just in time code reuse
play

Just-In-Time Code Reuse: On the Effec7veness of - PowerPoint PPT Presentation

Sep 25, 2022 •567 likes •819 views

Just-In-Time Code Reuse: On the Effec7veness of Fine-Grained Address Space Layout Randomiza7on Kevin Z. Snow, Fabian Monrose Lucas Davi,

  1. Just-­‑In-­‑Time ¡Code ¡Reuse: ¡ On ¡the ¡Effec7veness ¡of ¡Fine-­‑Grained ¡Address ¡ Space ¡Layout ¡Randomiza7on ¡ ¡ ¡ Kevin ¡Z. ¡Snow, ¡Fabian ¡Monrose ¡ Lucas ¡Davi, ¡Alexandra ¡Dmitrienko, ¡Christopher ¡Liebchen, ¡ Ahmad-­‑Reza ¡Sadeghi ¡ ¡ ¡ ¡ ¡

  2. CS457 ¡Presenta7on ¡ Kostas ¡Plelis ¡ Athanasiadi ¡Natalia ¡ Mitrousias ¡Aristeidis ¡ ¡ Athanasakis ¡Michalis ¡ ¡

  3. Introduc7on ¡

  4. ROP ¡chain ¡

  5. Fine-­‑grained ¡randomiza7on ¡

  6. Adversarial ¡Model ¡ Target ¡plaUorm ¡uses ¡following ¡mechanisms: ¡ Ø Non ¡– ¡Executable ¡Memory ¡ Ø JIT ¡mi7ga7ons ¡ – Random ¡NOP ¡inser7on ¡ – Randomized ¡JIT ¡pages ¡ – Constant ¡variable ¡modifica7ons ¡ Ø Export ¡Address ¡Table ¡Access ¡Filtering ¡ ¡ Ø Base ¡Address ¡Randomiza7on ¡ Ø Fine-­‑grained ¡Randomiza7on ¡

  7. Workflow ¡of ¡JIT ¡code-­‑reuse ¡ Leak ¡Code ¡Pointer ¡ Find ¡Gadgets ¡ Map ¡Memory ¡ Exploit ¡ Descrip7on ¡ Compile ¡ ¡ROP ¡ Find ¡API ¡ program ¡ func7ons ¡ Vulnerable ¡ Applica7on ¡

  8. Map ¡Memory ¡

  9. Find ¡API ¡Calls ¡

  10. Find ¡Gadgets ¡

  11. JIT ¡Compile ¡ our high-level language gadgets available LoadLibrary (“kernel32”); MovRegG& GetProcAddress (@, “WinExec”); LoadRegG& @(“calc”, SW_SHOWNORMAL ); LoadLibrary (“kernel32”); JumpG& GetProcAddress (@, “ExitProcess”); @(1); fullfill with available gadgets Gadget 1 Gadget 2 Gadget 3 Gadget 4 Gadget 5 Gadget 6 ... Serialize generate possible gadget arrangements

  12. Implementa7on ¡Overview ¡

  13. Proof ¡of ¡Concept ¡ Ø Targets ¡Internet ¡Explorer ¡ – IE8 ¡running ¡on ¡Windows ¡7 ¡ – CVE-­‑2012-­‑1876 ¡(heap ¡overflow ¡vulnerability) ¡ – Many ¡more ¡vulnerabili7es ¡available ¡that ¡could ¡be ¡ u7lized ¡ Ø Loads ¡Windows ¡calculator ¡upon ¡browsing ¡the ¡ malicious ¡HTML ¡page ¡

  14. Proof ¡of ¡Concept ¡ • Need ¡memory ¡disclosure ¡interface ¡& ¡code ¡ pointer ¡ Ø Heap ¡Feng ¡Shui ¡ o Buffer ¡to ¡overflow ¡ o String ¡object ¡ o Bueon ¡object ¡( CButtonLayout ) ¡ Ø Overwrite ¡string’s ¡length ¡property ¡ o Through ¡overflow ¡ o Set ¡it ¡to ¡2^32 ¡ ¡ Ø Now ¡possible ¡to ¡read ¡any ¡rela6ve ¡memory ¡address ¡ o Using ¡string’s ¡ ¡ charCodeAt() ¡ method ¡

