spectre a dependable introspec3on framework via system
play

Spectre: A Dependable Introspec3on Framework via System - PowerPoint PPT Presentation

Nov 05, 2022 •164 likes •485 views

Spectre: A Dependable Introspec3on Framework via System Management Mode Fengwei Zhang, Kevin Leach, Kun Sun, and Angelos Stavrou. In DSN'13. Presented

  1. Spectre: ¡A ¡Dependable ¡ Introspec3on ¡Framework ¡via ¡System ¡ Management ¡Mode ¡ Fengwei ¡Zhang, ¡Kevin ¡Leach, ¡Kun ¡Sun, ¡and ¡Angelos ¡Stavrou. ¡ In ¡DSN'13. ¡ ¡ ¡ Presented ¡by ¡Fengwei ¡Zhang ¡ Wayne ¡State ¡University ¡ CSC ¡6991 ¡Advanced ¡Computer ¡Security ¡ 1 ¡

  2. Agenda ¡ • Introduc3on ¡ • Background ¡ • System ¡Framework ¡ • Experimental ¡Results ¡ • Conclusion ¡ Wayne ¡State ¡University ¡ CSC ¡6991 ¡Advanced ¡Computer ¡Security ¡ 2 ¡

  3. Agenda ¡ • Introduc3on ¡ • Background ¡ • System ¡Framework ¡ • Experimental ¡Results ¡ • Conclusion ¡ Wayne ¡State ¡University ¡ CSC ¡6991 ¡Advanced ¡Computer ¡Security ¡ 3 ¡

  4. Introduc3on ¡ • Malware ¡detec3on ¡and ¡analysis ¡remain ¡an ¡open ¡ research ¡problem ¡ ¡ • ︎ Tradi3onally, ¡malware ¡detec3on ¡is ¡provided ¡by ¡ installing ¡an3-­‑malware ¡tools ¡(e.g., ¡an3-­‑virus) ¡ within ¡the ¡OS ¡ ¡ • ︎ However, ¡these ¡detec3on ¡tools ¡are ¡vulnerable ¡to ¡ malware ¡running ¡at ¡the ¡same ¡level ¡(e.g., ¡rootkits) ¡ ¡ • ︎ ’Out-­‑of-­‑box’ ¡introspec3on ¡mechanism ¡proposed ¡ for ¡malware ¡detec3on ¡and ¡analysis ¡(e.g., ¡Virtual ¡ machine ¡introspec3on) ¡ ¡ Wayne ¡State ¡University ¡ CSC ¡6991 ¡Advanced ¡Computer ¡Security ¡ 4 ¡

  5. Introduc3on ¡ • Virtual ¡Machine ¡Intropsec3on ¡(VMI) ¡systems ¡run ¡malware ¡within ¡a ¡ VM ¡and ¡use ¡analysis ¡tool ¡to ¡introspect ¡the ¡malware ¡from ¡outside ¡ ¡ • ︎ VMI ¡systems ¡have ¡been ¡widely ¡adopted ¡for ¡malware ¡detec3on ¡and ¡ analysis. ¡They ¡isolate ¡the ¡malware ¡detec3on ¡so]ware ¡from ¡a ¡ vulnerable ¡guest ¡[4, ¡5, ¡6] ¡ • Limita3ons ¡of ¡VMI ¡systems: ¡ – Large ¡Trusted ¡Compu3ng ¡Base ¡(TCB) ¡(e.g., ¡Xen ¡4.2 ¡has ¡208K ¡lines ¡of ¡ code) ¡ – Armored ¡malware ¡can ¡detect ¡the ¡presence ¡of ¡a ¡VM ¡and ¡alter ¡its ¡own ¡ execu3on ¡(e.g., ¡an3-­‑VM ¡techniques) ¡ ¡ – High ¡performance ¡overhead ¡ ¡ • We ¡present ¡Spectre, ¡a ¡dependable ¡introspec3on ¡framework ¡via ¡ system ¡management ¡mode ¡ ¡ Wayne ¡State ¡University ¡ CSC ¡6991 ¡Advanced ¡Computer ¡Security ¡ 5 ¡

  6. Agenda ¡ • Introduc3on ¡ • Background ¡ • System ¡Framework ¡ • Experimental ¡Results ¡ • Conclusion ¡ Wayne ¡State ¡University ¡ CSC ¡6991 ¡Advanced ¡Computer ¡Security ¡ 6 ¡

