rop is s ll dangerous breaking modern defenses
play

ROP is S(ll Dangerous: Breaking Modern Defenses David - PowerPoint PPT Presentation

Aug 04, 2023 •592 likes •712 views

ROP is S(ll Dangerous: Breaking Modern Defenses David Wagner Nicholas Carlini Return Oriented Programming Basic ROP Mo(va(ons DEP Data

  1. ROP ¡is ¡S(ll ¡Dangerous: ¡Breaking ¡ Modern ¡Defenses ¡ David ¡Wagner ¡ Nicholas ¡Carlini ¡

  2. Return ¡Oriented ¡Programming ¡ • Basic ¡ROP ¡ – Mo(va(ons ¡ • DEP ¡– ¡Data ¡Execu(on ¡Preven(on ¡ – Goal ¡ • Cause ¡malicious ¡computa(on ¡without ¡injec(ng ¡code ¡ – How ¡it ¡works ¡ • Need ¡control ¡of ¡execu(on ¡flow ¡ • Gadgets ¡ – One ¡or ¡more ¡machine ¡instruc(ons ¡that ¡already ¡exist ¡in ¡text ¡of ¡ binary ¡

  3. ROP ¡Specifics ¡ • Call ¡ – Pushes ¡address ¡of ¡ next ¡machine ¡ instruc(on ¡onto ¡stack ¡ – Copies ¡into ¡PC ¡ address ¡of ¡branch ¡ target ¡ • Ret ¡ – Pops ¡word ¡from ¡top ¡ of ¡stack ¡to ¡PC ¡

  4. Defenses ¡Arise ¡ • 2 ¡broad ¡categories ¡ – Compile ¡(me ¡defenses ¡ • Recompile ¡binary ¡to ¡remove ¡gadgets ¡or ¡enforce ¡CFI ¡ – Run(me ¡defenses ¡ • Focus ¡of ¡this ¡paper ¡ • Kernel ¡code ¡checks ¡for ¡ROP ¡while ¡program ¡execu(ng ¡ • kBouncer ¡& ¡ROPecker ¡ • Hardware ¡Help ¡ – Intel’s ¡Last ¡Branch ¡Record ¡ • Records ¡16 ¡most ¡recent ¡indirect ¡branches ¡ • kBouncer ¡and ¡ROPecker ¡rely ¡on ¡this ¡

  5. Weaknesses ¡in ¡Today’s ¡Defenses ¡ • Call-­‑Preceded ¡ROP ¡ – Defenses ¡assume ¡ROP ¡will ¡consist ¡of ¡returns ¡to ¡ non-­‑call-­‑preceded ¡instruc(ons ¡ • Evasion ¡ – Chain ¡together ¡gadgets ¡in ¡a ¡way ¡that ¡they ¡do ¡not ¡ fit ¡defense’s ¡defini(on ¡of ¡malicious ¡ • History ¡Flushing ¡ – Chain ¡together ¡gadgets ¡in ¡a ¡way ¡that ¡malicious ¡ sequences ¡are ¡not ¡visible ¡to ¡defense ¡

  6. kBouncer ¡ • Uses ¡LBR ¡to ¡trace ¡recent ¡execu(on ¡and ¡detect ¡ROP ¡ • Inspec(on ¡runs ¡whenever ¡process ¡issues ¡system ¡call ¡ – 2 ¡checks ¡ • All ¡Ret ¡instruc(ons ¡in ¡LBR ¡previously ¡returned ¡to ¡call-­‑preceded ¡ addresses ¡ • No ¡more ¡than ¡7 ¡most ¡recent ¡indirect ¡branches ¡can ¡be ¡“gadget-­‑ like” ¡ – Exists ¡flow ¡of ¡execu(on ¡from ¡1 st ¡instruc(on ¡in ¡sequence ¡to ¡any ¡other ¡ indirect ¡branch ¡in ¡under ¡20 ¡instruc(ons ¡ • Problema(c ¡Assump(ons ¡ – Syscall ¡interface ¡ • Prepare ¡syscall ¡args ¡w/ ¡history ¡hiding ¡a_ack ¡and ¡issue ¡ syscall ¡w/ ¡evasion ¡a_ack ¡

  7. ROPecker ¡ • Runs ¡more ¡frequently ¡and ¡inspects ¡more ¡ thoroughly ¡compared ¡to ¡kBouncer ¡ – executable ¡set ¡ – Looks ¡into ¡future ¡as ¡well ¡as ¡past ¡ • Kill ¡process ¡if ¡11 ¡or ¡more ¡gadget-­‑like ¡sequences ¡of ¡ instruc(ons ¡are ¡executed ¡during ¡emula(on ¡ • Implica(ons ¡