  15. Proof ¡of ¡Concept ¡ • Need ¡memory ¡disclosure ¡interface ¡& ¡code ¡ pointer ¡ Ø Harvest ¡self-­‑reference ¡from ¡bueon ¡object ¡ o Use ¡reference ¡to ¡implement ¡ ¡ DiscloseByte ¡ ¡ o Translates ¡rela7ve ¡addresses ¡to ¡absolute ¡addresses ¡ Ø Harvest ¡func7on ¡pointer ¡from ¡bueon ¡object ¡ o Pass ¡it ¡to ¡HarvestCodePages ¡ • JIT-­‑compile ¡target ¡program ¡ ¡ Ø Coded ¡in ¡a ¡simple ¡high-­‑level ¡language ¡ Ø Compiled ¡to ¡a ¡series ¡of ¡gadgets, ¡inline ¡with ¡exploit ¡ buffer ¡construc7on ¡

  16. Proof ¡of ¡Concept ¡ • Program ¡flow ¡redirec6on ¡ Ø Bueon ¡object ¡func7on ¡pointer ¡overwrieen ¡using ¡ the ¡same ¡construc7on ¡ Ø Now ¡points ¡to ¡a ¡stack ¡pivot ¡gadget ¡ Ø Stack ¡pivot ¡switches ¡the ¡stack ¡to ¡begin ¡execu7on ¡ of ¡NOP ¡gadget ¡sled ¡ Ø Execu7on ¡of ¡target ¡program ¡follows ¡

  17. if (address & 1) return value >> 8; // get upper Exploit Code Sample Exploit Code Sample 9 // ... snip ... // ... snip ... 1 1 // The string object is overwritten, and initial code // The string object is overwritten, and initial code 2 2 return value & 0xFF; // value is 2 bytes, get lower 10 // pointer harvested prior to this snippet of code // pointer harvested prior to this snippet of code 3 3 4 4 }; // Step 1, implement DiscloseByte interface // Step 1, implement DiscloseByte interface 5 5 11 framework.prototype.DiscloseByte = function(address) { framework.prototype.DiscloseByte = function(address) { 6 6 var value = this.string_.charCodeAt( var value = this.string_.charCodeAt( 7 7 12 (address - this.absoluteAddress_ - 8)/2); (address - this.absoluteAddress_ - 8)/2); 8 8 if (address & 1) return value >> 8; if (address & 1) return value >> 8; // get upper // get upper 9 9 // Define target program (’@’ is shorthand return value & 0xFF; // value is 2 bytes, get lower return value & 0xFF; // value is 2 bytes, get lower 10 10 13 }; }; 11 11 // for ’last value returned’) 12 12 14 // Define target program (’@’ is shorthand // Define target program (’@’ is shorthand 13 13 // for ’last value returned’) // for ’last value returned’) 14 14 var program = var program = var program = 15 15 15 ”LoadLibraryW(L’kernel32’);” + ”LoadLibraryW(L’kernel32’);” + 16 16 ”GetProcAddress(@, ’WinExec’);” + ”GetProcAddress(@, ’WinExec’);” + ”LoadLibraryW(L’kernel32’);” + 17 17 16 ”@(’calc’, 1);” + ”@(’calc’, 1);” + 18 18 ”LoadLibraryW(L’kernel32’);” + ”LoadLibraryW(L’kernel32’);” + 19 19 ”GetProcAddress(@, ’WinExec’);” + ”GetProcAddress(@, ’ExitProcess’);” + ”GetProcAddress(@, ’ExitProcess’);” + 17 20 20 ”@(1);”; ”@(1);”; 21 21 ”@(’calc’, 1);” + 22 22 18 // Steps 2-4, harvest pages, gadgets, functions // Steps 2-4, harvest pages, gadgets, functions 23 23 framework.HarvestCodePages(this.initialCodePtr_); framework.HarvestCodePages(this.initialCodePtr_); 24 24 ”LoadLibraryW(L’kernel32’);” + 25 25 19 // Step 5, 6 - jit-compile and build exploit buffer // Step 5, 6 - jit-compile and build exploit buffer 26 26 var exploitBuffer = var exploitBuffer = ”GetProcAddress(@, ’ExitProcess’);” + 27 27 20 repeat(0x3E, unescape("%u9191%u9191")) + // Id repeat(0x3E, unescape("%u9191%u9191")) + // Id 28 28 repeat(0x19, framework.NoOpG()) + repeat(0x19, framework.NoOpG()) + // Sled // Sled 29 29 ”@(1);”; unescape(framework.Compile(program)) + unescape(framework.Compile(program)) + // Payload // Payload 21 30 30 repeat(0x12, unescape("%u4545%u4545")) + // Pad repeat(0x12, unescape("%u4545%u4545")) + // Pad 31 31 repeat(0x32, framework.StackPivotG()); repeat(0x32, framework.StackPivotG()); // Redirect // Redirect 32 32 22 33 33 // overwrite with the exploit buffer // overwrite with the exploit buffer 34 34 // Steps 2-4, harvest pages, gadgets, functions // ... snip ... // ... snip ... 23 35 35 End Code End Code framework.HarvestCodePages(this.initialCodePtr_); 24 25 // Step 5, 6 - jit-compile and build exploit buffer 26 var exploitBuffer = 27