  7. Background ¡ System ¡Management ¡Mode ¡(SMM) ¡ ¡ • A ¡CPU ¡mode ¡on ¡the ¡x86 ¡Architecture. ¡ ¡ • A]er ¡entering ¡into ¡SMM, ¡it ¡executes ¡the ¡System ¡Management ¡ Interrupt ¡(SMI) ¡handler ¡ ¡ • SMI ¡handler ¡stores ¡at ¡a ¡sealed ¡storage ¡called ¡System ¡Management ¡ RAM ¡(SMRAM) ¡ ¡ • BIOS ¡locks ¡the ¡SMRAM, ¡and ¡the ¡SMRAM ¡is ¡inaccessible ¡from ¡any ¡ other ¡CPU ¡modes ¡ ¡ • SMM-­‑based ¡systems ¡ ¡ – Integrity ¡checking: ¡HyperGuard ¡[7], ¡HyperCheck ¡[8], ¡ – HyperSentry ¡[1] ¡ ¡ – SMM ¡rootkits ¡[3, ¡2] ¡ ¡ – Agacks ¡against ¡SMM ¡[9] ¡ ¡ Wayne ¡State ¡University ¡ CSC ¡6991 ¡Advanced ¡Computer ¡Security ¡ 7 ¡

  8. Background ¡ Basic ¡Input ¡and ¡Output ¡System ¡(BIOS) ¡and ¡ Coreboot ¡ ¡ • BIOS ¡code ¡is ¡stored ¡on-­‑vola3le ¡ROM, ¡and ¡it ¡is ¡ responsible ¡for ¡hardware ¡ini3aliza3on ¡before ¡ OS ¡starts. ¡ ¡ • Coreboot ¡is ¡an ¡open ¡source ¡project ¡aimed ¡to ¡ replace ¡the ¡BIOS ¡in ¡current ¡computer ¡ ¡ • Spectre ¡uses ¡a ¡custom ¡SMI ¡handler ¡in ¡ Coreboot ¡ ¡ ¡ Wayne ¡State ¡University ¡ CSC ¡6991 ¡Advanced ¡Computer ¡Security ¡ 8 ¡

  9. Agenda ¡ • Introduc3on ¡ • Background ¡ • System ¡Framework ¡ • Experimental ¡Results ¡ • Conclusion ¡ Wayne ¡State ¡University ¡ CSC ¡6991 ¡Advanced ¡Computer ¡Security ¡ 9 ¡

  10. System ¡Framework ¡ ¡ Target Machine Monitor S PECTRE system regularly introspects native memory on target machine Machine Check kernel data Rebuild Check kernel code Enter Report alerts semantic SMM Check program data ‘heartbeat’ data attack occured? optional custom module ... select module Wayne ¡State ¡University ¡ CSC ¡6991 ¡Advanced ¡Computer ¡Security ¡ 10 ¡

  11. System ¡Framework ¡ • Step ¡1: ¡Periodic ¡triggering ¡of ¡SMM ¡ ¡ Target Machine Monitor S PECTRE system regularly introspects native memory on target machine Machine Enter SMM Wayne ¡State ¡University ¡ CSC ¡6991 ¡Advanced ¡Computer ¡Security ¡ 11 ¡

  12. System ¡Framework ¡ • Step ¡1: ¡Periodic ¡triggering ¡of ¡SMM ¡ • Step ¡2: ¡Rebuilding ¡seman3c ¡informa3on ¡ ¡ Target Machine Monitor S PECTRE system regularly introspects native memory on target machine Machine Rebuild Enter semantic SMM data Wayne ¡State ¡University ¡ CSC ¡6991 ¡Advanced ¡Computer ¡Security ¡ 12 ¡

  13. System ¡Framework ¡ • Step ¡1: ¡Periodic ¡triggering ¡of ¡SMM ¡ • Step ¡2: ¡Rebuilding ¡seman3c ¡informa3on ¡ • Step ¡3: ¡Running ¡a ¡detec3on ¡module ¡ ¡ ¡ Target Machine Monitor S PECTRE system regularly introspects native memory on target machine Machine Check kernel data Rebuild Check kernel code Enter semantic SMM Check program data data optional custom module ... select module Wayne ¡State ¡University ¡ CSC ¡6991 ¡Advanced ¡Computer ¡Security ¡ 13 ¡

  14. System ¡Framework ¡ • Step ¡1: ¡Periodic ¡triggering ¡of ¡SMM ¡ • Step ¡2: ¡Rebuilding ¡seman3c ¡informa3on ¡ • Step ¡3: ¡Running ¡a ¡detec3on ¡module ¡ ¡ • Step ¡4: ¡Communica3on ¡with ¡monitor ¡server ¡ ¡ Target Machine ¡ Monitor S PECTRE system regularly introspects native memory on target machine Machine Check kernel data Rebuild Check kernel code Enter Report alerts semantic SMM Check program data ‘heartbeat’ data attack occured? optional custom module ... select module Wayne ¡State ¡University ¡ CSC ¡6991 ¡Advanced ¡Computer ¡Security ¡ 14 ¡

