Prac%cal Control Flow Integrity & Randomiza%on for Binary - - PowerPoint PPT Presentation
Title Prac%cal Control Flow Integrity & Randomiza%on for Binary Executables Lei Duan Chao Zhang Tao Wei Zhaofeng Chen Peking University Peking University Peking University Peking University UC
Title ¡
Chao Zhang
Peking University ¡
László Szekeres
Stony Brook University
Tao Wei
Peking University UC Berkeley
Stephen McCamant
University of Minnesota
Zhaofeng Chen
Peking University
Dawn Song
UC Berkeley
Lei Duan
Peking University
Wei Zou
Peking University
Title ¡
code ¡injec%on code ¡re-‑use Info ¡Leakage buffer ¡overflow ¡... ret2libc, ¡ ¡ROP W ¡⊗ X ? ASLR
2 chao.100871.net
...
Title ¡
§ > ¡5,000 ¡CVE ¡vulnerabili%es ¡each ¡year. ¡
§ Vulnerabili%es ¡are ¡exploited ¡millions ¡of ¡%mes.
0 ¡ 1,000 ¡ 2,000 ¡ 3,000 ¡ 4,000 ¡ 5,000 ¡ 6,000 ¡ 7,000 ¡ 2006 ¡ 2007 ¡ 2008 ¡ 2009 ¡ 2010 ¡ 2011 ¡ 2012 ¡
#cve ¡
3 chao.100871.net
Symantec ¡Internet ¡Security ¡Threat ¡Report
Title ¡
§ Control ¡Flow ¡Integrity, ¡CFI ¡[CCS’05] ¡ § Security ¡policy ¡
§ A ¡founda%on ¡for ¡other ¡low-‑level ¡code ¡defenses ¡
§ Determinis%c, ¡not ¡probabilis%c ¡defense ¡
4 chao.100871.net
Title ¡ chao.100871.net
§ condi%onal ¡jump ¡(jz ¡…): ¡target ¡rela%ve ¡address ¡ § direct ¡jump/call: ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡target ¡rela%ve ¡or ¡absolute ¡address ¡ § indirect ¡jump/call: ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡target? ¡(read ¡or ¡computed ¡from ¡memory) ¡ § return: ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡target ¡return ¡address ¡on ¡the ¡stack ¡
5
Title ¡ chao.100871.net
Control ¡Transfer ¡Method Transfer ¡Targets Integrity ¡ Protec8on Excep%ons Excep%on ¡handlers SafeSEH, ¡ ¡SEHOP Direct ¡CALL/JMP, ¡ Condi%onal ¡jump ¡(JZ...) Hard-‑coded ¡func%on ¡pointers ¡ (embedded ¡in ¡the ¡code) W⊗X Indirect ¡CALL/JMP In-‑memory ¡func%on ¡pointers CFI RET ¡instruc%ons On-‑stack ¡return ¡addresses /GS, ¡shadow ¡stack, ¡ CFI
6
Title ¡ chao.100871.net
§ build ¡Control ¡Flow ¡Graph ¡
7
¡call ¡eax foo: ¡... ¡... next_1: ¡ret bar: ¡... ¡ret fun: ¡... ¡call ¡ecx ¡... next_2: ¡ret
Title ¡ chao.100871.net
§ build ¡Control ¡Flow ¡Graph ¡ § binary ¡rewri%ng ¡
8
¡call ¡eax ID_1 foo: ¡... ¡... next_1: ¡ret bar: ¡... ¡ret fun: ¡... ¡call ¡ecx ¡... next_2: ¡ret check ¡ID_1
Title ¡ chao.100871.net
9
§ build ¡Control ¡Flow ¡Graph ¡ § binary ¡rewri%ng ¡ § diversity ¡of ¡IDs ¡
¡call ¡eax foo: ¡... ¡... next_1: ¡ret bar: ¡... ¡ret fun: ¡... ¡call ¡ecx ¡... next_2: ¡ret check ¡ID_1 ID_1 ID_1 ID_1 check ¡ID_1
Title ¡ chao.100871.net
10
¡call ¡eax foo: ¡... ¡... next_1: ¡ret bar: ¡... ¡ret fun: ¡... ¡call ¡ecx ¡... next_2: ¡ret check ¡ID_1 ID_1 ID_1 ID_1 check ¡ID_1 ID_2 check ¡ID_2 ID_2 check ¡ID_2 check ¡ID_2
§ build ¡Control ¡Flow ¡Graph ¡ § binary ¡rewri%ng ¡ § diversity ¡of ¡IDs ¡ § all ¡indirect ¡transfers ¡
Title ¡ chao.100871.net
§ performance ¡overhead: ¡average ¡15%, ¡max ¡46% ¡ ¡
11
Ø ID ¡is ¡embedded ¡in ¡a ¡slow ¡
Ø executed ¡each ¡%me ¡the ¡transfer ¡
target ¡is ¡reached ¡
Ø introduce ¡overhead ¡even ¡if ¡foo ¡
ü most ¡calls/jumps ¡are ¡direct ¡
¡call ¡eax foo: ¡... ¡... next_1: ¡ret check ¡ID_1 ID_1 ¡call ¡foo ¡...
