transparent rop exploit mitigation using indirect branch
play

Transparent ROP Exploit Mitigation using Indirect Branch - PowerPoint PPT Presentation

Jan 15, 2024 •42 likes •342 views

Transparent ROP Exploit Mitigation using Indirect Branch Tracing Alexandros Perrakis Manolis Karabinakis Stelios Ninidakis Vulnerabilities Buffer overflow

  1. Transparent ¡ROP ¡Exploit ¡ Mitigation ¡using ¡Indirect ¡ Branch ¡Tracing ¡ Alexandros ¡Perrakis ¡ Manolis ¡Karabinakis ¡ Stelios ¡Ninidakis ¡

  2. Vulnerabilities ¡ • Buffer ¡overflow ¡ • Integer ¡overflow ¡ • Use ¡after ¡free ¡ • Function ¡point ¡overflow ¡ ¡ ¡

  3. Buffer ¡overflow-­‑executable ¡stack ¡ Ret ¡ Local ¡Var. ¡ Vulnerable ¡Buffer ¡ ¡ Address ¡ NEW ¡ Shellcode ¡ RET ¡

  4. Buffer ¡overflow-­‑executable ¡stack ¡ A ¡simple ¡example: ¡ ¡ ¡ ¡ ¡ ¡ ¡ Attacker ¡gets ¡access ¡with ¡that ¡program ¡ by ¡simply ¡ overflow ¡the ¡buffer ¡ . ¡ In ¡that ¡way ¡he ¡controls ¡the ¡ret ¡address ¡ where ¡he ¡ ¡can ¡locate ¡ ¡his ¡own ¡code(malicious) ¡in ¡the ¡stack. ¡ ¡ ¡

  5. Canary ¡value ¡ • Produced ¡by ¡the ¡compiler ¡ • Checked ¡at ¡run-­‑time ¡ • Canary ¡is ¡a ¡random ¡value ¡ ¡ Problems: ¡ • Can ¡be ¡disclosed ¡ • Can ¡be ¡brute-­‑forced ¡ ¡ ¡ Ret ¡ Local ¡Var. ¡ Vulnerable ¡Buffer ¡ ¡ Address ¡

  6. W ⊕ ¡X ¡ ¡ ¡ ¡ Executable Executable Executable Executable ¡ ¡ ? ¡ ? ¡ ? ¡ ¡ Stack ¡ Heap ¡ Data ¡ Text ¡ ¡ ¡ High ¡Address ¡ Low ¡Address ¡ ¡ • W ¡ ⊕ ¡X ¡ ¡Can ¡be ¡either ¡Writable ¡or ¡Executable(not ¡both) ¡ • Strong ¡defense ¡mechanism ¡against ¡buffer ¡overflow ¡ ¡ ¡

  7. How ¡about ¡ ¡DEP(Data ¡Execution ¡ Prevention) ¡ • Part ¡of ¡all ¡modern ¡operating ¡systems ¡ • Prevents ¡the ¡execution ¡of ¡injected ¡binary ¡code ¡ • Marks ¡areas ¡of ¡memory ¡as ¡executable ¡or ¡not ¡ • Offers ¡no ¡protection ¡against ¡attacks ¡that ¡rely ¡ on ¡re-­‑usable ¡code ¡ ¡

  8. ASLR(Address ¡Space ¡Layout ¡ Randomization) ¡ ¡ Randomizes ¡ ¡the ¡load ¡addresses ¡of ¡executables ¡and ¡DLLs. ¡ • Makes ¡more ¡difficult ¡for ¡an ¡attacker ¡to ¡predict ¡target ¡ • addresses ¡ A ¡mistaken ¡guess ¡is ¡not ¡usually ¡recoverable ¡due ¡to ¡the ¡ • application ¡crashing ¡ ¡ ¡ Bypassing ¡ASLR: ¡ More ¡importantly ¡If ¡ ¡a ¡process ¡is ¡fully ¡randomized ¡its ¡still ¡ • possible ¡to ¡calculate ¡the ¡base ¡address ¡of ¡a ¡DLL ¡at ¡runtime. ¡ Brute ¡forced. ¡ • ¡ ¡

