Shellcode - Shellcode

v hackování, a shell kód je malý kousek kódu používaný jako užitečné zatížení v vykořisťování softwaru zranitelnost. Říká se tomu „shellcode“, protože obvykle začíná a příkazový shell ze kterého může útočník ovládat napadený stroj, ale jakýkoli kousek kódu, který provádí podobný úkol, lze nazvat shell kódem. Protože funkce užitečného zatížení není omezena pouze na rozmnožování shellu, někteří navrhli, aby byl název shellcode nedostatečný.[1] Pokusy o nahrazení termínu však nezískaly široké přijetí. Shellcode je běžně psán strojový kód.

Druhy shell kódu

Shellcode může být buď místní nebo dálkový, v závislosti na tom, zda dává útočníkovi kontrolu nad strojem, na kterém běží (lokálně) nebo nad jiným strojem prostřednictvím sítě (dálkově).

Místní

Místní shell kód používá útočník, který má omezený přístup k počítači, ale může zneužít zranitelnost, například a přetečení zásobníku, v procesu s vyššími oprávněními na tomto počítači. Pokud bude úspěšně spuštěn, poskytne shell kód útočníkovi přístup k počítači se stejnými vyššími oprávněními jako cílený proces.

Dálkový

Dálkový shell kód se používá, když chce útočník cílit na zranitelný proces běžící na jiném počítači v systému lokální síť, intranet nebo vzdálená síť. Pokud bude úspěšně proveden, může shell kód poskytnout útočníkovi přístup k cílovému počítači v síti. Vzdálené kódy prostředí obvykle používají standard TCP / IP zásuvka připojení umožňující útočníkovi přístup k shellu na cílovém počítači. Takový shell kód lze rozdělit do kategorií podle toho, jak je toto připojení nastaveno: pokud shell kód naváže spojení, nazývá se to „reverzní shell“ nebo připojit zpět shell kód, protože shell kód připojuje zpět k útočníkovi. Na druhou stranu, pokud útočník naváže spojení, shell kód se nazývá a vazba protože shell kód váže do určitého portu na stroji oběti. Třetí, mnohem méně běžný typ, je opětovné použití zásuvky shell kód. Tento typ shellového kódu se někdy používá, když exploit naváže spojení se zranitelným procesem, který není uzavřen před spuštěním shell kódu. Shellcode pak může opětovné použití toto spojení komunikovat s útočníkem. Opětovné použití kódu prostředí soketu je komplikovanější, protože kód prostředí potřebuje zjistit, které připojení je třeba znovu použít, a stroj může mít otevřeno mnoho připojení.[2]

A firewall lze použít k detekci odchozích připojení vytvořených zpětným shell kódem i příchozích připojení vytvořených vazbami. Mohou tedy nabídnout určitou ochranu proti útočníkovi, i když je systém zranitelný, tím, že zabrání útočníkovi v připojení ke shellu vytvořenému shell kódem. To je jeden z důvodů, proč se někdy používá opětovné použití shell kódu soketu: nevytváří nová připojení, a proto je těžší jej detekovat a zablokovat.

Stáhněte a proveďte

Stáhněte a proveďte je typ vzdáleného shellového kódu, který stahování a vykonává nějaká forma malwaru v cílovém systému. Tento typ shellového kódu nevytvoří shell, ale spíše nařídí stroji, aby stáhl určitý spustitelný soubor ze sítě, uložil jej na disk a spustil. V dnešní době se běžně používá v drive-by download útoky, kdy oběť navštíví škodlivou webovou stránku, která se zase pokusí spustit takové stahování a spustit shell kód za účelem instalace softwaru na stroj oběti. Variace tohoto typu stahování kódů a zatížení A knihovna.[3][4] Výhody této techniky spočívají v tom, že kód může být menší, že nevyžaduje shell kód, aby se v cílovém systému objevil nový proces, a že shell code nepotřebuje kód k vyčištění cíleného procesu, protože to lze provést knihovna načtená do procesu.

Představený

Pokud je množství dat, které může útočník vložit do cílového procesu, příliš omezené na přímé provedení užitečného kódu shellu, je možné jej spustit ve fázích. Nejprve je proveden malý kousek shellového kódu (fáze 1). Tento kód poté stáhne větší část shellového kódu (fáze 2) do paměti procesu a provede jej.