Title ¡ chao.100871.net
§ performance ¡overhead ¡ § modularity ¡support ¡
12
libc module_A
¡call ¡printf ¡... ID_A
module_B
¡call ¡printf ¡... ID_B printf: ¡... ¡ret check ¡which ¡ID?
Title ¡ chao.100871.net
§ performance ¡overhead ¡ § modularity ¡support ¡ § backward ¡compa%bility ¡
13
unhardened module hardened module ¡call ¡eax foo: ¡... ¡... next_1: ¡ret bar: ¡... ¡ret check ¡ID_1 ID_1 ID_1
test: ¡... ¡ret
Title ¡ chao.100871.net
§ performance ¡overhead ¡ § modularity ¡support ¡ § backward ¡compa%bility ¡ § source ¡code/debug ¡info ¡dependency ¡
14
Title ¡
§ A ¡light-‑weight ¡CFI ¡solu%on ¡with ¡a ¡strong ¡protec%on ¡
15 chao.100871.net
·√ ¡performance ¡overhead ·√ ¡modularity ¡support ·√ ¡backward ¡compatibility ·√ ¡source ¡code ¡independent
Title ¡
§ ASLR ¡and ¡W⊗X (e.g. DEP) are deployed § NO self-modifying code or dynamically generated
§ Limited ¡informa%on ¡disclosure ¡vulnerabili%es ¡
16 chao.100871.net
Title ¡
§ Mo%va%on ¡ § Intui%on ¡& ¡Design ¡ § Implementa%on ¡ § Security ¡Enhancement ¡ § Evalua%on ¡ § Conclusion
17 chao.100871.net
Title ¡ chao.100871.net
18
§ Checking ¡transfer ¡targets’ ¡kind, ¡rather ¡than ¡IDs ¡
Title ¡ chao.100871.net
§ memory ¡alignment ¡
19
¡call ¡eax foo: ¡... ¡... next_1: ¡ret bar: ¡... ¡ret fun: ¡... ¡call ¡ecx ¡... next_2: ¡ret test ¡eax,7 test ¡ecx,7 test ¡[esp],0x0f test ¡[esp],0x0f test ¡[esp],0x0f
·√ ¡performance ¡overhead
§ fast ¡bit ¡tes%ng ¡ § No ¡IDs ¡ § only ¡check ¡type ¡
·√ ¡modularity ¡support ·√ ¡performance ¡overhead
Title ¡ chao.100871.net
§ Transfer ¡targets ¡must ¡be ¡within ¡memory ¡region ¡Springboard ¡
¡ ¡
§ Policy: ¡all ¡indirect ¡transfer ¡targets ¡must ¡be ¡aligned ¡stubs ¡in ¡Springboard.