  9. Runtime ¡ ¡monitoring ¡ ¡solutions ¡ Various ¡protection ¡approaches: ¡ • Performing ¡anomaly ¡detection ¡by ¡checking ¡for ¡an ¡ unusually ¡high ¡frequency ¡of ¡ret ¡instructions ¡ • Ensuring ¡the ¡integrity ¡of ¡the ¡stack, ¡or ¡ • Randomizing ¡the ¡locations ¡of ¡code ¡fragments ¡ • Dynamic ¡binary ¡instrumentation ¡allows ¡these ¡systems ¡to ¡ be: ¡ • Transparent ¡: ¡ • Enables ¡the ¡practical ¡applicability ¡of ¡protection ¡ techniques ¡ • The ¡aim ¡of ¡high ¡runtime ¡overhead ¡ • Needs ¡mitigation ¡techniques ¡ → ¡minimal ¡overhead ¡and ¡ proper ¡ ¡execution ¡of ¡the ¡protected ¡applications ¡

  10. ROP(Return ¡Oriented ¡Programming) ¡ • ¡ Allows ¡an ¡attacker ¡to ¡execute ¡code ¡in ¡the ¡presence ¡of ¡ security ¡defenses ¡ ¡ • An ¡attacker ¡gains ¡control ¡of ¡the ¡stack ¡to ¡hijack ¡ program ¡control ¡flow ¡and ¡then ¡executes ¡carefully ¡ chosen ¡instructions ¡sequences, ¡called ¡"gadgets". ¡ • ¡Each ¡gadget ¡typically ¡ends ¡in ¡a ¡return ¡instruction ¡and ¡ is ¡located ¡in ¡a ¡subroutine ¡within ¡the ¡existing ¡. ¡ ¡ • Chained ¡together, ¡these ¡gadgets ¡allow ¡an ¡attacker ¡to ¡ perform ¡arbitrary ¡operations ¡on ¡a ¡machine ¡employing ¡ defenses. ¡

  11. ROP(Return ¡Oriented ¡Programming) ¡ What ¡is ¡a ¡gadget? ¡ Sequences ¡of ¡instructions ¡ ROP ¡Chain ¡ TEXT ¡Section ¡ ending ¡with ¡an ¡indirect ¡ (Code) ¡ Addr. ¡of ¡G1 ¡ branch. ¡ G2; ¡ ret ¡ Addr. ¡of ¡G2 ¡ ¡ GN; ¡ ret ¡ Addr. ¡of ¡G3 ¡ ¡ G1; ¡ ret ¡ ¡ G3; ¡ ret ¡ ¡ Addr. ¡of ¡GN ¡

  12. ROP(Return ¡Oriented ¡Programming) ¡ Simple ¡Example: ¡ ¡ ¡ ¡ ¡ ¡ ¡ Attacker ¡overflows ¡the ¡valuable ¡buffer ¡and ¡the ¡function ¡ pointer( ¡f ¡) ¡with ¡a ¡with ¡any ¡value ¡he ¡wants. ¡ ¡ ¡ ¡ ¡

  13. ROP(Return ¡Oriented ¡Programming) ¡ Simple ¡Example: ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡D: ¡ ¡pop ¡%ecx ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ret ¡ ¡ To ¡do ¡so ¡attacker ¡must ¡know ¡how ¡the ¡memory ¡is ¡mapped. ¡ In ¡that ¡way ¡if ¡attacker ¡controls ¡esp(stack ¡point), ¡controls ¡the ¡stack. ¡If ¡ f ¡has ¡ ¡a ¡value ¡D ¡with ¡pop ¡%ecx ¡extracts ¡the ¡value ¡of ¡stack ¡and ¡puts ¡It ¡ in ¡the ¡ecx. ¡After ¡ret ¡continues ¡with ¡the ¡rest ¡of ¡the ¡gadgets. ¡ ¡ ¡

