just in time code reuse
play

Just-In-Time Code Reuse: On the Effec7veness of - PowerPoint PPT Presentation

Sep 25, 2022 •567 likes •819 views

Just-In-Time Code Reuse: On the Effec7veness of Fine-Grained Address Space Layout Randomiza7on Kevin Z. Snow, Fabian Monrose Lucas Davi,

  1. Just-­‑In-­‑Time ¡Code ¡Reuse: ¡ On ¡the ¡Effec7veness ¡of ¡Fine-­‑Grained ¡Address ¡ Space ¡Layout ¡Randomiza7on ¡ ¡ ¡ Kevin ¡Z. ¡Snow, ¡Fabian ¡Monrose ¡ Lucas ¡Davi, ¡Alexandra ¡Dmitrienko, ¡Christopher ¡Liebchen, ¡ Ahmad-­‑Reza ¡Sadeghi ¡ ¡ ¡ ¡ ¡

  2. CS457 ¡Presenta7on ¡ Kostas ¡Plelis ¡ Athanasiadi ¡Natalia ¡ Mitrousias ¡Aristeidis ¡ ¡ Athanasakis ¡Michalis ¡ ¡

  3. Introduc7on ¡

  4. ROP ¡chain ¡

  5. Fine-­‑grained ¡randomiza7on ¡

  6. Adversarial ¡Model ¡ Target ¡plaUorm ¡uses ¡following ¡mechanisms: ¡ Ø Non ¡– ¡Executable ¡Memory ¡ Ø JIT ¡mi7ga7ons ¡ – Random ¡NOP ¡inser7on ¡ – Randomized ¡JIT ¡pages ¡ – Constant ¡variable ¡modifica7ons ¡ Ø Export ¡Address ¡Table ¡Access ¡Filtering ¡ ¡ Ø Base ¡Address ¡Randomiza7on ¡ Ø Fine-­‑grained ¡Randomiza7on ¡

  7. Workflow ¡of ¡JIT ¡code-­‑reuse ¡ Leak ¡Code ¡Pointer ¡ Find ¡Gadgets ¡ Map ¡Memory ¡ Exploit ¡ Descrip7on ¡ Compile ¡ ¡ROP ¡ Find ¡API ¡ program ¡ func7ons ¡ Vulnerable ¡ Applica7on ¡

  8. Map ¡Memory ¡

  9. Find ¡API ¡Calls ¡

  10. Find ¡Gadgets ¡

  11. JIT ¡Compile ¡ our high-level language gadgets available LoadLibrary (“kernel32”); MovRegG& GetProcAddress (@, “WinExec”); LoadRegG& @(“calc”, SW_SHOWNORMAL ); LoadLibrary (“kernel32”); JumpG& GetProcAddress (@, “ExitProcess”); @(1); fullfill with available gadgets Gadget 1 Gadget 2 Gadget 3 Gadget 4 Gadget 5 Gadget 6 ... Serialize generate possible gadget arrangements

  12. Implementa7on ¡Overview ¡

  13. Proof ¡of ¡Concept ¡ Ø Targets ¡Internet ¡Explorer ¡ – IE8 ¡running ¡on ¡Windows ¡7 ¡ – CVE-­‑2012-­‑1876 ¡(heap ¡overflow ¡vulnerability) ¡ – Many ¡more ¡vulnerabili7es ¡available ¡that ¡could ¡be ¡ u7lized ¡ Ø Loads ¡Windows ¡calculator ¡upon ¡browsing ¡the ¡ malicious ¡HTML ¡page ¡

  14. Proof ¡of ¡Concept ¡ • Need ¡memory ¡disclosure ¡interface ¡& ¡code ¡ pointer ¡ Ø Heap ¡Feng ¡Shui ¡ o Buffer ¡to ¡overflow ¡ o String ¡object ¡ o Bueon ¡object ¡( CButtonLayout ) ¡ Ø Overwrite ¡string’s ¡length ¡property ¡ o Through ¡overflow ¡ o Set ¡it ¡to ¡2^32 ¡ ¡ Ø Now ¡possible ¡to ¡read ¡any ¡rela6ve ¡memory ¡address ¡ o Using ¡string’s ¡ ¡ charCodeAt() ¡ method ¡