Lov vajec

Toto je další forma představil shellcode, který se používá, pokud může útočník vložit do procesu větší shellcode, ale nemůže určit, kde v procesu skončí. Malý lov vajec shell kód je vložen do procesu na předvídatelném místě a spuštěn. Tento kód poté prohledá adresní prostor procesu pro větší shell kód ( vejce) a provede jej.[5]

vaječná omeleta

Tento typ shell kódu je podobný lov vajec shellcode, ale hledá několik malých bloků dat (vejce) a rekombinuje je do jednoho většího bloku ( vaječná omeleta), který je následně proveden. Používá se, když útočník může do procesu vložit pouze několik malých bloků dat.[6]

Strategie provádění shellového kódu

Exploit obvykle vloží shell kód do cílového procesu před nebo současně s využitím zranitelnosti, aby získal kontrolu nad počítadlo programů. Čítač programu je upraven tak, aby ukazoval na shell kód, poté je spuštěn a provede svůj úkol. Vložení kódu shellu se často provádí uložením kódu shellu do dat odeslaných přes síť zranitelnému procesu, jeho dodáním do souboru, který je zranitelným procesem přečten, nebo v případě místního zneužití prostřednictvím příkazového řádku nebo prostředí.

Kódování shellcode

Protože většina procesů filtruje nebo omezuje data, která mohou být vložena, je třeba často psát shell kód, který tato omezení umožňuje. To zahrnuje vytvoření kódu malého, bez nuly nebo alfanumerické. Byla nalezena různá řešení, jak tato omezení obejít, včetně:

  • Optimalizace designu a implementace ke snížení velikosti shell kódu.
  • Úpravy implementace, aby se obešla omezení v rozsahu bajtů použitých v shell kódu.
  • Samočinně se měnící kód , který před provedením upraví počet bajtů vlastního kódu, aby znovu vytvořil bajty, které je obvykle nemožné vložit do procesu.

Od té doby detekce narušení dokáže detekovat podpisy jednoduchých kódů prostředí odesílaných po síti, je často kódováno, samo-dešifrováno nebo polymorfní vyhnout se detekci.

Procento kódování

Exploits, které cílí na prohlížeče, obvykle kódují shell kód v řetězci JavaScriptu pomocí kódování procent, kódování únikové sekvence " uXXXX" nebo kódování entit.[7] Některá zneužití také zamlžují kódovaný řetězec shellcode, aby zabránili detekci pomocí IDS.

Například na IA-32 architektura, tady je, jak dva NOP Pokyny (bez provozu) budou vypadat, nejprve nekódované:

90 NOP 90 NOP
Kódované dvojité NOP:
kódování procentunescape ("% u9090")
doslovný unicode„ u9090“
Entita HTML / XML„& amp; # x9090;“ nebo „& amp; # 37008;“

Tato instrukce se používá v NOP snímky.

Nulový kód prostředí

Většina kódů je napsána bez použití nula bajtů, protože jsou určeny k vložení do cílového procesu prostřednictvím řetězce zakončené nulou. Když se zkopíruje řetězec zakončený hodnotou null, bude zkopírován až do první null včetně, ale následné bajty shellového kódu nebudou zpracovány. Když je tímto způsobem vložen shell kód, který obsahuje nuly, bude vložena pouze část shellového kódu, což znemožňuje úspěšné spuštění.

Chcete-li vytvořit bezplášťový kód z prostředí, které obsahuje nula bajtů, lze nahradit strojové instrukce, které obsahují nuly, instrukcemi, které mají stejný účinek, ale neobsahují nuly. Například na IA-32 architekturu lze nahradit touto instrukcí:

B8 01000000 MOV EAX, 1 // Nastaví registr EAX na 0x000000001

který obsahuje nuly jako součást doslovného (1 expanduje do 0x00000001) s těmito pokyny:

33C0 XOR EAX, EAX // Nastavte registr EAX na 0x00000000040 INC EAX // Zvýšení EAX na 0x00000001

které mají stejný účinek, ale kódují méně bytů a neobsahují nuly.

Alfanumerický a tisknutelný shell kód

Za určitých okolností bude cílový proces filtrovat jakýkoli bajt z vloženého kódu shellu, který není a tisknutelné nebo alfanumerické charakter. Za takových okolností je rozsah instrukcí, které lze použít k napsání shell kódu, velmi omezený. Řešení tohoto problému vydal Rix v roce Phrack 57[8] ve kterém ukázal, že je možné přeměnit jakýkoli kód na alfanumerický kód. Často používanou technikou je vytvoření samo-upravujícího kódu, protože to umožňuje kódu upravit jeho vlastní bajty tak, aby zahrnovaly bajty mimo normálně povolený rozsah, čímž se rozšíří rozsah pokynů, které může použít. Pomocí tohoto triku lze vytvořit samomodící dekodér, který zpočátku používá pouze bajty v povoleném rozsahu. Hlavní kód shellového kódu je kódován, také pouze s použitím bajtů v povoleném rozsahu. Když je spuštěn výstupní shell kód, dekodér může upravit svůj vlastní kód, aby mohl použít jakoukoli instrukci, kterou vyžaduje, aby správně fungoval, a poté pokračuje v dekódování původního shell kódu. Po dekódování shellového kódu do něj dekodér přenese řízení, takže jej lze provést jako obvykle. Ukázalo se, že je možné vytvořit libovolně složitý shell kód, který vypadá jako normální text v angličtině.[9]