  18. Evalua7on ¡

  19. Evalua7on ¡

  20. Evalua7on ¡

  21. Evalua7on ¡

  22. Mi7ga7ons ¡ • Re-­‑randomiza7on ¡of ¡code ¡pages ¡ • Defenses ¡that ¡hinder ¡the ¡first ¡stage ¡ • Instruc7on ¡Set ¡Randomiza7on ¡ • Control ¡Flow ¡Integrity ¡(CFI) ¡ A ¡bunch ¡of ¡other ¡tradi7onal ¡defenses ¡that ¡ authors ¡do ¡not ¡believe ¡that ¡could ¡work… ¡

  23. Apes! ¡Together, ¡strong! ¡

Recommend

kR^X Comprehensive Kernel Protection against Just-In-Time Code Reuse Marios Pomonis 1 Theofilos

kR^X Comprehensive Kernel Protection against Just-In-Time Code Reuse Marios Pomonis 1 Theofilos

Introduction RX Fine-grained KASLR Evaluation kR^X Comprehensive Kernel Protection against Just-In-Time Code Reuse Marios Pomonis 1 Theofilos Petsios 1 Angelos D. Keromytis 1 Michalis Polychronakis 2 Vasileios P. Kemerlis 3 1 Columbia

1.18k views • 66 slides
Just-in-Time Code Reuse The more things change, the more they stay the same Kevin Z. Snow 1 Luca

Just-in-Time Code Reuse The more things change, the more they stay the same Kevin Z. Snow 1 Luca

Just-in-Time Code Reuse The more things change, the more they stay the same Kevin Z. Snow 1 Luca Davi 2 & C. Liebchen 2 A. Dmitrienko 2 F. Monrose 1 A.-R. Sadeghi 2 1 Department of Computer Science 2 CASED/Technische Universitt University

1.42k views • 127 slides
How to Write Fast Numerical Code Spring 2011 Lecture 7 Instructor: Markus Pschel TA: Georg

How to Write Fast Numerical Code Spring 2011 Lecture 7 Instructor: Markus Pschel TA: Georg

How to Write Fast Numerical Code Spring 2011 Lecture 7 Instructor: Markus Pschel TA: Georg Ofenbeck Last Time: Locality Temporal and Spatial memory memory Last Time: Reuse FFT: O(log(n)) reuse MMM: O(n) reuse Discrete Fourier

278 views • 25 slides
Aspects of Inheritance Inheritance Readings: OOSCS2 Chapters 14 16 Code Reuse