  8. Fully ¡Call-­‑Preceded ¡A_acks ¡ • All ¡gadgets ¡start ¡with ¡an ¡instruc(on ¡ immediately ¡following ¡a ¡call ¡instruc(on ¡ • Insert ¡long ¡call-­‑preceded ¡gadget ¡every ¡few ¡ instruc(ons ¡to ¡evade ¡defenses ¡ • Experiment ¡with ¡10 ¡70KB ¡or ¡larger ¡binaries ¡ – Possible ¡exploit ¡strategy ¡for ¡all ¡10 ¡

  9. Real ¡World ¡Exploits ¡ • kBouncer ¡ – Mplayer ¡Lite ¡r33063 ¡ – Adobe ¡Reader ¡9.3.4 ¡ – Adobe ¡Flash ¡11.3.300 ¡ – Internet ¡Explorer ¡8 ¡ • ROPecker ¡ – hteditor ¡ – Both ¡pure ¡evasion ¡and ¡history ¡hiding ¡methods ¡ worked ¡

  10. Related ¡Work ¡ • ASLR ¡ – Make ¡more ¡difficult ¡to ¡inject ¡shellcode, ¡conduct ¡ROP ¡ a_acks ¡ • CFI ¡ – Restrict ¡branches ¡to ¡follow ¡control ¡flow ¡graph ¡ • Other ¡run(me ¡defenses ¡ – ROPGuard ¡ • Shadow ¡stack ¡ • Recompila(on-­‑based ¡defenses ¡ – Remove ¡gadgets ¡from ¡binaries, ¡encrypt ¡return ¡addresses ¡ – Return-­‑less ¡kernel ¡ • Table ¡of ¡valid ¡return ¡sites ¡

  11. Conclusion ¡ • Misconcep(ons ¡ – ROP ¡a_acks ¡only ¡consist ¡of ¡short ¡gadgets ¡ – ROP ¡a_acks ¡cannot ¡be ¡effec(vely ¡mounted ¡in ¡call-­‑ preceded ¡manner ¡ • Future ¡Goals ¡ – Iden(fy ¡characteris(cs ¡that ¡are ¡fundamental/ essen(al ¡to ¡ROP ¡ – Make ¡it ¡impossible ¡to ¡hide ¡malicious ¡execu(on ¡ from ¡kernel ¡

Download Presentation
Download Policy: The content available on the website is offered to you 'AS IS' for your personal information and use only. It cannot be commercialized, licensed, or distributed on other websites without prior consent from the author. To download a presentation, simply click this link. If you encounter any difficulties during the download process, it's possible that the publisher has removed the file from their server.

Recommend

Modern client-side defenses Deian Stefan Today How can we build flexible and secure client-side

Modern client-side defenses Deian Stefan Today How can we build flexible and secure client-side

CSE 127: Computer Security Modern client-side defenses Deian Stefan Today How can we build flexible and secure client-side web applications (from vulnerable/untrusted components) Modern web sites are complicated Modern web sites are

709 views • 57 slides
Modern client-side defenses Deian Stefan Today How can we build flexible and secure client-side

Modern client-side defenses Deian Stefan Today How can we build flexible and secure client-side

CSE 127: Computer Security Modern client-side defenses Deian Stefan Today How can we build flexible and secure client-side web applications (from vulnerable/untrusted components) Modern web sites are complicated Many acting parties on a site

867 views • 62 slides
Modern client-side defenses Deian Stefan Today How can we use sophisticated isolation

Modern client-side defenses Deian Stefan Today How can we use sophisticated isolation

Modern client-side defenses Deian Stefan Today How can we use sophisticated isolation and interaction between components to develop flexible, interesting web applications, while protecting confidentiality and integrity Today

1.46k views • 110 slides
MODERN MEMORY DEFENSES GRAD SEC SEP 14 2017 TODAYS PAPERS CONTROL FLOW INTEGRITY

MODERN MEMORY DEFENSES GRAD SEC SEP 14 2017 TODAYS PAPERS CONTROL FLOW INTEGRITY

MODERN MEMORY DEFENSES GRAD SEC SEP 14 2017 TODAYS PAPERS CONTROL FLOW INTEGRITY Fundamentally, code injection attacks altered the target programs control flow Recall: Confidentiality, Integrity, Availability Most integrity

937 views • 30 slides
The Most Dangerous Code in the Browser Stefan Heule, Devon Rifkin, Alejandro Russo, Deian Stefan

The Most Dangerous Code in the Browser Stefan Heule, Devon Rifkin, Alejandro Russo, Deian Stefan