Unicode proof shellcode

Používají moderní programy Unicode řetězce umožňující internacionalizaci textu. Tyto programy často převádějí příchozí ASCII řetězce do Unicode před jejich zpracováním. V Unicode jsou zakódovány řetězce UTF-16 použijte dva bajty ke kódování každého znaku (nebo čtyři bajty pro některé speciální znaky). Když ASCII (Latinka-1 řetězec se obecně transformuje na UTF-16, za každý bajt v původním řetězci se vloží nula bajtů. Obscou se ukázal v Phrack 61[10] že je možné po této transformaci napsat shellcode, který lze úspěšně spustit. Programy, které dokážou automaticky kódovat jakýkoli shell kód do alfanumerického shellového kódu odolného vůči UTF-16, existují na základě stejného principu malého samomodícího dekodéru, který dekóduje původní shellcode.

Platformy

Většina shell kódu je napsána strojový kód kvůli nízké úrovni, na které je využívaná zranitelnost poskytuje útočníkovi přístup k procesu. Shellcode je proto často vytvářen pro cílení na jednu konkrétní kombinaci procesor, operační systém a servisní balíček, nazvaný a plošina. Pro některá zneužití je nutné z důvodu omezení kladených na shell kód cílovým procesem vytvořit velmi specifický shell kód. Není však nemožné, aby jeden shellcode fungoval pro více exploitů, service packů, operačních systémů a dokonce i procesorů.[11] Takové všestrannosti se běžně dosahuje vytvořením více verzí shellového kódu, které cílí na různé platformy, a vytvořením záhlaví, které se větve na správnou verzi pro platformu, na které běží kód. Při spuštění se kód chová odlišně pro různé platformy a provádí pravou část shellového kódu pro platformu, na které běží.

Analýza Shellcode

Shellcode nelze provést přímo. Aby bylo možné analyzovat, o co se shell kód pokouší, musí být načten do jiného procesu. Jednou běžnou technikou analýzy je napsat malý program C, který obsahuje shell kód jako bajtovou vyrovnávací paměť, a poté použít ukazatel funkce nebo použít inline assembler k přenosu do něj. Další technikou je použití online nástroje, jako je shellcode_2_exe, pro vložení shell kódu do předem vytvořeného spustitelného souboru, který lze poté analyzovat ve standardním debuggeru. Existují také specializované nástroje pro analýzu kódů shellů, jako je projekt iDefense sclog, který byl původně vydán v roce 2005 jako součást balíčku Malcode Analyst Pack. Sclog je navržen tak, aby načítal externí soubory shellcode a spouštěl je v rámci protokolování API. Existují také nástroje pro analýzu kódů založené na emulaci, jako je například aplikace sctest, která je součástí balíčku libemu pro různé platformy. Dalším nástrojem pro analýzu kódů založených na emulaci, který je postaven na knihovně libemu, je scdbg, který obsahuje základní ladicí prostředí a integrované funkce pro vytváření sestav.

Viz také

Reference

  1. ^ Foster, James C .; and Price, Mike (12. dubna 2005). Zásuvky, Shellcode, portování a kódování: Využití reverzního inženýrství a kódování nástrojů pro bezpečnostní profesionály. Elsevier Science & Technology Books. ISBN  1-59749-005-9.
  2. ^ BHA (6. června 2013). "Shellcode / Socket-reuse". Citováno 2013-06-07.
  3. ^ SkyLined (11. ledna 2010). „Byl uvolněn shell a soubor LoadLibrary. Archivovány od originál dne 23. ledna 2010. Citováno 2010-01-19.
  4. ^ SkyLined (11. ledna 2010). "Stáhnout a LoadLibrary shell kód pro x86 Windows". Citováno 2010-01-19.
  5. ^ Skape (9. března 2004). "Bezpečné hledání procesu virtuálního adresního prostoru" (PDF). nologin. Citováno 2009-03-19.
  6. ^ SkyLined (16. března 2009). "w32 SEH omeletový shell kód". Skypher.com. Archivovány od originál dne 23. března 2009. Citováno 2009-03-19.
  7. ^ JavaScript velký unescape Systémy internetového zabezpečení IBM
  8. ^ Rix (8. listopadu 2001). "Psaní ia32 alfanumerických kódů prostředí". Phrack. Citováno 2008-02-29.
  9. ^ Mason, Joshua; Malý, Sam; Monrose, Fabian; MacManus, Greg (listopad 2009). „Anglický shellcode“ (PDF). Citováno 2010-01-10.
  10. ^ Obscou (13. srpna 2003). „Vytváření skořepinových kódů IA32 s ochranou Unicode“. Phrack. Citováno 2008-02-29.
  11. ^ Eugene (11. srpna 2001). „Architecture Spanning Shellcode“. Phrack. Citováno 2008-02-29.

externí odkazy