  14. Kbouncer-­‑Defense ¡to ¡ROP ¡ • Fully ¡transparent ¡ • Runtime ¡monitoring ¡the ¡executed ¡indirect ¡branches ¡ at ¡ critical ¡points ¡ • Identifies ¡and ¡blocks ¡abnormal ¡control ¡flow ¡transfers ¡ • Last ¡Branch ¡Recording ¡(LBR) ¡– ¡feature ¡of ¡Intel ¡CPUs ¡ • Implementation ¡for ¡Windows ¡7 ¡ • Minimal ¡overhead ¡ • Identifies ¡“jump-­‑oriented” ¡code ¡that ¡uses ¡ gadgets ¡ ¡

  15. LBR ¡ • Continuously ¡records ¡the ¡most ¡recent ¡branches ¡in ¡the ¡LBR ¡ stack ¡ • Limited ¡size ¡(16 ¡entries) ¡of ¡the ¡LBR ¡stack ¡ • Stack ¡can ¡be ¡accessed ¡only ¡from ¡kernel-­‑level ¡code ¡ • Does ¡not ¡provide ¡any ¡means ¡of ¡interrupting ¡execution ¡ whenever ¡the ¡stack ¡gets ¡full ¡ • Checks ¡only ¡the ¡indirect ¡branches ¡that ¡lead ¡to ¡a ¡syscall ¡ invocation ¡ ¡ ¡

  16. Syscalls ¡vs. ¡API ¡calls ¡ • Windows ¡does ¡not ¡expose ¡the ¡syscall ¡interface ¡directly ¡ to ¡user-­‑lvl ¡programs ¡ • User-­‑level ¡programs ¡– ¡OS ¡interaction ¡with ¡Windows ¡ API, ¡DLLs ¡and ¡Native ¡API ¡ ¡ • Syscall ¡numbers ¡change ¡between ¡Windows ¡versions ¡ and ¡Service ¡Pack ¡levels ¡ • Complex ¡implementation ¡of ¡Windows ¡API ¡functions ¡ → indirect ¡branches ¡after ¡the ¡Windows ¡API ¡was ¡called ¡ → LBR ¡stack ¡might ¡be ¡filled ¡with ¡these ¡branches ¡ • 34% ¡API ¡functions ¡execute ¡less ¡than ¡16 ¡indirect ¡braches ¡ ¡

  17. LBR ¡stack ¡Inspection ¡on ¡API ¡Function ¡ Entry ¡ • kBouncer ¡inspects ¡the ¡LBR ¡stack ¡at ¡the ¡time ¡an ¡ API ¡function ¡is ¡called, ¡instead ¡upon ¡system ¡call ¡ invocation ¡ • DANGER: ¡if ¡LBR ¡check ¡implementation ¡is ¡in ¡ user-­‑level ¡code ¡ • Attacker ¡can ¡bypass ¡checkpoint ¡by ¡jumping ¡ over ¡the ¡hook ¡of ¡the ¡function's ¡prologue, ¡and ¡ then ¡normally ¡executes ¡the ¡function ¡body ¡ ¡

  18. LBR ¡stack ¡Inspection ¡on ¡API ¡Function ¡ Entry ¡ • kBouncer ¡solves ¡this ¡issue ¡by ¡ensuring ¡that ¡ syscalls ¡are ¡always ¡invoked ¡solely ¡through ¡their ¡ respective ¡Windows ¡API ¡functions. ¡ i. LBR ¡check ¡at ¡an ¡API ¡funtion's ¡entry ¡ ¡ ii. if ¡LBR ¡check ¡is ¡clear, ¡kBouncer ¡writes ¡a ¡ checkpoint ¡ iii. When ¡system ¡is ¡later ¡invoked, ¡the ¡system ¡call ¡ handler ¡verifies ¡that ¡a ¡proper ¡checkpoint ¡set ¡by ¡ the ¡expected ¡API ¡function ¡and ¡clears ¡it ¡ iv. If ¡the ¡checkpoint ¡was ¡not ¡set, ¡kBouncer ¡reports ¡ a ¡violation ¡ ¡ ¡