20
¡call ¡eax foo: ¡... ¡... next_1: ¡ret bar: ¡... ¡ret fun: ¡... ¡call ¡ecx ¡... next_2: ¡ret test ¡eax,M_F test ¡ecx,M_F test ¡[esp],M_R ¡ test ¡[esp],M_R test ¡[esp],M_R
M_R ¡= ¡0x 800000f M_F ¡= ¡0x 8000007
Title ¡
21
§ Springboard ¡vs. ¡normal ¡code ¡sec%on ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡(27th ¡bit) ¡ § Entries ¡in ¡the ¡Springboard ¡are ¡all ¡aligned. ¡(0-‑2 ¡bits) ¡ § Three ¡kinds ¡of ¡stubs ¡in ¡Springboard ¡
§ normal ¡ret-‑stubs ¡cannot ¡return ¡into ¡the ¡middle ¡of ¡sensi%ve ¡func%ons ¡
§ One ¡or ¡two ¡fast ¡bit ¡tes%ng ¡instruc%ons ¡are ¡sufficient
Executable ? Bits Meaning 27 26 3 2-‑0
No * * * *** Non-‑executable ¡sec%on Yes 1 * * *** Normal ¡code ¡sec%on Yes * * !000 Invalid ¡entry ¡in ¡Springboard Yes * 1 000 fp-‑stub ¡entry ¡in ¡Springboard Yes 1 000 Sensi%ve ¡ret-‑stub ¡entry ¡in ¡Springboard Yes 000 Normal ¡ret-‑stub ¡entry ¡in ¡Springboard
chao.100871.net
Title ¡
22 chao.100871.net
§ Find ¡out ¡all ¡indirect ¡transfer ¡instruc%ons ¡and ¡their ¡targets ¡
§ Redirect ¡transfer ¡targets ¡to ¡aligned ¡stubs ¡in ¡Springboard ¡ § Validate ¡transfer ¡targets ¡
§ Verify ¡the ¡hardened ¡binary ¡
Title ¡
§ Mo%va%on ¡ § Intui%on ¡& ¡Design ¡ § Implementa%on ¡ § Security ¡Enhancement ¡ § Evalua%on ¡ § Conclusion
23 chao.100871.net
Title ¡
§ Target: ¡normal ¡binaries ¡generated ¡by ¡modern ¡compilers ¡
§ On ¡Windows, ¡it ¡implies ¡the ¡executable ¡contains ¡reloca%on ¡informa%on ¡ § We ¡can ¡iden%fy ¡all ¡legal ¡func%on ¡pointers ¡(indirect ¡call/jmps’ ¡targets) ¡
§ Automa%cally ¡disassemble ¡most ¡of ¡normal ¡binaries ¡
chao.100871.net 24
·√ ¡performance ¡overhead ·√ ¡modularity ¡support ·√ ¡backward ¡compatibility ·√ ¡source ¡code ¡independent
Title ¡ chao.100871.net
25
§ Policy: ¡all ¡indirect ¡transfers ¡are ¡enforced ¡to ¡aligned ¡stubs ¡in ¡Springboard.
§ Validate ¡ret’s ¡target. ¡
Protected ¡code ¡section Springboard ¡section Original ¡code ¡section
1 2 5 6 3 4
call ¡eax ret
1 2 3 4 5 6 3'
Direct ¡control ¡transfer Indirect ¡control ¡transfer ret
validate
mov ¡eax, ¡5 call ¡eax mov ¡eax, ¡5
Title ¡
26
§ Policy: ¡all ¡indirect ¡transfers ¡are ¡enforced ¡to ¡aligned ¡stubs ¡in ¡Springboard.
§ Validate ¡ret’s ¡target. ¡
§ Redirect ¡ret’s ¡target. ¡
chao.100871.net
Protected ¡code ¡section Springboard ¡section Original ¡code ¡section
1 2 5 6 3 4
ret
1 2' 3 4 2'' 5 6 3'
Direct ¡control ¡transfer Indirect ¡control ¡transfer call ¡eax ret
validate
call ¡eax mov ¡eax, ¡5 mov ¡eax, ¡5
Title ¡
27
§ Policy: ¡all ¡indirect ¡transfers ¡are ¡enforced ¡to ¡aligned ¡stubs ¡in ¡Springboard.
§ Validate ¡ret’s ¡target. ¡
§ Redirect ¡ret’s ¡target. ¡
§ Validate ¡call’s ¡target. ¡
chao.100871.net
Protected ¡code ¡section Springboard ¡section Original ¡code ¡section
1 2 5 6 3 4
ret
1 2' 3 4 2'' 5' 5 6 3'
Direct ¡control ¡transfer Indirect ¡control ¡transfer ret
validate
call ¡eax mov ¡eax, ¡5 mov ¡eax, ¡5 call ¡eax
validate
Title ¡
28
§ Policy: ¡all ¡indirect ¡transfers ¡are ¡enforced ¡to ¡aligned ¡stubs ¡in ¡Springboard.