  15. Step ¡1: ¡Periodic ¡Triggering ¡of ¡SMM ¡ • Two ¡ways ¡to ¡trigger ¡an ¡SMI ¡ ¡ – So]ware-­‑based: ¡write ¡to ¡an ¡ACPI ¡port ¡specified ¡by ¡ chipsets ¡ ¡ – Hardware-­‑based: ¡NIC ¡card, ¡keyboard, ¡mouse, ¡and ¡ hardware ¡3mer ¡ ¡ • Hardware-­‑based ¡method ¡is ¡more ¡reliable ¡than ¡ so]ware-­‑based ¡method, ¡so ¡we ¡use ¡a ¡ hardware ¡3mer ¡at ¡southbridge ¡to ¡periodically ¡ assert ¡an ¡SMI ¡ ¡ Wayne ¡State ¡University ¡ CSC ¡6991 ¡Advanced ¡Computer ¡Security ¡ 15 ¡

  16. Step ¡2: ¡Rebuilding ¡Seman3c ¡Informa3on ¡ SMM ¡only ¡sees ¡the ¡raw ¡memory, ¡and ¡does ¡not ¡know ¡the ¡seman3cs ¡of ¡the ¡ • memory ¡(e.g. ¡OS ¡data ¡structures) ¡ ¡ Similar ¡to ¡the ¡seman3c ¡gap ¡problem ¡in ¡VMI ¡systems ¡ ¡ • We ¡manually ¡bridge ¡the ¡seman3c ¡gap ¡in ¡our ¡prototype, ¡automa3cally ¡ • bridging ¡(e.g., ¡Virtuoso ¡[6], ¡VMST ¡[4]) ¡ ¡ Heap List Segment Executive Process PsActiveProcessHead Static VA of KPCR Segment S 0 Heap H 0 prev Metadata... +78h Heap H 1 0xffdff000 KPCR KdVersionBlock FirstEntry next +34h Heap H 2 LastEntry Heap H 3 PEB Entry E 1 Heap H 4 Executive Process Executive Process Executive Process e.g., “lsass.exe” e.g., “explorer.exe” e.g., “System” Data... ... Heap H n Entry E 2 Other prev prev prev Executive Data... next next next Processes Heap H 0 Metadata Entry E 3 ... Segment S 0 Entry ... Heap List Segment S 1 Data... Segment S 2 Other heap ... ... Entry E n Handle Table 3 Handle Table 2 Handle Table 1 Segment S n tables Heap Process Environment Block Wayne ¡State ¡University ¡ CSC ¡6991 ¡Advanced ¡Computer ¡Security ¡ 16 ¡

Download Presentation
Download Policy: The content available on the website is offered to you 'AS IS' for your personal information and use only. It cannot be commercialized, licensed, or distributed on other websites without prior consent from the author. To download a presentation, simply click this link. If you encounter any difficulties during the download process, it's possible that the publisher has removed the file from their server.

Recommend

Spectre: A Dependable Introspec3on Framework via System Management Mode Fengwei Zhang, Kevin

Spectre: A Dependable Introspec3on Framework via System Management Mode Fengwei Zhang, Kevin

Spectre: A Dependable Introspec3on Framework via System Management Mode Fengwei Zhang, Kevin Leach, Kun Sun, and Angelos Stavrou. In DSN'13. Presented by Fengwei Zhang Wayne State University CSC 6991 Topics in Computer Security 1 Agenda

675 views • 28 slides
Spectre and Meltdown Clifford Wolf q/Talk 2018-01-30 Spectre and Meltdown Spectre

Spectre and Meltdown Clifford Wolf q/Talk 2018-01-30 Spectre and Meltdown Spectre

Spectre and Meltdown Clifford Wolf q/Talk 2018-01-30 Spectre and Meltdown Spectre (CVE-2017-5753 and CVE-2017-5715) Is an architectural security bug that effects most modern processors with speculative execution It allows a program

441 views • 16 slides
SpECTRE CCE tutorial ICERM, September 2020 Jordan Moxon, on behalf of the SpECTRE team and SXS

SpECTRE CCE tutorial ICERM, September 2020 Jordan Moxon, on behalf of the SpECTRE team and SXS

SpECTRE CCE tutorial ICERM, September 2020 Jordan Moxon, on behalf of the SpECTRE team and SXS moxon@black-holes.org I. INTRODUCTION This is a quick description on how to get up and running with the stand-alone version of the SpECTRE CCE

