x86处理器向量条件访存指令安全脆弱性分析

单指令多数据流(Single Instruction stream,Multiple Data streams,SIMD)是一种利用数据级并行提高处理器性能的技术,旨在利用多个处理器并行执行同一条指令增加数据处理的吞吐量.随着大数据、人工智能等技术的兴起,人们对数据并行化处理的需求不断提高,这使得SIMD技术愈发重要.为了支持SIMD技术,Intel和AMD等x86处理器厂商从1996年开始在其处理器中陆续引入了MMX(MultiMedia Extensions)、SSE(Streaming SIMD Extensions)、AVX(Advanced Vector eXtensions)等SIMD指令集扩展.通过调用SIMD指令,程序员能够无需理解SIMD技术的硬件层实现细节就方便地使用它的功能.然而,随着熔断、幽灵等处理器硬件漏洞的发现,人们逐渐认识到并行优化技术是一柄双刃剑,它在提高性能的同时也能带来安全风险.本文聚焦于x86 SIMD指令集扩展中的VMASKMOV指令,对它的安全脆弱性进行了分析.本文的主要贡献如下:(1)利用时间戳计数器等技术对VMASKMOV指令进行了微架构逆向工程,首次发现VMASKMOV指令与内存页管理和CPU Fill Buffer等安全风险的相关性;(2)披露了一个新的处理器漏洞EvilMask,它广泛存在于Intel和AMD处理器上,并提出了3个EvilMask攻击原语:VMASKMOVL+Time(MAP)、VMASKMOVS+Time(XD)和VMASKMOVL+MDS,可用于实施去地址空间布局随机化攻击和进程数据窃取攻击;(3)给出了2个EvilMask概念验证示例(Proof-of-Concept,PoC)验证了EvilMask对真实世界的信息安全危害;(4)讨论了针对EvilMask的防御方案,指出最根本的解决方法是在硬件层面上重新实现VMASKMOV指令,并给出了初步的实现方案.

针对KASLR的Linux计时攻击方法

针对开启内核地址空间布局随机化(KASLR)防护的Linux系统,提出一种基于CPU预取指令的Cache计时攻击方法。Intel CPU的预取指令在预取未映射到物理地址的数据时会发生Cache失效,导致消耗的CPU时钟周期比已映射到物理地址的数据要长。根据这一特点,通过rdtscp指令获取CPU时钟周期消耗,利用计时攻击绕过KASLR技术防护,从而准确获取内核地址映射的Offset。实验结果表明,该攻击方法能够绕过Linux操作系统的KASLR防护,获得准确的内核地址映射位置,并且避免引起大量Cache失效。

Leakage Is Prohibited:Memory Protection Extensions Protected Address Space Randomization

Code reuse attacks pose a severe threat to modern applications. These attacks reuse existing code segments of vulnerable applications as attack payloads and hijack the control flow of a victim application. With high code entropy and a relatively low performance overhead, Address Space Layout Randomization(ASLR) has become the most widely explored defense against code reuse attacks. However, a single memory disclosure vulnerability is able to compromise this defense. In this paper, we present Memory Protection Extensions(MPX)-assisted Address Space Layout Randomization(M-ASLR), a novel code-space randomization scheme. M-ASLR uses several characteristics of Intel MPX to restrict code pointers in memory. We have developed a fully functioning prototype of M-ALSR, and our evaluation results show that M-ASLR:(1) offers no interference with normal operation;(2) protects against buffer overflow attacks, code reuse attacks, and other sophisticated modern attacks;and(3) adds a very low performance overhead(3.3%) to C/C++ applications.