  19. LBR ¡stack ¡Inspection ¡on ¡API ¡Function ¡ Entry ¡ API call verification kernel LBR check system DLL user space time API call system call

Download Presentation
Download Policy: The content available on the website is offered to you 'AS IS' for your personal information and use only. It cannot be commercialized, licensed, or distributed on other websites without prior consent from the author. To download a presentation, simply click this link. If you encounter any difficulties during the download process, it's possible that the publisher has removed the file from their server.

Recommend

Outline Background 8271 discussion of: Transparent LBR-based approach ROP Exploit Mitigation

Outline Background 8271 discussion of: Transparent LBR-based approach ROP Exploit Mitigation

Outline Background 8271 discussion of: Transparent LBR-based approach ROP Exploit Mitigation Using Indirect Branch Tracing Administrative break Stephen McCamant (Original paper: Vasilis Pappas, Michalis Polychronakis, and Angelos D.

471 views • 5 slides
Profile-based Indirect Call Promotion 1 Outline Motivation Indirect call promotion

Profile-based Indirect Call Promotion 1 Outline Motivation Indirect call promotion

Ivan Baev, Qualcomm Innovation Center Profile-based Indirect Call Promotion 1 Outline Motivation Indirect call promotion transformation and heuristics Results Related optimizations 2 Motivation: reduce indirect branch mispredictions

779 views • 19 slides
Oil & Gas Industry: Indirect tax By Santosh R. Sonar 12 January 2013 Oil and Gas - Indirect

Oil & Gas Industry: Indirect tax By Santosh R. Sonar 12 January 2013 Oil and Gas - Indirect

Oil & Gas Industry: Indirect tax By Santosh R. Sonar 12 January 2013 Oil and Gas - Indirect Tax 12 January 2013 1 Agenda Overview of indirect taxes Major indirect tax concerns for oil & gas sector Goods and Services

387 views • 35 slides
MITIGATION & RESILIENCE {{ Mitigating Today for a More Resilient Tomorrow Tuesday, December 3

MITIGATION & RESILIENCE {{ Mitigating Today for a More Resilient Tomorrow Tuesday, December 3

MITIGATION & RESILIENCE {{ Mitigating Today for a More Resilient Tomorrow Tuesday, December 3 rd , 2019 Mary Moran, Disaster Recovery Branch Director Torrey Glover, State Hazard Mitigation Officer Allison Curry, Natural Hazards Planning

777 views • 34 slides
Workshop 23909 1 Scope of the indirect fee regime The indirect fee regime should be

Workshop 23909 1 Scope of the indirect fee regime The indirect fee regime should be

Workshop 23909 1 Scope of the indirect fee regime The indirect fee regime should be implemented in all Croatian ports that are open to public traffic The indirect fee regime shall apply to ship related waste 2 Exemptions

526 views • 19 slides
Zero Exploit Tolerance By Jamie Butler and Cody Pierce Confidential and Proprietary Who we are

Zero Exploit Tolerance By Jamie Butler and Cody Pierce Confidential and Proprietary Who we are

Zero Exploit Tolerance By Jamie Butler and Cody Pierce Confidential and Proprietary Who we are The exploit problem Modern software vulnerabilities Hardware-assisted exploit Agenda prevention Prior research

674 views • 45 slides
1 Branch History Table of 1-bit Predictor 1-bit BHT Weakness BHT also Called Branch Example: in

