a,?a ret 撹孔 メモリ坪否 が畠く`う ディスク div???b?/?2 mul??a x?2 mul??a?x?2 xor?a,?a xor a a ret g佩 コ`ドQ div???b?/?2 l mul??a x?2 mul??a?x?2 xor?a,?a ret メモリ アドレス コ`ドI囃 吉な凋綜に崔き Qえられる shift?l?a add?a+a Add?a+a mv?0,?a 0 jump 好蔦澆揖じ コ`ドを秘返、 コ ドを秘返 盾裂、好 払 好蔦澆揖じ コ`ドを秘返、 盾裂、好 ? }泣坤札泪鵐謄ックが笋錣蕕覆栽 ROPに }泣坤札泪鵐謄ックが笋錣蕕覆栽、ROPに 惚がoいのでは尽uが嶷勣。
- 21. まとめ ? OS坪のセキュリティ晒のアプロ`チは児云 キ プ 児云 議に2つ C それしか聞えないか ? DEP S db A DEP,?Sandbox,?Access?Control,?Code?signing C t l C d i i C でたらめにするか ? ASLR,?ISR?(Instruction?Set?Randomization)