prac l control flow integrity randomiza on for binary
play

Prac%cal Control Flow Integrity & Randomiza%on for Binary - PowerPoint PPT Presentation

Jan 02, 2023 •233 likes •701 views

Title Prac%cal Control Flow Integrity & Randomiza%on for Binary Executables Lei Duan Chao Zhang Tao Wei Zhaofeng Chen Peking University Peking University Peking University Peking University UC

  1. Title ¡ Prac%cal ¡Control ¡Flow ¡Integrity ¡& ¡ Randomiza%on ¡for ¡Binary ¡Executables Lei Duan Chao Zhang Tao Wei Zhaofeng Chen Peking University Peking University Peking University Peking University ¡ UC Berkeley Wei Zou László Szekeres Stephen McCamant Dawn Song Peking University Stony Brook University University of Minnesota UC Berkeley

  2. Title ¡ Eternal ¡War ¡in ¡Memory ¡( Oakland’13 ) buffer ¡overflow ¡... code ¡injec%on A ¡ D ¡ W ¡ ⊗ X t ¡ e ¡ ret2libc, ¡ ¡ROP t ¡ f ¡ code ¡re-­‑use a ¡ e ¡ ASLR c ¡ n ¡ k ¡ d ¡ e ¡ Info ¡Leakage e ¡ r r ... ? chao.100871.net 2

  3. Title ¡ Reac%ve ¡Defense ¡is ¡not ¡adequate § > ¡5,000 ¡CVE ¡vulnerabili%es ¡each ¡year. ¡ • Many ¡more ¡are ¡under ¡the ¡iceberg. ¡ § Vulnerabili%es ¡are ¡exploited ¡millions ¡of ¡%mes. #cve ¡ 7,000 ¡ 6,000 ¡ 5,000 ¡ 4,000 ¡ 3,000 ¡ 2,000 ¡ 1,000 ¡ 0 ¡ 2006 ¡ 2007 ¡ 2008 ¡ 2009 ¡ 2010 ¡ 2011 ¡ 2012 ¡ Symantec ¡Internet ¡Security ¡Threat ¡Report chao.100871.net 3

  4. Title ¡ Proac%ve ¡Defense: ¡Control ¡Flow ¡Integrity § Control ¡Flow ¡Integrity, ¡CFI ¡[CCS’05] ¡ § Security ¡policy ¡ • Each ¡run-­‑%me ¡control ¡transfer ¡must ¡comply ¡with ¡programmer’s ¡ compile-­‑%me ¡intent, ¡i.e., ¡the ¡control-­‑flow ¡graph ¡ ¡ § A ¡strong ¡guarantee ¡that ¡can ¡be ¡reasoned ¡about ¡formally ¡ • ROP, ¡JOP, ¡UAF ¡ § A ¡founda%on ¡for ¡other ¡low-­‑level ¡code ¡defenses ¡ • SFI, ¡sandboxing ¡untrusted ¡code ¡ § Determinis%c, ¡not ¡probabilis%c ¡defense ¡ chao.100871.net 4

  5. Title ¡ Control-­‑Flow ¡Graph ¡ § condi%onal ¡jump ¡(jz ¡…): ¡target ¡rela%ve ¡address ¡ § direct ¡jump/call: ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡target ¡rela%ve ¡or ¡absolute ¡address ¡ § indirect ¡jump/call: ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡target? ¡(read ¡or ¡computed ¡from ¡memory) ¡ § return: ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡target ¡return ¡address ¡on ¡the ¡stack ¡ chao.100871.net 5