Aspects of Inheritance Inheritance Readings: OOSCS2 Chapters 14 16 Code Reuse

Aspects of Inheritance Inheritance Readings: OOSCS2 Chapters 14 16 Code Reuse Substitutability Polymorphism and Dynamic Binding [ compile-time type checks ] EECS3311 A & E: Software Design Sub-contracting Fall 2020 [

226 views • 6 slides
Lecture 09 Code reuse attacks Stephen Checkoway University of Illinois at Chicago CS 487

Lecture 09 Code reuse attacks Stephen Checkoway University of Illinois at Chicago CS 487

Lecture 09 Code reuse attacks Stephen Checkoway University of Illinois at Chicago CS 487 Fall 2017 Last time No good reason for stack/heap/static data to be executable No good reason for code to be writable - An exception to this

751 views • 42 slides
1 Infrastructure Requirements Limit Reuse Planned Indirect Potable Reuse (Purple pipe may be a

1 Infrastructure Requirements Limit Reuse Planned Indirect Potable Reuse (Purple pipe may be a

Overview of Presentation DIRECT POTABLE REUSE: A PATH FORWARD: Take Home Message Reuse Opportunities De Facto and Planned Indirect Potable Reuse 2012 WATER REUSE CONFERENCE Proposed Direct Potable Reuse Strategies Boise, ID

599 views • 8 slides
Loop Invariant Code Motion Last Time Uses of SSA: reaching constants, dead-code elimination,

Loop Invariant Code Motion Last Time Uses of SSA: reaching constants, dead-code elimination,

Loop Invariant Code Motion Last Time Uses of SSA: reaching constants, dead-code elimination, induction variable identification Today Finish up induction variable identification Loop invariant code motion Next Time Reuse

778 views • 10 slides
ASLR-Guard: Stopping Address Space Leakage for Code Reuse

ASLR-Guard: Stopping Address Space Leakage for Code Reuse

ASLR-Guard: Stopping Address Space Leakage for Code Reuse A9acks Kangjie Lu, Chengyu Song, Byoungyoung Lee, Simon P. Chung, Taesoo Kim, Wenke Lee

605 views • 45 slides
Object-Oriented Programming Exercises 13.1 Using Java as an example: Code reuse: inhertiance,

Object-Oriented Programming Exercises 13.1 Using Java as an example: Code reuse: inhertiance,

13 Object-Oriented Programming Exercises 13.1 Using Java as an example: Code reuse: inhertiance, interfaces. In the case of an interface, any class implementing the Comparable interface can be sorted or stored in an ordered colection.

425 views • 6 slides
Weird machines: a model for code-reuse attacks Sergey Bratus Rebecca Shapiro Anna Shubina

Weird machines: a model for code-reuse attacks Sergey Bratus Rebecca Shapiro Anna Shubina

Weird machines: a model for code-reuse attacks Sergey Bratus Rebecca Shapiro Anna Shubina Dartmouth T rust Lab Outline Code re-use: unexpected computation, programming models Containing computation: Coarse intent-based ABI-level

487 views • 27 slides
Software Reuse From informal reuse (scavenging) to systematic reuse Management and technical

Software Reuse From informal reuse (scavenging) to systematic reuse Management and technical

Software Reuse From informal reuse (scavenging) to systematic reuse Management and technical issues Michal Young, SERC 05/19/99 1 Merry-Go-Round of Sequential Development Conventional view of development: Requirements Common theme -

238 views • 13 slides
Trying to run EvtGen in parallel provided some usefull information S. Longo 2nd SuperB

Trying to run EvtGen in parallel provided some usefull information S. Longo 2nd SuperB

Wishing to reuse part of the code written by the BaBar collaboration, there are two main questions that require an answer: Is it possible to run in parallel BaBar code (legacy code)? If this is the case, what kind of performances can be

847 views • 15 slides
Subtype polymorphism Key mechanism to support code reuse A is a subtype of B (written A

Subtype polymorphism Key mechanism to support code reuse A is a subtype of B (written A