内存地址泄漏分析与防御

高级持续性威胁(advanced persistent threat,APT)攻击通常会利用内存地址泄漏绕过地址空间布局随机化(address space layout randomization,ASLR)、利用面向返回编程技术(return-oriented programming,ROP)绕过数据执行保护(data execution prevention,DEP).针对内存地址泄漏漏洞,以漏洞实例为样本,剖析了各种造成越界内存访问的指针或对象的非法操作,以及侧信道信息泄漏漏洞,并基于造成内存泄漏的过程,给出了相应的漏洞分类.同时,从漏洞利用和攻击的过程出发,总结和归纳了内存布局随机化、内存越界读写保护、内存对象内容保护、内存对象地址随机化等对抗内存地址泄漏的防御方法,从而达到内存布局看不清、内存对象读不到、内存对象内容读不懂、关键内存地址猜不准的保护目的.最后,提出从程序设计角度提供对内存布局随机化、代码地址随机化、内存对象保护等的支持,同时与操作系统建立协作防御机制,从而构建纵深和立体的安全防御体系.

基于异常控制流识别的漏洞利用攻击检测方法

为应对APT等漏洞利用攻击的问题,提出了一种基于异常控制流识别的漏洞利用攻击检测方法。该方法通过对目标程序的静态分析和动态执行监测,构建完整的安全执行轮廓,并限定控制流转移的合法目标,在函数调用、函数返回和跳转进行控制流转移时,检查目标地址的合法性,将异常控制流转移判定为漏洞攻击,并捕获完整的攻击步骤。实验结果表明,该方法能够准确检测到漏洞利用攻击,并具备良好的运行效率,可以作为漏洞利用攻击的实时检测方案。

基于代码防泄漏的代码复用攻击防御技术

随着地址空间布局随机化被广泛部署于操作系统上,传统的代码复用攻击受到了较好的抑制.但新型的代码复用攻击能通过信息泄露分析程序的内存布局而绕过地址空间布局随机化(address space layout randomization,ASLR),对程序安全造成了严重威胁.通过分析传统代码复用攻击和新型代码复用攻击的攻击本质,提出一种基于代码防泄漏的代码复用攻击防御方法 VXnR,并在Bitvisor虚拟化平台上实现了VXnR,该方法通过将目标进程的代码页设置可执行不可读(Execute-no-Read,XnR),使代码可以被处理器正常执行,但在读操作时根据被读物理页面的存储内容对读操作进行访问控制,从而阻止攻击者利用信息泄露漏洞恶意读进程代码页的方法搜索gadgets,实验结果表明:该方法既能防御传统的代码复用攻击,还能够防御新型的代码复用攻击,且性能开销在52.1%以内.

对WehnTrust入侵防御功能的测试与分析

为了验证WehnTrust是否具有预期的检测和防御缓冲区溢出攻击的性能,设计了相关实验对其进行了测试。对该入侵防御系统的源代码进行了分析、调试,在此基础上,使用开源溢出框架Metasploit Framework进行了5种攻击实验,并针对WehnTrust所具有的特性,搭建实验环境,模拟进行了C++虚函数攻击实验、结构化异常处理攻击实验和格式化字符串攻击实验。通过分析、总结实验结果表明,WehnTrust并不完全具备研发者所声称的入侵防御性能。

Windows Vista的栈保护机制

Windows Vista应用的栈保护机制降低了利用栈溢出漏洞的可能性。该文分析Windows Vista中与栈溢出漏洞利用相关的3个安全机制:栈溢出检测、安全结构化异常处理(SAFESEH)和随机分配地址空间技术(ASLR)。结合实例研究Windows Vista抵御栈溢出漏洞被恶意利用的能力,针对不足之处提出了改进方法。

ASLR机制脆弱性自动分析方法

地址随机化是一种针对控制流劫持漏洞的防御机制。已有的漏洞自动分析与利用技术缺少对地址随机化机制影响的分析,导致生成的测试用例在实际环境中的运行效果受到极大限制。针对地址随机化的缺陷及其绕过技术的特点,提出了一种地址随机化脆弱性分析方法。该方法使用有限状态机描述程序运行路径中各关键节点的状态;针对常见的内存泄漏与控制流劫持场景建立约束条件;通过求解内存泄漏状态约束与控制流劫持状态约束的兼容性,分析地址随机化机制在特定场景下的脆弱性。实验结果表明,该方法可有效检测通过内存泄漏导致的地址随机化绕过及控制流劫持攻击,实现自动化的地址随机化脆弱性分析,提高针对软件安全性分析的效率。