  6. Title ¡ Scope ¡of ¡Control-­‑Flow ¡Integrity ¡Protec%on Control ¡Transfer ¡Method Transfer ¡Targets Integrity ¡ Protec8on Excep%ons Excep%on ¡handlers SafeSEH, ¡ ¡SEHOP W ⊗ X Direct ¡CALL/JMP, ¡ Hard-­‑coded ¡func%on ¡pointers ¡ Condi%onal ¡jump ¡(JZ...) (embedded ¡in ¡the ¡code) Indirect ¡CALL/JMP In-­‑memory ¡func%on ¡pointers CFI RET ¡instruc%ons On-­‑stack ¡return ¡addresses /GS, ¡shadow ¡stack, ¡ CFI chao.100871.net 6

  7. Title ¡ Control ¡Flow ¡Integrity ¡(CCS’05) § build ¡Control ¡Flow ¡Graph ¡ foo: • source ¡code/debug ¡info ¡ ¡... ¡... • all ¡modules ¡ret ¡call ¡eax next_1: bar: ¡... ¡... ¡ret ¡call ¡ecx next_2: fun: ¡... ¡ret chao.100871.net 7

  8. Title ¡ Control ¡Flow ¡Integrity ¡(CCS’05) § build ¡Control ¡Flow ¡Graph ¡ foo: ID_1 § binary ¡rewri%ng ¡ ¡... ¡... • instrument ¡IDs ¡before ¡ ¡ret check ¡ID_1 transfer ¡targets ¡ ¡call ¡eax next_1: • validate ¡IDs ¡before ¡control ¡ bar: transferring ¡ ¡... ¡... ¡ret ¡call ¡ecx next_2: fun: ¡... ¡ret chao.100871.net 8

  9. Title ¡ Control ¡Flow ¡Integrity ¡(CCS’05) § build ¡Control ¡Flow ¡Graph ¡ foo: ID_1 § binary ¡rewri%ng ¡ ¡... ¡... ¡ret check ¡ID_1 ¡call ¡eax § diversity ¡of ¡IDs ¡ next_1: bar: ID_1 ¡... ¡... check ¡ID_1 ¡ret ¡call ¡ecx next_2: fun: ID_1 ¡... ¡ret chao.100871.net 9

  10. Title ¡ Control ¡Flow ¡Integrity ¡(CCS’05) § build ¡Control ¡Flow ¡Graph ¡ foo: ID_1 § binary ¡rewri%ng ¡ ¡... ¡... check ¡ID_2 ¡ret check ¡ID_1 ¡call ¡eax § diversity ¡of ¡IDs ¡ ID_2 next_1: bar: ID_1 ¡... ¡... § all ¡indirect ¡transfers ¡ check ¡ID_2 check ¡ID_1 ¡ret ¡call ¡ecx • indirect ¡call ¡ ID_2 next_2: • indirect ¡jmp ¡ fun: • ret ¡ ID_1 ¡... check ¡ID_2 ¡ret chao.100871.net 10

  11. Title ¡ Challenges ¡faced ¡by ¡CFI § performance ¡overhead: ¡average ¡15%, ¡max ¡46% ¡ ¡ Ø ID ¡is ¡embedded ¡in ¡a ¡slow ¡ ¡... prefetchnta ¡instruc%on ¡ check ¡ID_1 Ø executed ¡each ¡%me ¡the ¡transfer ¡ ¡call ¡eax foo: target ¡is ¡reached ¡ next_1: ID_1 ¡... ¡ret ¡... Ø introduce ¡overhead ¡even ¡if ¡ foo ¡ ¡call ¡foo is ¡called/jumped ¡to ¡directly ¡ ü most ¡calls/jumps ¡are ¡direct ¡ chao.100871.net 11

  12. Title ¡ Challenges ¡faced ¡by ¡CFI § performance ¡overhead ¡ § modularity ¡support ¡ • A ¡single ¡module ¡cannot ¡be ¡hardened ¡independently module_A libc ¡... ¡call ¡printf ID_A printf: ¡... check ¡which ¡ID? module_B ¡ret ¡... ¡call ¡printf ID_B chao.100871.net 12