  15. Proof ¡of ¡Concept ¡ • Need ¡memory ¡disclosure ¡interface ¡& ¡code ¡ pointer ¡ Ø Harvest ¡self-­‑reference ¡from ¡bueon ¡object ¡ o Use ¡reference ¡to ¡implement ¡ ¡ DiscloseByte ¡ ¡ o Translates ¡rela7ve ¡addresses ¡to ¡absolute ¡addresses ¡ Ø Harvest ¡func7on ¡pointer ¡from ¡bueon ¡object ¡ o Pass ¡it ¡to ¡HarvestCodePages ¡ • JIT-­‑compile ¡target ¡program ¡ ¡ Ø Coded ¡in ¡a ¡simple ¡high-­‑level ¡language ¡ Ø Compiled ¡to ¡a ¡series ¡of ¡gadgets, ¡inline ¡with ¡exploit ¡ buffer ¡construc7on ¡

  16. Proof ¡of ¡Concept ¡ • Program ¡flow ¡redirec6on ¡ Ø Bueon ¡object ¡func7on ¡pointer ¡overwrieen ¡using ¡ the ¡same ¡construc7on ¡ Ø Now ¡points ¡to ¡a ¡stack ¡pivot ¡gadget ¡ Ø Stack ¡pivot ¡switches ¡the ¡stack ¡to ¡begin ¡execu7on ¡ of ¡NOP ¡gadget ¡sled ¡ Ø Execu7on ¡of ¡target ¡program ¡follows ¡

  17. if (address & 1) return value >> 8; // get upper Exploit Code Sample Exploit Code Sample 9 // ... snip ... // ... snip ... 1 1 // The string object is overwritten, and initial code // The string object is overwritten, and initial code 2 2 return value & 0xFF; // value is 2 bytes, get lower 10 // pointer harvested prior to this snippet of code // pointer harvested prior to this snippet of code 3 3 4 4 }; // Step 1, implement DiscloseByte interface // Step 1, implement DiscloseByte interface 5 5 11 framework.prototype.DiscloseByte = function(address) { framework.prototype.DiscloseByte = function(address) { 6 6 var value = this.string_.charCodeAt( var value = this.string_.charCodeAt( 7 7 12 (address - this.absoluteAddress_ - 8)/2); (address - this.absoluteAddress_ - 8)/2); 8 8 if (address & 1) return value >> 8; if (address & 1) return value >> 8; // get upper // get upper 9 9 // Define target program (’@’ is shorthand return value & 0xFF; // value is 2 bytes, get lower return value & 0xFF; // value is 2 bytes, get lower 10 10 13 }; }; 11 11 // for ’last value returned’) 12 12 14 // Define target program (’@’ is shorthand // Define target program (’@’ is shorthand 13 13 // for ’last value returned’) // for ’last value returned’) 14 14 var program = var program = var program = 15 15 15 ”LoadLibraryW(L’kernel32’);” + ”LoadLibraryW(L’kernel32’);” + 16 16 ”GetProcAddress(@, ’WinExec’);” + ”GetProcAddress(@, ’WinExec’);” + ”LoadLibraryW(L’kernel32’);” + 17 17 16 ”@(’calc’, 1);” + ”@(’calc’, 1);” + 18 18 ”LoadLibraryW(L’kernel32’);” + ”LoadLibraryW(L’kernel32’);” + 19 19 ”GetProcAddress(@, ’WinExec’);” + ”GetProcAddress(@, ’ExitProcess’);” + ”GetProcAddress(@, ’ExitProcess’);” + 17 20 20 ”@(1);”; ”@(1);”; 21 21 ”@(’calc’, 1);” + 22 22 18 // Steps 2-4, harvest pages, gadgets, functions // Steps 2-4, harvest pages, gadgets, functions 23 23 framework.HarvestCodePages(this.initialCodePtr_); framework.HarvestCodePages(this.initialCodePtr_); 24 24 ”LoadLibraryW(L’kernel32’);” + 25 25 19 // Step 5, 6 - jit-compile and build exploit buffer // Step 5, 6 - jit-compile and build exploit buffer 26 26 var exploitBuffer = var exploitBuffer = ”GetProcAddress(@, ’ExitProcess’);” + 27 27 20 repeat(0x3E, unescape("%u9191%u9191")) + // Id repeat(0x3E, unescape("%u9191%u9191")) + // Id 28 28 repeat(0x19, framework.NoOpG()) + repeat(0x19, framework.NoOpG()) + // Sled // Sled 29 29 ”@(1);”; unescape(framework.Compile(program)) + unescape(framework.Compile(program)) + // Payload // Payload 21 30 30 repeat(0x12, unescape("%u4545%u4545")) + // Pad repeat(0x12, unescape("%u4545%u4545")) + // Pad 31 31 repeat(0x32, framework.StackPivotG()); repeat(0x32, framework.StackPivotG()); // Redirect // Redirect 32 32 22 33 33 // overwrite with the exploit buffer // overwrite with the exploit buffer 34 34 // Steps 2-4, harvest pages, gadgets, functions // ... snip ... // ... snip ... 23 35 35 End Code End Code framework.HarvestCodePages(this.initialCodePtr_); 24 25 // Step 5, 6 - jit-compile and build exploit buffer 26 var exploitBuffer = 27