546 views • 6 slides
SpECTRE: Towards improved simulations of relativistic astrophysical systems Nils Deppe May 1,

SpECTRE: Towards improved simulations of relativistic astrophysical systems Nils Deppe May 1,

SpECTRE: Towards improved simulations of relativistic astrophysical systems Nils Deppe May 1, 2019 github.com/sxs-collaboration/spectre 1 Table of Contents 1 Background and motivation 2 Numerical methods 3 SpECTRE implementation

880 views • 38 slides
A SpECTRE With a New face Nils Deppe Simulating eXtreme Spacetimes Collaboration Charm ++

A SpECTRE With a New face Nils Deppe Simulating eXtreme Spacetimes Collaboration Charm ++

A SpECTRE With a New face Nils Deppe Simulating eXtreme Spacetimes Collaboration Charm ++ Workshop April 11, 2018 github.com/sxs-collaboration/spectre A SpECTRE With a New Face 1 / 21 Table of Contents 1 SpECTRE 2 The New face

623 views • 29 slides
Mutable Protection Domains: Towards a Component-based System for Dependable and Predictable

Mutable Protection Domains: Towards a Component-based System for Dependable and Predictable

Mutable Protection Domains: Towards a Component-based System for Dependable and Predictable Computing Gabriel Parmer and Richard West Computer Science Deparment Boston University Boston, MA 02215 { gabep1, richwest } @cs.bu.edu December 6,

831 views • 33 slides
Meltdown & Spectre Attacks Overview An analogy CPU cache and use it as side channel

Meltdown & Spectre Attacks Overview An analogy CPU cache and use it as side channel

Meltdown & Spectre Attacks Overview An analogy CPU cache and use it as side channel Meltdown attack Spectre attack Microsoft Interview Question Stealing A Secret Secret: 7 Guard with Memory Eraser Restricted Room CPU

732 views • 30 slides
What is the THRIVE Framework for system change? The THRIVE Framework for system change (Wolpert et

What is the THRIVE Framework for system change? The THRIVE Framework for system change (Wolpert et

What is the THRIVE Framework for system change? The THRIVE Framework for system change (Wolpert et al., 2019) is a conceptual framework for children and young peoples mental health and wellbeing developed by a collaboration of authors from the

633 views • 4 slides
Spectre/Meltdown at eCG: Rebooting 80k cores Bruno Bompastor Adrian Joian Cloud Reliability Team

Spectre/Meltdown at eCG: Rebooting 80k cores Bruno Bompastor Adrian Joian Cloud Reliability Team

Spectre/Meltdown at eCG: Rebooting 80k cores Bruno Bompastor Adrian Joian Cloud Reliability Team 2018 10 Brands In Multiple Countries NL/DE Datacenters Spectre/Meltdown - Meltdown: melts security boundaries which are normally enforced by

305 views • 26 slides
Computer System Virendra Singh Associate Professor Computer Architecture and Dependable Systems

Computer System Virendra Singh Associate Professor Computer Architecture and Dependable Systems

Computer System Virendra Singh Associate Professor Computer Architecture and Dependable Systems Lab Department of Electrical Engineering Indian Institute of Technology Bombay http://www.ee.iitb.ac.in/~viren/ E-mail: viren@ee.iitb.ac.in

714 views • 37 slides
Exploiting modern microarchitectures: Meltdown, Spectre, and other attacks Jon Masters, Computer

Exploiting modern microarchitectures: Meltdown, Spectre, and other attacks Jon Masters, Computer

Exploiting modern microarchitectures: Meltdown, Spectre, and other attacks Jon Masters, Computer Architect, Red Hat, Inc. jcm@redhat.com | @jonmasters 2 Exploiting modern microarchitectures: Meltdown, Spectre, and other attacks Overview

1.58k views • 140 slides
Exploiting modern microarchitectures: Meltdown, Spectre, and other attacks Jon Masters, Computer

Exploiting modern microarchitectures: Meltdown, Spectre, and other attacks Jon Masters, Computer

Exploiting modern microarchitectures: Meltdown, Spectre, and other attacks Jon Masters, Computer Architect, Red Hat, Inc. jcm@redhat.com | @jonmasters 2 Exploiting modern microarchitectures: Meltdown, Spectre, and other attacks Overview

2.11k views • 184 slides
10 Dependable Architectures The material of this course has been initially created by Prof. Dr. H.