  13. Title ¡ Challenges ¡faced ¡by ¡CFI § performance ¡overhead ¡ § modularity ¡support ¡ § backward ¡compa%bility ¡ unhardened module hardened module foo: ID_1 ¡... ¡... check ¡ID_1 ¡ret ¡call ¡eax test: next_1: ¡... bar: ¡ret ID_1 ¡... ¡ret chao.100871.net 13

  14. Title ¡ Challenges ¡faced ¡by ¡CFI § performance ¡overhead ¡ § modularity ¡support ¡ § backward ¡compa%bility ¡ § source ¡code/debug ¡info ¡dependency ¡ • to ¡build ¡Control ¡Flow ¡Graph ¡ chao.100871.net 14

  15. Title ¡ Mo%va%on § A ¡light-­‑weight ¡CFI ¡solu%on ¡with ¡a ¡strong ¡protec%on ¡ ·√ ¡ performance ¡overhead ·√ ¡ modularity ¡support ·√ ¡ backward ¡compatibility ·√ ¡ source ¡code ¡independent chao.100871.net 15

  16. Title ¡ Assump%on § ASLR ¡and ¡W ⊗X (e.g. DEP) are deployed § NO self-modifying code or dynamically generated code. § Limited ¡informa%on ¡disclosure ¡vulnerabili%es ¡ • e.g., ¡cannot ¡read ¡en%re ¡memory ¡regions ¡ chao.100871.net 16

  17. Title ¡ Outline § Mo%va%on ¡ § Intui%on ¡& ¡Design ¡ § Implementa%on ¡ § Security ¡Enhancement ¡ § Evalua%on ¡ § Conclusion chao.100871.net 17

  18. Title ¡ Intui%on § Checking ¡transfer ¡targets’ ¡kind, ¡rather ¡than ¡IDs ¡ • indirect ¡call/jmp ¡can ¡only ¡transfer ¡to ¡func%on-­‑pointer ¡stubs ¡ • returns ¡can ¡only ¡transfer ¡to ¡return-­‑address ¡stubs chao.100871.net 18

  19. Title ¡ Intui%on: ¡efficient ¡check § memory ¡alignment ¡ • func%on ¡pointer ¡stubs ¡are ¡8-­‑bytes ¡aligned ¡ • return ¡address ¡stubs ¡are ¡16-­‑bytes ¡aligned ¡ foo: ¡... ¡... test ¡[esp],0x0f ¡ret test ¡eax,7 § fast ¡bit ¡tes%ng ¡ ¡call ¡eax next_1: ·√ ¡ performance ¡overhead bar: § No ¡IDs ¡ ¡... test ¡[esp],0x0f ¡ret ·√ ¡ performance ¡overhead ¡... § only ¡check ¡type ¡ fun: test ¡ecx,7 ¡call ¡ecx ¡... ·√ ¡ modularity ¡support test ¡[esp],0x0f next_2: ¡ret chao.100871.net 19

  20. Title ¡ Intui%on: ¡security § Transfer ¡targets ¡must ¡be ¡within ¡memory ¡region ¡Springboard ¡ • 27 th ¡bit ¡is ¡0 ¡ foo: ¡... ¡... test ¡[esp],M_R ¡ ¡ret test ¡eax,M_F ¡call ¡eax next_1: bar: ¡... test ¡[esp],M_R ¡ret ¡... fun: test ¡ecx,M_F ¡... ¡call ¡ecx test ¡[esp],M_R next_2: ¡ret ¡ M_F ¡= ¡0x 8000007 M_R ¡= ¡0x 800000f ¡ § Policy: ¡all ¡indirect ¡transfer ¡targets ¡must ¡be ¡aligned ¡stubs ¡in ¡Springboard. chao.100871.net 20

Download Presentation
Download Policy: The content available on the website is offered to you 'AS IS' for your personal information and use only. It cannot be commercialized, licensed, or distributed on other websites without prior consent from the author. To download a presentation, simply click this link. If you encounter any difficulties during the download process, it's possible that the publisher has removed the file from their server.