  18. Evalua7on ¡

  19. Evalua7on ¡

  20. Evalua7on ¡

  21. Evalua7on ¡

  22. Mi7ga7ons ¡ • Re-­‑randomiza7on ¡of ¡code ¡pages ¡ • Defenses ¡that ¡hinder ¡the ¡first ¡stage ¡ • Instruc7on ¡Set ¡Randomiza7on ¡ • Control ¡Flow ¡Integrity ¡(CFI) ¡ A ¡bunch ¡of ¡other ¡tradi7onal ¡defenses ¡that ¡ authors ¡do ¡not ¡believe ¡that ¡could ¡work… ¡

  23. Apes! ¡Together, ¡strong! ¡

Download Presentation
Download Policy: The content available on the website is offered to you 'AS IS' for your personal information and use only. It cannot be commercialized, licensed, or distributed on other websites without prior consent from the author. To download a presentation, simply click this link. If you encounter any difficulties during the download process, it's possible that the publisher has removed the file from their server.

Recommend

kR^X Comprehensive Kernel Protection against Just-In-Time Code Reuse Marios Pomonis 1 Theofilos

kR^X Comprehensive Kernel Protection against Just-In-Time Code Reuse Marios Pomonis 1 Theofilos

Introduction RX Fine-grained KASLR Evaluation kR^X Comprehensive Kernel Protection against Just-In-Time Code Reuse Marios Pomonis 1 Theofilos Petsios 1 Angelos D. Keromytis 1 Michalis Polychronakis 2 Vasileios P. Kemerlis 3 1 Columbia

1.18k views • 66 slides
Just-in-Time Code Reuse The more things change, the more they stay the same Kevin Z. Snow 1 Luca

Just-in-Time Code Reuse The more things change, the more they stay the same Kevin Z. Snow 1 Luca

Just-in-Time Code Reuse The more things change, the more they stay the same Kevin Z. Snow 1 Luca Davi 2 & C. Liebchen 2 A. Dmitrienko 2 F. Monrose 1 A.-R. Sadeghi 2 1 Department of Computer Science 2 CASED/Technische Universitt University

1.42k views • 127 slides
How to Write Fast Numerical Code Spring 2011 Lecture 7 Instructor: Markus Pschel TA: Georg

How to Write Fast Numerical Code Spring 2011 Lecture 7 Instructor: Markus Pschel TA: Georg

How to Write Fast Numerical Code Spring 2011 Lecture 7 Instructor: Markus Pschel TA: Georg Ofenbeck Last Time: Locality Temporal and Spatial memory memory Last Time: Reuse FFT: O(log(n)) reuse MMM: O(n) reuse Discrete Fourier

278 views • 25 slides
Aspects of Inheritance Inheritance Readings: OOSCS2 Chapters 14 16 Code Reuse

Aspects of Inheritance Inheritance Readings: OOSCS2 Chapters 14 16 Code Reuse

Aspects of Inheritance Inheritance Readings: OOSCS2 Chapters 14 16 Code Reuse Substitutability Polymorphism and Dynamic Binding [ compile-time type checks ] EECS3311 A & E: Software Design Sub-contracting Fall 2020 [

226 views • 6 slides
Lecture 09 Code reuse attacks Stephen Checkoway University of Illinois at Chicago CS 487

Lecture 09 Code reuse attacks Stephen Checkoway University of Illinois at Chicago CS 487