The Most Dangerous Code in the Browser Stefan Heule, Devon Rifkin, Alejandro Russo, Deian Stefan Modern web experience Modern web experience Modern web experience Web apps Extensions AdBlock NYTimes Chase Evernote Core browser Web

591 views • 40 slides
Preference Defenses: New Value Ordinary Preference Defenses: New Value, Ordinary Course and

Preference Defenses: New Value Ordinary Preference Defenses: New Value, Ordinary Course and

Presenting a live 90 minute webinar with interactive Q&A Preference Defenses: New Value Ordinary Preference Defenses: New Value, Ordinary Course and Contemporaneous Exchange Managing the Audit Process, Mitigating Regulatory Sanctions, and

893 views • 52 slides
MODERN 1 MODERN 2 MODERN 3 MODERN 4 MODERN A peep at some distant orb has power to raise

MODERN 1 MODERN 2 MODERN 3 MODERN 4 MODERN A peep at some distant orb has power to raise

MODERN 1 MODERN 2 MODERN 3 MODERN 4 MODERN A peep at some distant orb has power to raise and purify our thoughts like a strain picture, or a passage from the grander poets. It always does one good. 5 MODERN 6 MODERN 7 MODERN 8

524 views • 24 slides
Breaking out of the box Understanding rela5onships between learning and assessment Breaking

Breaking out of the box Understanding rela5onships between learning and assessment Breaking

Dr Nick Saville Breaking out of the box Understanding rela5onships between learning and assessment Breaking out of the box - a metaphor for thinking about rela5onships and interpreta5ons breaking out breaking out of the box of the

895 views • 68 slides
jk: Using Dynamic Analysis to Crawl and Test Modern Web Applications Giancarlo Pellegrino (1) ,

jk: Using Dynamic Analysis to Crawl and Test Modern Web Applications Giancarlo Pellegrino (1) ,

jk: Using Dynamic Analysis to Crawl and Test Modern Web Applications Giancarlo Pellegrino (1) , Constantin Tschrtz (2) , Eric Bodden (2) , and Christian Rossow (1) 18th International Symposium on Research in Attacks, Intrusions and Defenses

732 views • 45 slides
Retrofitting Security in input parsing routines Jayakrishna Menon, Christophe Hauser, Yan

Retrofitting Security in input parsing routines Jayakrishna Menon, Christophe Hauser, Yan

Retrofitting Security in input parsing routines Jayakrishna Menon, Christophe Hauser, Yan Shoshitaishvili, Stephen Schwab {jmenon, hauser, schwab}@isi.edu yans@asu.edu Modern defenses Vulnerabilities Many programs are still OS defenses

702 views • 35 slides
Real-time risk definition in the transport of dangerous goods by road dangerous goods by road

Real-time risk definition in the transport of dangerous goods by road dangerous goods by road

Real-time risk definition in the transport of dangerous goods by road dangerous goods by road Chi Chiara Bersani, Claudio Roncoli B i Cl di R li University of Genova, Department of Communication, Computer and System Science DIST 16145

685 views • 39 slides
Dangerous goods make the world go round! truck with UN 1831 SULPHURIC ACID, FUMING 8+6.1 I, in

Dangerous goods make the world go round! truck with UN 1831 SULPHURIC ACID, FUMING 8+6.1 I, in

1 EASA European Association of dangerous goods Safety Advisers Dangerous goods make the world go round! truck with UN 1831 SULPHURIC ACID, FUMING 8+6.1 I, in Bolivia: The Dangerous Goods Safety Adviser (DGSA): Key Figure for Safety &

415 views • 37 slides
Dangerous goods make the world go round! truck with UN 1831 SULPHURIC ACID, FUMING 8+6.1 I, in

Dangerous goods make the world go round! truck with UN 1831 SULPHURIC ACID, FUMING 8+6.1 I, in

1 EASA European Association of dangerous goods Safety Advisers Dangerous goods make the world go round! truck with UN 1831 SULPHURIC ACID, FUMING 8+6.1 I, in Bolivia: The Dangerous Goods Safety Adviser (DGSA): Key Figure for Safety &

655 views • 34 slides
There are at least 4 types of bears indigenous to this country. They are from least dangerous

There are at least 4 types of bears indigenous to this country. They are from least dangerous

There are at least 4 types of bears indigenous to this country. They are from least dangerous to most dangerous: Teddy Bear Black Bear (U. americanus) Brown or Grizzly Bear (U. Arctos) Chicago Bear (D. Butkus) Two types exist in New Mexico

420 views • 25 slides
JSON hijacking For the modern web About me Im a researcher at PortSwigger I love