Recommend

PRACTICAL CONTROL FLOW INTEGRITY & RANDOMIZATION FOR BINARY EXECUTABLES Christos Tselas,

PRACTICAL CONTROL FLOW INTEGRITY & RANDOMIZATION FOR BINARY EXECUTABLES Christos Tselas,

PRACTICAL CONTROL FLOW INTEGRITY & RANDOMIZATION FOR BINARY EXECUTABLES Christos Tselas, AM:875 Elisjana Ymeralli, AM:801 Ioanna Ramoutsaki, AM: 812 Vasilis Glabedakis, AM: 2921 cs-457 Department: Computer Science, University of Crete

584 views • 42 slides
Control Flow Integrity Lujo Bauer 18-732 Spring 2015 Control Hijacking Arms Race Control

Control Flow Integrity Lujo Bauer 18-732 Spring 2015 Control Hijacking Arms Race Control

Control Flow Integrity Lujo Bauer 18-732 Spring 2015 Control Hijacking Arms Race Control Control Flow Flow Integrity Integrity Attacks Attacks 2 http://propercourse.blogspot.com/2010/05/i-believe-in-duct-tape.html CFI: Goal Provably

744 views • 41 slides
Control Flow Integrity for COTS Binaries Mingwei Zhang and R. Sekar Stony Brook University --

Control Flow Integrity for COTS Binaries Mingwei Zhang and R. Sekar Stony Brook University --

Control Flow Integrity for COTS Binaries Mingwei Zhang and R. Sekar Stony Brook University -- Summarized by Navid Emamdoost University of Minnesota Outline Background Control Flow attacks Control Flow Integrity Control Flow

795 views • 33 slides
MODERN MEMORY DEFENSES GRAD SEC SEP 14 2017 TODAYS PAPERS CONTROL FLOW INTEGRITY

MODERN MEMORY DEFENSES GRAD SEC SEP 14 2017 TODAYS PAPERS CONTROL FLOW INTEGRITY

MODERN MEMORY DEFENSES GRAD SEC SEP 14 2017 TODAYS PAPERS CONTROL FLOW INTEGRITY Fundamentally, code injection attacks altered the target programs control flow Recall: Confidentiality, Integrity, Availability Most integrity

937 views • 30 slides
Enforcing Un Unique Code Target Property for Control-Flow Integrity Ho Hong Hu Hu, Chenxiong

Enforcing Un Unique Code Target Property for Control-Flow Integrity Ho Hong Hu Hu, Chenxiong

Enforcing Un Unique Code Target Property for Control-Flow Integrity Ho Hong Hu Hu, Chenxiong Qian, Carter Yagmann, Simon Pak Ho Chung, William R. Harris , Taesoo Kim, Wenke Lee * 1 Control-flow attack Control-flow: the order of

692 views • 31 slides
Control-Flow Integrity Principles, Implementations, and Applications

Control-Flow Integrity Principles, Implementations, and Applications

Control-Flow Integrity Principles, Implementations, and Applications 2634 2528 2690 CFI: Goal Provably correct mechanisms

540 views • 26 slides
Taming Transactions: Towards Hardware-Assisted Control Flow Integrity using Transactional Memory

Taming Transactions: Towards Hardware-Assisted Control Flow Integrity using Transactional Memory

The 19th International Symposium on Research in Attacks, Intrusions and Defenses (RAID 2016) Taming Transactions: Towards Hardware-Assisted Control Flow Integrity using Transactional Memory Marius Muench, Fabio Pagani, Yan Shoshitaishvili,

559 views • 25 slides
Control Flow Integrity Recap Buffer overflow Mitigation techniques WOX/DEP

Control Flow Integrity Recap Buffer overflow Mitigation techniques WOX/DEP

Control Flow Integrity Recap Buffer overflow Mitigation techniques WOX/DEP Return-to-libc RoP (Return-oriented Programming) StackGuard (insert canaries on stack) PointGuard (encrypt the pointers) ASLR CFI