Lecture 09 Code reuse attacks Stephen Checkoway University of Illinois at Chicago CS 487 Fall 2017 Last time No good reason for stack/heap/static data to be executable No good reason for code to be writable - An exception to this

750 views • 42 slides
1 Infrastructure Requirements Limit Reuse Planned Indirect Potable Reuse (Purple pipe may be a

1 Infrastructure Requirements Limit Reuse Planned Indirect Potable Reuse (Purple pipe may be a

Overview of Presentation DIRECT POTABLE REUSE: A PATH FORWARD: Take Home Message Reuse Opportunities De Facto and Planned Indirect Potable Reuse 2012 WATER REUSE CONFERENCE Proposed Direct Potable Reuse Strategies Boise, ID

599 views • 8 slides
Loop Invariant Code Motion Last Time Uses of SSA: reaching constants, dead-code elimination,

Loop Invariant Code Motion Last Time Uses of SSA: reaching constants, dead-code elimination,

Loop Invariant Code Motion Last Time Uses of SSA: reaching constants, dead-code elimination, induction variable identification Today Finish up induction variable identification Loop invariant code motion Next Time Reuse

778 views • 10 slides
ASLR-Guard: Stopping Address Space Leakage for Code Reuse

ASLR-Guard: Stopping Address Space Leakage for Code Reuse

ASLR-Guard: Stopping Address Space Leakage for Code Reuse A9acks Kangjie Lu, Chengyu Song, Byoungyoung Lee, Simon P. Chung, Taesoo Kim, Wenke Lee

605 views • 45 slides
Object-Oriented Programming Exercises 13.1 Using Java as an example: Code reuse: inhertiance,

Object-Oriented Programming Exercises 13.1 Using Java as an example: Code reuse: inhertiance,

13 Object-Oriented Programming Exercises 13.1 Using Java as an example: Code reuse: inhertiance, interfaces. In the case of an interface, any class implementing the Comparable interface can be sorted or stored in an ordered colection.

425 views • 6 slides
Weird machines: a model for code-reuse attacks Sergey Bratus Rebecca Shapiro Anna Shubina

Weird machines: a model for code-reuse attacks Sergey Bratus Rebecca Shapiro Anna Shubina

Weird machines: a model for code-reuse attacks Sergey Bratus Rebecca Shapiro Anna Shubina Dartmouth T rust Lab Outline Code re-use: unexpected computation, programming models Containing computation: Coarse intent-based ABI-level

487 views • 27 slides
Software Reuse From informal reuse (scavenging) to systematic reuse Management and technical

Software Reuse From informal reuse (scavenging) to systematic reuse Management and technical

Software Reuse From informal reuse (scavenging) to systematic reuse Management and technical issues Michal Young, SERC 05/19/99 1 Merry-Go-Round of Sequential Development Conventional view of development: Requirements Common theme -

238 views • 13 slides
Trying to run EvtGen in parallel provided some usefull information S. Longo 2nd SuperB

Trying to run EvtGen in parallel provided some usefull information S. Longo 2nd SuperB

Wishing to reuse part of the code written by the BaBar collaboration, there are two main questions that require an answer: Is it possible to run in parallel BaBar code (legacy code)? If this is the case, what kind of performances can be

847 views • 15 slides
Subtype polymorphism Key mechanism to support code reuse A is a subtype of B (written A

Subtype polymorphism Key mechanism to support code reuse A is a subtype of B (written A

Subtype polymorphism Key mechanism to support code reuse A is a subtype of B (written A < : B ) if value a:A can be used whenever a value of supertype B is expected. Example: Circle , Diamond , and Triangle can be used in any

350 views • 21 slides
A Tough call : Mitigating Advanced Code-Reuse Attacks At The Binary Level Victor van der Veen,

A Tough call : Mitigating Advanced Code-Reuse Attacks At The Binary Level Victor van der Veen,

A Tough call : Mitigating Advanced Code-Reuse Attacks At The Binary Level Victor van der Veen, Enes Gkta (joint first author) (VU) Moritz Contag, Andre Pawlowski, Thorsten Holz (RUB) Xi Chen, Sanjay Rawat, Herbert Bos, Elias Athanasopoulos,

587 views • 26 slides
Size Does Matter Why Using Gadget-Chain Length to Prevent Code-reuse Attacks is Hard Enes