§ Validate ¡ret’s ¡target. ¡
§ Redirect ¡ret’s ¡target. ¡
§ Validate ¡call’s ¡target. ¡
§ Redirect ¡call’s ¡target. ¡
chao.100871.net
Protected ¡code ¡section Springboard ¡section Original ¡code ¡section
1 2 5 6 3 4
ret
1 2' 3 4 2'' 5' 5 6 3'
Direct ¡control ¡transfer Indirect ¡control ¡transfer call ¡eax ret
validate validate
call ¡eax mov ¡eax, ¡5 mov ¡eax, ¡5'
Title ¡
§ redirect ¡func%on ¡pointers ¡and ¡return ¡addresses ¡
§ validate ¡transfer ¡targets ¡with ¡bit ¡tes%ng ¡instruc%ons
29 chao.100871.net
¡call ¡eax ¡call ¡eax ¡ret ¡ret next: next: ¡mov ¡eax,foo ¡mov ¡eax,foo foo: foo: ¡... ¡... ¡... ¡...
¡ret ¡ret foo: foo: ¡jmp ¡next_sb-‑2 ¡jmp ¡next_sb-‑2 next: next: foo_sb: foo_sb: ¡jmp ¡foo ¡jmp ¡foo ¡jmp ¡back ¡jmp ¡back ¡call ¡eax ¡call ¡eax next_sb: next_sb: ¡mov ¡eax,foo_sb ¡mov ¡eax,foo_sb ¡... ¡... ¡jnz ¡error ¡jnz ¡error ¡test ¡[esp],M_R ¡test ¡[esp],M_R ¡jnz ¡error ¡jnz ¡error ¡test ¡eax,M_F ¡test ¡eax,M_F ¡... ¡... ¡... ¡... ¡test ¡eax,8 ¡test ¡eax,8 ¡jz ¡error ¡jz ¡error Direct ¡control ¡transfer Indirect ¡control ¡transfer M_F ¡= ¡0x8000007 M_R ¡= ¡0x800000f ¡ ¡ ¡ ¡ ¡ ¡or M_R ¡= ¡0xC00000f M_F ¡= ¡0x8000007 M_R ¡= ¡0x800000f ¡ ¡ ¡ ¡ ¡ ¡or M_R ¡= ¡0xC00000f
Title ¡ chao.100871.net
§ With ¡the ¡support ¡of ¡W⊗X, we can skip redirecting or
§ call ¡foo ¡
§ call ¡[imp_foo] ¡
§ jmp ¡jump_table[eax*4] ¡
30
·√ ¡performance ¡overhead ·√ ¡modularity ¡support ·√ ¡backward ¡compatibility ·√ ¡source ¡code ¡independent
Title ¡
§ With ¡a ¡full ¡deployment ¡(i.e., ¡all ¡modules ¡hardened), ¡ ¡
§ With ¡incremental ¡deployment, ¡such ¡issues ¡occur ¡when ¡
31 chao.100871.net
·√ ¡performance ¡overhead ·√ ¡modularity ¡support ·√ ¡backward ¡compatibility ·√ ¡source ¡code ¡independent
Title ¡
§ Challenge ¡
§ the ¡loader ¡will ¡update ¡IAT ¡ § we ¡cannot ¡sta%cally ¡rewrite ¡IAT ¡entries ¡
(func%on ¡pointers) ¡
§ Solu%on ¡
32 chao.100871.net mov ¡ecx,[foo_slot] .iat: ¡... foo_slot: ¡ ¡ ¡foo call ¡ecx points ¡to Springboard ¡ ¡ ¡jmp ¡[foo_slot] foo_sb:
IAT_wrapper
mov ¡ecx, ¡[foo_slot_wrap] .iat: ¡... foo_slot: ¡ ¡ ¡foo ¡ foo_slot_wrap: ¡ ¡ ¡foo_sb points ¡to call ¡ecx
Title ¡
§ Challenge ¡
non-‑redirected ¡func%on ¡
check ¡will ¡fail ¡
§ Solu%on ¡
33 chao.100871.net
Springboard ¡ ¡ ¡jmp ¡gpa_wrapper gpa_sb:
IAT_wrapper
mov ¡ecx, ¡[gpa_slot_wrap] .iat: ¡... gpa_slot: ¡GetProcAddress gpa_slot_wrap: ¡ ¡ ¡gpa_sb points ¡to call ¡ecx gpa_wrap: #fill ¡new ¡stub call ¡[gpa_slot] #ret ¡stub ¡ptr ¡... ¡... call ¡eax ¡;GPA’s ¡ret ¡value mov ¡ecx,[gpa_slot] .iat: ¡... gpa_slot: ¡GetProcAddress call ¡ecx points ¡to call ¡eax ¡;GPA’s ¡ret ¡value
Title ¡
§ whether ¡a ¡given ¡binary ¡conforms ¡to ¡security ¡rules? ¡
34 chao.100871.net
Title ¡
§ Mo%va%on ¡ § Intui%on ¡& ¡Design ¡ § Implementa%on ¡ § Security ¡Enhancement ¡ § Evalua%on ¡ § Conclusion
35 chao.100871.net
Title ¡
§ Sensi%ve ¡func%ons ¡
§ Policy: ¡
§ i.e., ¡their ¡addresses ¡are ¡never ¡taken ¡except ¡hard-coded ¡in ¡instruc%ons ¡
§ Benefit: ¡
36 chao.100871.net
Title ¡
§ Policy: ¡
§ It ¡provides ¡an ¡extra ¡layer ¡of ¡protec%on ¡from ¡the ¡
37 chao.100871.net
Title ¡
§ return-‑to-‑libc ¡ § jump-‑to-‑libc ¡
§ ROP ¡
§ much ¡longer, ¡hard ¡to ¡chain. ¡
38 chao.100871.net
libc
system(): system(): ¡... ¡... printf(): printf(): ¡... ¡...
¡ret ¡ret foo(): foo(): ¡... ¡... test ¡[esp], test ¡[esp], NO ¡ret-‑stub ¡for ¡ system() ret-‑stub ¡for ¡printf() ¡is ¡ randomized
(info ¡leakage ¡is ¡needed) ¡
Title ¡
§ Mo%va%on ¡ § Intui%on ¡& ¡Design ¡ § Implementa%on ¡ § Security ¡Enhancement ¡ § Evalua%on ¡ § Conclusion
39 chao.100871.net
Title ¡
§ SPECint2000, ¡average ¡3.6%, ¡max ¡8.6% ¡ § SPECfp2000, ¡average ¡0.59%, ¡max ¡3.98%
40 chao.100871.net
Title ¡
§ SPECint2000 ¡& ¡SPECfp2000, ¡ ¡ ¡10s ¡seconds
41 chao.100871.net
Title ¡
§ Mona ¡is ¡used ¡to ¡count ¡ROP ¡gadgets ¡ § Valid ¡gadgets ¡must ¡start ¡from ¡ret-‑stubs ¡in ¡Springboard ¡
42
SPECfp2000 ¡ ¡ App
#gadgets new ¡ #gadgets valid ¡ #gadgets
wupwise 255 swim 116 134 mgrid 161 166 applu 182 172 mesa 21696 galgel 1515 952 art 1874 equake 1710 facerec 826 775 ROP ¡gadgets ¡count ¡(part)
Title ¡
43 chao.100871.net
Title ¡
§ Mo%va%on ¡ § Intui%on ¡& ¡Design ¡ § Implementa%on ¡ § Security ¡Enhancement ¡ § Evalua%on ¡ § Conclusion
44 chao.100871.net
Title ¡
§ Performance ¡and ¡compa%bility ¡issues ¡limit ¡the ¡adop%on ¡of ¡
§ CCFIR ¡is ¡a ¡lightweight ¡CFI ¡solu%on ¡providing ¡a ¡strong ¡
§ CCFIR ¡overcomes ¡the ¡performance ¡and ¡compa%bility ¡issues, ¡
45 chao.100871.net
Title ¡
46