NOP snímek - NOP slide

v zabezpečení počítače, a NOP snímek, Sáňky NOP nebo Rampa NOP je posloupnost NOP Pokyny (bez operace) znamenaly „posunout“ tok provádění instrukcí procesoru do jeho konečného požadovaného cíle, kdykoli program větve do a adresa paměti kdekoli na snímku.

Tato technika vidí běžné použití v softwaru využije, kde se používá k přímému provádění programu, když instrukce pobočky cíl není přesně znám. Mezi další pozoruhodné aplikace patří obranné programování strategie jako Programování s ohledem na EMC.

Zatímco snímek NOP bude fungovat, pokud se bude skládat ze seznamu kanonických pokynů NOP, přítomnost takového kódu je podezřelá a snadno se automaticky detekuje. Z tohoto důvodu se praktické snímky NOP často skládají z nekanonických pokynů NOP (jako je přesunutí registru k sobě nebo přidání nuly[1]), nebo instrukcí, které ovlivňují stav programu jen bezvýznamně, což je činí mnohem obtížnější identifikovat.

NOP-saně jsou nejstarší a nejznámější technikou pro využití přetečení zásobníku.[2] Řeší problém nalezení přesné adresy vyrovnávací paměti efektivním zvětšením velikosti cílové oblasti. Za tímto účelem jsou mnohem větší části zásobníku poškozeny no-op strojová instrukce. Na konci dat dodaných útočníkem, po pokynech no-op, útočník umístí pokyn k provedení relativního skoku do horní části vyrovnávací paměti, kde shell kód je umístěn. Tato kolekce no-ops se označuje jako „NOP-sled“, protože pokud je zpáteční adresa přepsána jakoukoli adresou v oblasti no-op vyrovnávací paměti, provedení bude „klouzat“ dolů po no-ops, dokud nebude skokem na konci přesměrován na skutečný škodlivý kód. Tato technika vyžaduje, aby útočník hádal, kde na hromádce jsou NOP-sáňky místo poměrně malého shellového kódu.[3]

Kvůli popularitě této techniky mnoho prodejců systémy prevence narušení bude hledat tento vzor instrukcí no-op stroje ve snaze detekovat používaný shell kód. Je důležité si uvědomit, že sáňky NOP nemusí nutně obsahovat pouze tradiční pokyny pro stroj bez operace; místo hardwarově podporovaného no-op lze použít jakoukoli instrukci, která nenaruší stav stroje do bodu, kdy nebude možné spustit shell kód. Výsledkem je, že pro autory exploitů se stalo běžnou praxí, že skládali no-op sáňky s náhodně vybranými instrukcemi, které nebudou mít žádný skutečný vliv na provedení shell kódu.[4]

I když tato metoda výrazně zvyšuje šance, že útok bude úspěšný, není to bez problémů. Exploity využívající tuto techniku ​​se stále musí spoléhat na určitou dávku štěstí, že uhodnou vyrovnání v zásobníku, který je v regionu NOP-sled.[5] Nesprávný odhad obvykle povede k selhání cílového programu a může upozornit správce systému k aktivitám útočníka. Dalším problémem je, že NOP-saně vyžadují mnohem větší množství paměti, ve kterých mohou být NOP-saně dostatečně velké, aby je bylo možné použít. To může být problém, když je přidělená velikost ovlivněné vyrovnávací paměti příliš malá a aktuální hloubka zásobníku je malá (tj. Od konce aktuálního rámce zásobníku do začátku zásobníku není mnoho místa). Navzdory svým problémům je NOP-sled často jedinou metodou, která bude fungovat pro danou platformu, prostředí nebo situaci, a jako taková je stále důležitou technikou.

Entropie snímku NOP závisí na omezeních, která jsou na něm umístěna. Pokud lze určit, že určité registry nejsou používány (to znamená, že budou nastaveny na známou hodnotu před jejich dalším použitím), mohou být na snímku NOP použity pokyny, které s nimi libovolně manipulují. Pokud je navíc zarovnání snímku NOP a ukazatele instrukce deterministické, lze v snímku NOP použít vícebajtové pokyny bez ohledu na výsledky nezarovnaného provedení. Pokud je filtrován vstup poskytující útočný vektor, do kterého mají být zavedeny snímky NOP a užitečné zatížení (například přijetí pouze tisknutelných znaků), je pole možných pokynů k zahrnutí omezeno. Zatímco pokyny, které jsou součástí rozšíření architektury (například SSE ) mohou být často pro stav programu irelevantní, nelze je použít na snímku NOP zaměřeném na počítač, na kterém není přípona podporována.

Detekce

Existuje mnoho technik k detekci přítomnosti snímků NOP v paměti. Například v roce 2005 řečtí vědci zjistili, že je lze snadno detekovat kontrolou, zda obraz paměti obsahuje zdlouhavou sekvenci bajtů, takže každý počáteční posun v sekvenci je platný a vede provedení na stejné místo.[6]

Viz také

Reference

  1. ^ corelanc0d3r (31. prosince 2011). „Výukový program pro psaní psaní, část 11: Heap Spraying Demystified“. Tým Corelan. Archivovány od originál dne 25. dubna 2015. Citováno 15. ledna 2014.
  2. ^ Vangelis (12. 12. 2004). „Stack-based Overflow Exploit: Introduction to Classical and Advanced Overflow Technique“. Wowhacker přes Neworder. Archivovány od originál (text) dne 18. srpna 2007. Citovat deník vyžaduje | deník = (Pomoc)
  3. ^ Balaban, Murat. „Přetečení vyrovnávací paměti Demystified“ (text). Enderunix.org. Citovat deník vyžaduje | deník = (Pomoc)
  4. ^ Akritidis, P .; Evangelos P. Markatos; M. Polychronakis; Kostas D. Anagnostakis (2005). „STRIDE: Polymorfní detekce saní pomocí analýzy sekvenční instrukce.“ (PDF). Sborník z 20. mezinárodní konference o bezpečnosti informací IFIP (IFIP / SEC 2005). Mezinárodní konference o bezpečnosti informací IFIP. Archivovány od originál (PDF) dne 01.09.2012. Citováno 2012-03-04.
  5. ^ Klein, Christian (září 2004). "Přetečení zásobníku" (PDF). Archivovány od originál (PDF) dne 28. 9. 2007. Citovat deník vyžaduje | deník = (Pomoc)
  6. ^ Akritidis, P .; Markatos, E. P .; Polychronakis, M .; Anagnostakis, K. (2005). STRIDE: Polymorfní detekce saní pomocí analýzy sekvenční instrukce. Bezpečnost a soukromí ve věku všudypřítomné práce na počítači: 20. mezinárodní konference o bezpečnosti informací IFIP TC11 30. května - 1. června 2005, Chiba, Japonsko. Pokrok IFIP v oblasti informačních a komunikačních technologií. 181. 375–391. doi:10.1007/0-387-25660-1_25. ISBN  978-0-387-25658-0.

externí odkazy