JSON hijacking For the modern web About me Im a researcher at PortSwigger I love

JSON hijacking For the modern web About me Im a researcher at PortSwigger I love hacking JavaScript let : let { let :[x=1]}=[alert(1)] I love breaking browsers @garethheyes History of JSON hijacking Array constructor attack

630 views • 44 slides
Parsing OSM XML iD OSMCha To-Fix Frontend Developer kepta kushan2020 Breaking down iD

Parsing OSM XML iD OSMCha To-Fix Frontend Developer kepta kushan2020 Breaking down iD

Parsing OSM XML iD OSMCha To-Fix Frontend Developer kepta kushan2020 Breaking down iD Breaking down iD 15% Rendering Painting 21% Javascript 64% HTML A sample of what iD is doing behind the scenes Breaking down JS 13% Draw Vector

426 views • 27 slides
Network #5: Denial of Service and Firewalls (Most Slides stolen from Dave Wagner) 1

Network #5: Denial of Service and Firewalls (Most Slides stolen from Dave Wagner) 1

Computer Science 161 Fall 2016 Popa and Weaver Network #5: Denial of Service and Firewalls (Most Slides stolen from Dave Wagner) 1 Theme of This Lecture: Why Twitter & Reddit Sucked Last Week Computer Science 161 Fall 2016

597 views • 46 slides
Botnets, Collective Defense, and Project MARS Jeff Williams Principal Group Program Manager

Botnets, Collective Defense, and Project MARS Jeff Williams Principal Group Program Manager

Botnets, Collective Defense, and Project MARS Jeff Williams Principal Group Program Manager Microsoft Malware Protection Center The Basics A Picture of Health? Location 1Q2010 2Q10 3Q10 4Q10 Delta 4.2% United States 11,025,811

468 views • 31 slides
An analysis of Social Network-based Sybil defenses Bimal Viswanath Ansley Post Krishna

An analysis of Social Network-based Sybil defenses Bimal Viswanath Ansley Post Krishna

An analysis of Social Network-based Sybil defenses Bimal Viswanath Ansley Post Krishna Gummadi Alan Mislove MPI-SWS Northeastern University SIGCOMM 2010 1 Sybil attack Fundamental problem in distributed systems Attacker

519 views • 40 slides
SoK: The Evolution of Sybil Defense via Social Networks Alessandro Epasto 1 joint work with L.

SoK: The Evolution of Sybil Defense via Social Networks Alessandro Epasto 1 joint work with L.

IEEE Symposium on Security & Privacy SAN FRANCISCO 21 ST MAY 2013 SoK: The Evolution of Sybil Defense via Social Networks Alessandro Epasto 1 joint work with L. Alvisi 2 , A. Clement 3 , S. Lattanzi 4 , A. Panconesi 1 Sapienza U.

855 views • 41 slides
CSCI 8260 Spring 2016 Computer Network Attacks and Defenses Syllabus Prof. Roberto Perdisci

CSCI 8260 Spring 2016 Computer Network Attacks and Defenses Syllabus Prof. Roberto Perdisci

CSCI 8260 Spring 2016 Computer Network Attacks and Defenses Syllabus Prof. Roberto Perdisci perdisci@cs.uga.edu Who is this course for? l Open to graduate students only l Students who complete this course successfully will receive

492 views • 20 slides
Website Fingerprinting Defenses at the Application Layer Giovanni Cherubin 1 Jamie Hayes 2 Marc

Website Fingerprinting Defenses at the Application Layer Giovanni Cherubin 1 Jamie Hayes 2 Marc

Website Fingerprinting Defenses at the Application Layer Giovanni Cherubin 1 Jamie Hayes 2 Marc Juarez 3 1 Royal Holloway University of London 2 University College London 3 imec-COSIC KU Leuven 19th July 2017, PETS17, Minneapolis, MN, USA

735 views • 17 slides
CSCI 1650: Software Security and Exploitation Introduction Vasileios (Vasilis) Kemerlis

CSCI 1650: Software Security and Exploitation Introduction Vasileios (Vasilis) Kemerlis

CSCI 1650: Software Security and Exploitation Introduction Vasileios (Vasilis) Kemerlis September 09, 2020 Department of Computer Science Brown University vpk@cs.brown.edu (Brown University) CSCI 1650 Fall 20 1 / 6 Course Overview (1/2)

238 views • 19 slides
READ AND REACT OFFENSE WHAT ITS NOT Not motion offense Motion offense is good if you

READ AND REACT OFFENSE WHAT ITS NOT Not motion offense Motion offense is good if you

READ AND REACT OFFENSE WHAT ITS NOT Not motion offense Motion offense is good if you have 5 intelligent great multi-dimensional players Most offenses are predicated on a certain type of player. Its also not an offense set

1.2k views • 87 slides

More recommend