10 Dependable Architectures The material of this course has been initially created by Prof. Dr. H.

EPFL, Spring 2017 10 Dependable Architectures The material of this course has been initially created by Prof. Dr. H. Kirrmann and adapted by Dr. Y-A. Pignolet & J-C. Tournier Fault Error - Failure Fault: Defect in system (bug) Error:

1.07k views • 65 slides
Behavioral Contracts and Service Substitutability: A Contribution to Dependable SOA Haldor

Behavioral Contracts and Service Substitutability: A Contribution to Dependable SOA Haldor

1 Behavioral Contracts and Service Substitutability: A Contribution to Dependable SOA Haldor Samset and Rolv Brk, Norwegian University of Science and Technology NTNU, Department of Telematics NTNU, June 2008 Dependable SOA 2 What is

555 views • 13 slides
Transient Execution Attacks: Lessons from Spectre, Meltdown, and Foreshadow Jo Van Bulck

Transient Execution Attacks: Lessons from Spectre, Meltdown, and Foreshadow Jo Van Bulck

Transient Execution Attacks: Lessons from Spectre, Meltdown, and Foreshadow Jo Van Bulck imec-DistriNet, KU Leuven jo.vanbulck@cs.kuleuven.be jovanbulck ISSE Brussels, November 6, 2018 A primer on software security Secure

897 views • 58 slides
RAIC: Architecting Dependable Systems Through Redundancy and Just-In-Time Testing For The ICSE

RAIC: Architecting Dependable Systems Through Redundancy and Just-In-Time Testing For The ICSE

RAIC: Architecting Dependable Systems Through Redundancy and Just-In-Time Testing For The ICSE 2002 Workshop on Architecting Dependable Systems Orlando, Florida, USA Chang Liu, Debra J. Richardson Information And Computer Science University

840 views • 24 slides
lti

lti

868 views • 60 slides
1

1

1

834 views • 51 slides
Prolog programming: a do-it-yourself course for beginners Day 2 Kristina Striegnitz Department

Prolog programming: a do-it-yourself course for beginners Day 2 Kristina Striegnitz Department

Prolog programming: a do-it-yourself course for beginners Day 2 Kristina Striegnitz Department of Computational Linguistics Saarland University, Saarbr ucken, Germany kris@coli.uni-sb.de http://www.coli.uni-sb.de/kris Day 2: Matching

454 views • 14 slides
Introduction to optoacoustic imaging Xos Lus Den Ben IBMI Institute of Biological and

Introduction to optoacoustic imaging Xos Lus Den Ben IBMI Institute of Biological and

Introduction to optoacoustic imaging Xos Lus Den Ben IBMI Institute of Biological and Medical Imaging 16.01.2012 Imaging: Seeing is believing IBMI Institute of Biological und Medical Imaging Imaging modalities Weissleder R. and

383 views • 24 slides
Throughput and Fairness-Aware Dynamic Network Coding in Wireless Communication Networks Pouya

Throughput and Fairness-Aware Dynamic Network Coding in Wireless Communication Networks Pouya

Throughput and Fairness-Aware Dynamic Network Coding in Wireless Communication Networks Pouya Ostovari Jie Wu Agenda Introduction Motivation and setting Proposed methods Dynamic network coding Fair dynamic network coding

262 views • 25 slides
Decoupled I/O for Data-Intensive High Performance Computing Chao Chen 1 Yong Chen 1 Kun Feng 2

Decoupled I/O for Data-Intensive High Performance Computing Chao Chen 1 Yong Chen 1 Kun Feng 2

Background and Motivation Decoupled I/O Evaluation Conclusion and Future Work Decoupled I/O for Data-Intensive High Performance Computing Chao Chen 1 Yong Chen 1 Kun Feng 2 Yanlong Yin 2 Hassan Eslami 3 Rajeev Thakur 4 Xian-He Sun 2 William D.

565 views • 19 slides
CS 356 Lecture 19 and 20 Firewalls and Intrusion Prevention Spring 2013 Review Chapter

CS 356 Lecture 19 and 20 Firewalls and Intrusion Prevention Spring 2013 Review Chapter

CS 356 Lecture 19 and 20 Firewalls and Intrusion Prevention Spring 2013 Review Chapter 1: Basic Concepts and Terminology Chapter 2: Basic Cryptographic Tools Chapter 3 User Authentication Chapter 4 Access Control

860 views • 32 slides
Lake Hood Regulation Review Overview LHD Governance Review Focus

Lake Hood Regulation Review Overview LHD Governance Review Focus

Lake Hood Regulation Review Overview LHD Governance Review Focus Some User Inputs Review Schedule Alex Moss, AIAS Planning Manager alex.moss@alaska.gov 266-2540 Oct 14, 2016 Integrity

313 views • 6 slides

More recommend