1 Branch History Table of 1-bit Predictor 1-bit BHT Weakness BHT also Called Branch Example: in

Reducing Branch Penalty Branch penalty in dynamically scheduled processors: wasted cycles due to pipeline flushing on mis- predicted branches Lecture 9: Branch Prediction Reduce branch penalty: 1. Basic idea, saturating counter, BHT, Predict

248 views • 3 slides
1 Predictor for a Single Branch Branch History Table of 1-bit Predictor BHT also Called Branch

1 Predictor for a Single Branch Branch History Table of 1-bit Predictor BHT also Called Branch

Reducing Branch Penalty Branch penalty in dynamically scheduled processors: wasted cycles due to pipeline flushing on mis- predicted branches Lecture 9: Branch Prediction I Reduce branch penalty: 1. Prediction analysis, 1-bit predictor,

378 views • 3 slides
Transparent Assessment Providing transparent goals and expectations for students Jonathon Adams

Transparent Assessment Providing transparent goals and expectations for students Jonathon Adams

Transparent Assessment Providing transparent goals and expectations for students Jonathon Adams Shinshu University Thursday, 9 August 12 Outline Aims of the presentation An approach to transparent goals and expectations Example

576 views • 46 slides
aka Der Hacker und die 7 Geilein 27/03/2018 // Exploit Development for Dummies

aka Der Hacker und die 7 Geilein 27/03/2018 // Exploit Development for Dummies

Ein Blick in die Hexenkche der Exploit Entwickler aka Der Hacker und die 7 Geilein 27/03/2018 // Exploit Development for Dummies https://www.bee-itsecurity.at // Page 2 27/03/2018 // Exploit Development for Dummies

613 views • 48 slides
Q: Exploit Hardening Made Easy Edward J. Schwartz, Thanassis Avgerinos, and David Brumley

Q: Exploit Hardening Made Easy Edward J. Schwartz, Thanassis Avgerinos, and David Brumley

Q: Exploit Hardening Made Easy Edward J. Schwartz, Thanassis Avgerinos, and David Brumley Carnegie Mellon University 8/15/2011 1 Downloading Exploits I found a Exploit control flow hijack exploit online! Evil Ed Windows 7 8/15/2011 2

837 views • 58 slides
Device-Transparent Personal Storage Based on the article Eyo: Device Transparent Personal

Device-Transparent Personal Storage Based on the article Eyo: Device Transparent Personal

Device-Transparent Personal Storage Based on the article Eyo: Device Transparent Personal Storage by Jacob Strauss, Justin Mazzola Paluska, Chris Lesniewski-Laas, Bryan Ford, Robert Morris, Frans Kaashoek Eyos assumptions and API

490 views • 30 slides
------------ GOOD LUCK ON THE EXAM ----------------- 1) In Buffer Overflow exploit, which of the

------------ GOOD LUCK ON THE EXAM ----------------- 1) In Buffer Overflow exploit, which of the

------------ GOOD LUCK ON THE EXAM ----------------- 1) In Buffer Overflow exploit, which of the following registers gets overwritten with return address of the exploit code? A. EIP B. ESP C. EAP D. EEP Ans: A 2)Which type of scan does not

431 views • 18 slides
Hazard Mitigation Planning Katie Sommers State Hazard Mitigation Officer Roxanne Gray

Hazard Mitigation Planning Katie Sommers State Hazard Mitigation Officer Roxanne Gray

Hazard Mitigation Planning Katie Sommers State Hazard Mitigation Officer Roxanne Gray Mitigation Section Supervisor What is Mitigation? According to the Federal Emergency Management Agency (FEMA): Mitigation is any sustained action taken

905 views • 71 slides
Simulating Transparent Migration in Java Java doesnt provide transparent migration. non

Simulating Transparent Migration in Java Java doesnt provide transparent migration. non

Simulating Transparent Migration in Java Java doesnt provide transparent migration. non transparent programm as if mymethod(int x) mymethod() { { if ( x==1) Use code instrumentation go() go() if ( x==2) } } save local