809 views • 42 slides
Feel me Flow: A Review of Control-Flow Integrity Methods for User and Kernel Space Irene

Feel me Flow: A Review of Control-Flow Integrity Methods for User and Kernel Space Irene

Feel me Flow: A Review of Control-Flow Integrity Methods for User and Kernel Space Irene Dez-Franco, Igor Santos DeustoTech, University of Deusto irene.diez@deusto.es isantos@deusto.es Rationale Rationale Code injection attacks Code

865 views • 61 slides
Software Control Flow Integrity Techniques, Proofs, & Security Applications Jay Ligatti summer

Software Control Flow Integrity Techniques, Proofs, & Security Applications Jay Ligatti summer

Software Control Flow Integrity Techniques, Proofs, & Security Applications Jay Ligatti summer 2004 intern work with: lfar Erlingsson and Martn Abadi 1 Motivation I: Bad things happen DoS Weak authentication Insecure

465 views • 22 slides
Automated combination of tolerance and control flow integrity countermeasures against multiple

Automated combination of tolerance and control flow integrity countermeasures against multiple

Automated combination of tolerance and control flow integrity countermeasures against multiple fault attacks on embedded systems Thierno Barry PhD Candidate in security of Embedded Systems at CEA ( the French Atomic Energy Commission )

681 views • 18 slides
CONTROL-FLOW INTEGRITY PROTECTIONS FOR MODERN SOFTWARE X IAOYANG X U , M ASOUD G HAFFARINIA , Z

CONTROL-FLOW INTEGRITY PROTECTIONS FOR MODERN SOFTWARE X IAOYANG X U , M ASOUD G HAFFARINIA , Z

C ON FIRM: EVALUATING COMPATIBILITY AND RELEVANCE OF CONTROL-FLOW INTEGRITY PROTECTIONS FOR MODERN SOFTWARE X IAOYANG X U , M ASOUD G HAFFARINIA , Z HIQIANG L IN W ENHAO W ANG , AND K EVIN W. H AMLEN T HE O HIO S TATE U NIVERSITY T HE U NIVERSITY

514 views • 15 slides
Control Flow Integrity (CFI) in the Linux kernel Kees (Case) Cook @kees_cook

Control Flow Integrity (CFI) in the Linux kernel Kees (Case) Cook @kees_cook

Control Flow Integrity (CFI) in the Linux kernel Kees (Case) Cook @kees_cook keescook@chromium.org Linux Conf AU 2020 https://outflux.net/slides/2020/lca/cfi.pdf Acknowledgment of Country Jingeri! We meet today on the traditional lands

624 views • 44 slides
Outline Return-oriented programming (ROP) Control-flow integrity (CFI) CSci 5271 More modern

Outline Return-oriented programming (ROP) Control-flow integrity (CFI) CSci 5271 More modern

Outline Return-oriented programming (ROP) Control-flow integrity (CFI) CSci 5271 More modern exploit techniques Introduction to Computer Security Announcements intermission Day 7: Defensive programming and design, part 1 Saltzer &

579 views • 15 slides
Control-Flow Integrity Zhi Wang, Xuxian Jiang North Carolina State University Outline

Control-Flow Integrity Zhi Wang, Xuxian Jiang North Carolina State University Outline

31 st IEEE Symposium on Security & Privacy, Oakland CA, May 16-19 2010 HyperSafe: A Lightweight Approach to Provide Lifetime Hypervisor Control-Flow Integrity Zhi Wang, Xuxian Jiang North Carolina State University Outline Motivation

328 views • 29 slides
Protecting Dynamic Code by Modular Control-Flow Integrity Gang Tan Department of CSE, Penn State

Protecting Dynamic Code by Modular Control-Flow Integrity Gang Tan Department of CSE, Penn State