Size Does Matter Why Using Gadget-Chain Length to Prevent Code-reuse Attacks is Hard Enes

Size Does Matter Why Using Gadget-Chain Length to Prevent Code-reuse Attacks is Hard Enes Gkta - Elias Athanasopoulos - Michalis Polychronakis Herbert Bos - Georgios Portokalidis presented by: Flora Karniavoura Katerina Karagiannaki

376 views • 23 slides
Design patterns for code reuse in HLS packet processing pipelines Haggai Eran , Lior Zeno

Design patterns for code reuse in HLS packet processing pipelines Haggai Eran , Lior Zeno

Design patterns for code reuse in HLS packet processing pipelines Haggai Eran , Lior Zeno , Zsolt Istvn , and Mark Silberstein Technion Israel Institute of Technology Mellanox Technologies IMDEA Software

690 views • 24 slides
r r rs sr

r r rs sr

r r rs sr t r str rst t

663 views • 30 slides
Bringing your Python script to more users! Quick tour from CLI through GUI to Web app with image

Bringing your Python script to more users! Quick tour from CLI through GUI to Web app with image

Bringing your Python script to more users! Quick tour from CLI through GUI to Web app with image size reduction script EuroPython 2020 (2020/07/23) Takuya Futatsugi (a.k.a. nikkie) Hello EuroPython! Nice to meet you! Please call me

1.12k views • 85 slides
Dirty Tricks in the Name of Quality Ian Dees Tektronix ian.s.dees@tek.com Hi, Im Ian. Im

Dirty Tricks in the Name of Quality Ian Dees Tektronix ian.s.dees@tek.com Hi, Im Ian. Im

Dirty Tricks in the Name of Quality Ian Dees Tektronix ian.s.dees@tek.com Hi, Im Ian. Im here to talk about dirty tricks in software construction.

798 views • 50 slides
DNS Workshop @CaribNOG12 Mark Kosters Carlos Martnez {ARIN, LACNIC} CTO DNS Refresher and

DNS Workshop @CaribNOG12 Mark Kosters Carlos Martnez {ARIN, LACNIC} CTO DNS Refresher and

DNS Workshop @CaribNOG12 Mark Kosters Carlos Martnez {ARIN, LACNIC} CTO DNS Refresher and Intro to DNS Security Extension (DNSSEC) Outline Introduction DNSSEC mechanisms to establish authenticity and integrity of data

562 views • 39 slides
Feature-based Testing of SPLs: Pairwise and Beyond Gilles Perrouin (and many others :)) Context

Feature-based Testing of SPLs: Pairwise and Beyond Gilles Perrouin (and many others :)) Context

Feature-based Testing of SPLs: Pairwise and Beyond Gilles Perrouin (and many others :)) Context Context ! The SPL paradigm promises high quality software through systematic assets reuse Context ! The SPL paradigm promises high quality

1.27k views • 102 slides
Lecture 6: Specifications & Testing (Sections 4.9, 9.5) CS 1110 Introduction to Computing

Lecture 6: Specifications & Testing (Sections 4.9, 9.5) CS 1110 Introduction to Computing

http://www.cs.cornell.edu/courses/cs1110/2019sp Lecture 6: Specifications & Testing (Sections 4.9, 9.5) CS 1110 Introduction to Computing Using Python [E. Andersen, A. Bracy, D. Gries, L. Lee, S. Marschner, C. Van Loan, W. White] Recall

509 views • 24 slides
Large scale deployment PMM Santa Clara, California | April 23th 25th, 2018 Johan Nilsson,

Large scale deployment PMM Santa Clara, California | April 23th 25th, 2018 Johan Nilsson,

Large scale deployment PMM Santa Clara, California | April 23th 25th, 2018 Johan Nilsson, Kristofer Grahn Verisure Innovation Why are we here? - PMM sucks!! :-) (and it's really cool to talk at Percona Live... ) or at least, in large

650 views • 35 slides
Natural script writing with Guile The newest step on my path towards the perfect script writing

Natural script writing with Guile The newest step on my path towards the perfect script writing

Introduction Prior Art Examples Appendix Natural script writing with Guile The newest step on my path towards the perfect script writing syntax Arne Babenhauserheide February 4, 2017 Arne Babenhauserheide Natural script writing with Guile

228 views • 19 slides

More recommend