基于返回地址签名的控制流攻击检测方法

攻击者利用软件漏洞劫持程序的执行流向,将其导向恶意代码shellcode或组成恶意代码指令处并执行,最终达到控制整个系统行为的目的,这种恶意攻击方式称为控制流攻击。通过对控制流攻击原理的研究,提出了基于返回地址签名的控制流攻击检测方法。该方法首先在处理器执行程序调用指令call时,触发伪随机数发生器生成密钥K与压栈返回地址进行异或操作,利用MD5算法为异或后的压栈返回地址生成压栈签名值;然后在执行程序返回指令ret及返回地址弹出堆栈时,使用密钥K与出栈返回地址进行异或操作,异或后的出栈返回地址作为MD5算法的输入,生成出栈签名值;最后根据压栈签名值与出栈签名值是否匹配检测控制流攻击。实验结果显示:返回地址签名值具有良好的随机性且攻击者可用的控制流指令平均减少率达到81.27%,可以有效地检测因返回地址被恶意篡改而引起的控制流攻击。

基于XOR门加密的抗控制流攻击方法

控制流攻击是利用软件漏洞去劫持程序的执行流向,并将其导向预定的恶意代码或可以组成恶意代码的指令片段的一种恶性攻击方式.本文通过对控制流攻击原理的研究,提出一种基于XOR门加密抗控制流攻击方法.该方法首先在执行程序调用指令call时,利用XOR加密电路对返回地址进行加密.其次将加密后的返回地址压入堆栈和内置安全寄存器组,然后当执行程序返回指令ret时,堆栈和内置安全寄存器组中的加密返回地址经过XOR解密电路后送入地址比较器,通过返回地址比较结果检测系统是否受到控制流攻击.最后,利用TSMC 65 nm CMOS工艺,设计基于XOR门加密的抗控制流攻击处理器并验证.实验结果表明配件gadget平均消除率高达99.52%,电路面积和功耗最大开销仅分别增加5.25%和6.3%,可有效达到抗控制流攻击的目的.

进程控制流劫持攻击与防御技术综述

控制流劫持攻击是一种常见的针对计算机软件的攻击,给计算机软件安全带来了巨大的危害,是信息安全领域的研究热点。首先,从攻击代码的来源角度出发,阐述了进程控制流劫持攻击的相关研究;其次,根据控制流劫持攻击技术的发展现状,基于不同防御思想介绍了近年来国内外的相关防御技术;最后对控制流劫持攻防技术发展趋势进行总结和展望。

内存数据污染攻击和防御综述

内存数据被污染往往是程序漏洞被利用的本质所在,从功能角度把内存数据划分为控制相关和非控制相关,由此引出控制流劫持攻击和非控制数据攻击。两者危害程度相当,前者因利用成本较低而成为主流,但随着控制流劫持防御方法的不断完善,非控制数据攻击逐渐被重视。研究者先后在顶级会议上提出了数据导向攻击得自动化利用框架Data-oriented Exploits(DOE)以及图灵完备性地证明Data-oriented Programming(DOP),使得非控制数据攻击成为热点。本文基于这两种攻击形式,首先简化内存安全通用模型,并对经典内存数据污染攻击和防御的原理进行分析,其次分别论述新型控制流劫持和非控制数据攻击与防御的研究现状,最后探讨内存安全领域未来的研究方向,并给出两者协作攻击和防御的可能方案。

KMBox:基于Linux内核改造的进程异构冗余执行系统

随机化技术防御进程控制流劫持攻击,是建立在攻击者无法了解当前内存地址空间布局的基础之上,但是,攻击者可以利用内存信息泄露绕过随机化防御获得gadget地址,向程序注入由gadget地址构造的payload,继续实施控制流劫持攻击,窃取敏感数据并夺取或破坏执行软件的系统。目前,异构冗余执行系统是解决该问题的方法之一,基本思想是同一程序运行多个多样化进程,同时处理等效的程序输入。随机化技术使冗余的进程对恶意输入做出不同的输出,同时正常功能不受影响。近年来,一些符合上述描述的系统已经被提出,分析进程异构冗余执行系统的表决设计可以发现,基于ptrace的实现方法会引入大量的上下文切换,影响系统的执行效率。率先直接修改内核设计出一种进程异构冗余执行系统,表决过程完全在内核中完成,冗余的进程独立地采用内存地址空间随机化技术,构建相互异构的内存地址空间布局,在与内存信息泄露相关的系统调用处进行表决,发现泄露信息不一致,阻断进程控制流劫持攻击。即使攻击者跳过内存信息泄露进行漏洞利用,异构内存空间布局也使得注入由gadget地址构造的payload无法同时在冗余的进程中有效,阻断进程控制流劫持攻击。实现了原型系统KMBox,实验证明该系统能够有效抵御进程控制流劫持攻击,性能相较于基于ptrace的进程异构冗余执行系统有所提高。