Protecting Dynamic Code by Modular Control-Flow Integrity Gang Tan Department of CSE, Penn State Univ. At International Workshop on Modularity Across the System Stack (MASS) Mar 14 th , 2016, Malaga, Spain Cyber Insecurity 2 Blame the

804 views • 54 slides
What eHealth leaders and activists can learn from social movements Dr Helen Bevan @HelenBevan

What eHealth leaders and activists can learn from social movements Dr Helen Bevan @HelenBevan

What eHealth leaders and activists can learn from social movements Dr Helen Bevan @HelenBevan @HISA_HIC #HIC17 @HelenBevan #HIC17 The Horizons team : Change agents and change agency A small, diverse team of people within the English

292 views • 27 slides
Functional Dependencies 1 Functional Dependencies X Y is an assertion about a relation

Functional Dependencies 1 Functional Dependencies X Y is an assertion about a relation

Functional Dependencies 1 Functional Dependencies X Y is an assertion about a relation R that whenever two tuples of R agree on all the attributes of X , then they must also agree on all attributes in set Y Say X Y holds in

1.21k views • 66 slides
Natural Language Processing Info 159/259 Lecture 17: Dependency parsing (Oct 24, 2017) David

Natural Language Processing Info 159/259 Lecture 17: Dependency parsing (Oct 24, 2017) David

Natural Language Processing Info 159/259 Lecture 17: Dependency parsing (Oct 24, 2017) David Bamman, UC Berkeley Dependency syntax Syntactic structure = asymmetric, binary relations between words. Tesnier 1959; Nivre 2005 Trees A

1.42k views • 125 slides
Data Hazards Timing error or race between dependent instructions WAW Dependency/Hazard:

Data Hazards Timing error or race between dependent instructions WAW Dependency/Hazard:

Data Hazards Timing error or race between dependent instructions WAW Dependency/Hazard: Between instructions that write to the same register (or memory location) ADD R1 , R2, R3 LD R1 , 100(R5) WAR Dependency/Hazard

845 views • 25 slides
HFL: Hybrid Fuzzing on the Linux Kernel Kyungtae Kim*, Dae R. Jeong, Chung Hwan Kim ,

HFL: Hybrid Fuzzing on the Linux Kernel Kyungtae Kim*, Dae R. Jeong, Chung Hwan Kim ,

HFL: Hybrid Fuzzing on the Linux Kernel Kyungtae Kim*, Dae R. Jeong, Chung Hwan Kim , Yeongjin Jang , Insik Shin, Byoungyoung Lee * * Purdue University, KAIST, NEC Labs America, Oregon State University, Seoul National

214 views • 19 slides
Introduction to I/O 1-Slide Overview to File Management I/O Hardware I/O Application

Introduction to I/O 1-Slide Overview to File Management I/O Hardware I/O Application

CPSC 410 / 611 : Operating Systems Introduction to I/O 1-Slide Overview to File Management I/O Hardware I/O Application Interface I/O Subsystem Issues Note : much material in this set of slides comes directly from

460 views • 11 slides
Direct Inverse Control & Internal Model Control Modelling and Control of Dynamic Systems 17

Direct Inverse Control & Internal Model Control Modelling and Control of Dynamic Systems 17

Direct Inverse Control & Internal Model Control Modelling and Control of Dynamic Systems 17 Nov 2008 Jrgen Jnes and Andres Tiko Talk Outline Introduction to Control Direct Inverse Control General Training Specialized Training Demo

460 views • 41 slides
HW/SW Codesign Analysis of Control & Data Flow I ECE 522 Control and Data Edges C programs

HW/SW Codesign Analysis of Control & Data Flow I ECE 522 Control and Data Edges C programs

HW/SW Codesign Analysis of Control & Data Flow I ECE 522 Control and Data Edges C programs (and pseudo-code) are often used as prototypes because they represent high-level descriptions of system behavior However, C is sequential and cannot

572 views • 15 slides

More recommend