322 views • 13 slides
Mitigation mitigation midSH()n/ noun the action of reducing the severity,

Mitigation mitigation midSH()n/ noun the action of reducing the severity,

Mitigation mitigation midSH()n/ noun the action of reducing the severity, seriousness, or painfulness of something. "the emphasis is on the identification and mitigation of pollution" Two Mitigation Issues

293 views • 27 slides
Introducing a robust multitasking operating system for real-time demands 06.05.2013 Introducing

Introducing a robust multitasking operating system for real-time demands 06.05.2013 Introducing

Introducing a robust multitasking operating system for real-time demands 06.05.2013 Introducing a robust multitasking OS Michael Fritscher 1 Agenda Introduction Architecture Function tests Benchmarks Conclusion

426 views • 23 slides
Continuous Delivery for DC/OS with Spinnaker Will Gorman @willgorman Deploying software is

Continuous Delivery for DC/OS with Spinnaker Will Gorman @willgorman Deploying software is

Continuous Delivery for DC/OS with Spinnaker Will Gorman @willgorman Deploying software is challenging Why continuous delivery? Decrease risks of deployment Decrease cost of deployment Decrease delay between feature development

643 views • 52 slides
Any Problem Here? /* File: drivers/usb/core/devio.c*/ /* define data structure

Any Problem Here? /* File: drivers/usb/core/devio.c*/ /* define data structure

UniSan : Proactive Kernel Memory Initialization to Eliminate Data Leakages Kangjie Lu, Chengyu Song, Taesoo Kim, Wenke Lee School of Computer Science, Georgia Tech Any Problem Here? /* File: drivers/usb/core/devio.c*/ /* define data

428 views • 26 slides
ASSOCIATIVE NETS AND FRAME SYSTEMS Network Representations If L is a set of labeled links and N

ASSOCIATIVE NETS AND FRAME SYSTEMS Network Representations If L is a set of labeled links and N

ASSOCIATIVE NETS AND FRAME SYSTEMS Network Representations If L is a set of labeled links and N is a set of nodes, then a network is any subset of NLN, where the order of the triples is material. Lecture 4 Associative Nets & Frames

491 views • 32 slides
Novel piezoresistive e-NOSE sensor array cell V.Stavrov a , P.Vitanov b , E.Tomerov a , E.Goranova

Novel piezoresistive e-NOSE sensor array cell V.Stavrov a , P.Vitanov b , E.Tomerov a , E.Goranova

256 views • 13 slides
Continuous Systems, Infinite Degrees of Freedom Continuous Systems Beams in Flexure Giacomo

Continuous Systems, Infinite Degrees of Freedom Continuous Systems Beams in Flexure Giacomo

Continuous Systems, Infinite Degrees of Freedom Giacomo Boffi Continuous Systems, Infinite Degrees of Freedom Continuous Systems Beams in Flexure Giacomo Boffi http://intranet.dica.polimi.it/people/boffi-giacomo Dipartimento di Ingegneria

2.85k views • 50 slides
Overview of LBNF Target Conceptual Design Selection Chris Densham (STFC Rutherford Appleton

Overview of LBNF Target Conceptual Design Selection Chris Densham (STFC Rutherford Appleton

Overview of LBNF Target Conceptual Design Selection Chris Densham (STFC Rutherford Appleton Laboratory) On behalf of combined UK and Fermilab LBNF Project team with all physics plots c/o John Back (Warwick University) Our starting point: Helium

250 views • 22 slides
Plot your teams four seismic spectra on one graph. Enter your teams seismic spectra on

Plot your teams four seismic spectra on one graph. Enter your teams seismic spectra on

January 22, 2018 presentation 1/22: Round 1 data capture & seismic spectra , Resonance https://youtu.be/7_aCYVxQsJA 1/23 & 24: Resonance continued Using Resonance Model 1/25: Earthquake-resistant Structures - class discussion, then prepare

471 views • 22 slides

More recommend