Subtype polymorphism Key mechanism to support code reuse A is a subtype of B (written A < : B ) if value a:A can be used whenever a value of supertype B is expected. Example: Circle , Diamond , and Triangle can be used in any

350 views • 21 slides
A Tough call : Mitigating Advanced Code-Reuse Attacks At The Binary Level Victor van der Veen,

A Tough call : Mitigating Advanced Code-Reuse Attacks At The Binary Level Victor van der Veen,

A Tough call : Mitigating Advanced Code-Reuse Attacks At The Binary Level Victor van der Veen, Enes Gkta (joint first author) (VU) Moritz Contag, Andre Pawlowski, Thorsten Holz (RUB) Xi Chen, Sanjay Rawat, Herbert Bos, Elias Athanasopoulos,

587 views • 26 slides
Size Does Matter Why Using Gadget-Chain Length to Prevent Code-reuse Attacks is Hard Enes

Size Does Matter Why Using Gadget-Chain Length to Prevent Code-reuse Attacks is Hard Enes

Size Does Matter Why Using Gadget-Chain Length to Prevent Code-reuse Attacks is Hard Enes Gkta - Elias Athanasopoulos - Michalis Polychronakis Herbert Bos - Georgios Portokalidis presented by: Flora Karniavoura Katerina Karagiannaki

376 views • 23 slides
Design patterns for code reuse in HLS packet processing pipelines Haggai Eran , Lior Zeno

Design patterns for code reuse in HLS packet processing pipelines Haggai Eran , Lior Zeno

Design patterns for code reuse in HLS packet processing pipelines Haggai Eran , Lior Zeno , Zsolt Istvn , and Mark Silberstein Technion Israel Institute of Technology Mellanox Technologies IMDEA Software

690 views • 24 slides
Compiling and Linking C code Assembly C Source C Source C Source Source .c Code Code Code

Compiling and Linking C code Assembly C Source C Source C Source Source .c Code Code Code

Advanced Programming Modular Programming in C Modular Programming Intro n It is not possible to create complex programs using a single source file: n Compiling is slow n Difficult reuse of functions n Impossible collaboration among

513 views • 17 slides
The need for efcient coding I OP TIMIZ IN G P YTH ON CODE W ITH PAN DAS Leonidas Souliotis

The need for efcient coding I OP TIMIZ IN G P YTH ON CODE W ITH PAN DAS Leonidas Souliotis

The need for efcient coding I OP TIMIZ IN G P YTH ON CODE W ITH PAN DAS Leonidas Souliotis PhD Researcher How do we measure time? time.time() : returns current time in seconds since 12:00am, January 1, 1970 import time # record time

346 views • 17 slides
Functions Functions A set of statements (lines of code) that can be run repeatedly

Functions Functions A set of statements (lines of code) that can be run repeatedly

Functions Functions A set of statements (lines of code) that can be run repeatedly Goals: Learning Python by Lutz and Ascher Code reuse Procedural decomposition Top-Down Design Break problem into subproblems Print HIHO

451 views • 20 slides
How to Write Fast Numerical Code Spring 2011 Lecture 8 Instructor: Markus Pschel TA: Georg

How to Write Fast Numerical Code Spring 2011 Lecture 8 Instructor: Markus Pschel TA: Georg

How to Write Fast Numerical Code Spring 2011 Lecture 8 Instructor: Markus Pschel TA: Georg Ofenbeck Reuse (Inherent Temporal Locality) Reuse of an algorithm: Number of operations Minimal number of Size of input + size of output data

465 views • 18 slides
How to Write Fast Numerical Code Spring 2011 Lecture 15 Instructor: Markus Pschel TA: Georg

How to Write Fast Numerical Code Spring 2011 Lecture 15 Instructor: Markus Pschel TA: Georg

How to Write Fast Numerical Code Spring 2011 Lecture 15 Instructor: Markus Pschel TA: Georg Ofenbeck Reuse Again Reuse of an algorithm: Number of operations Minimal number of Size of input + size of output data Memory accesses

271 views • 26 slides
Flicker: Flicker: Minimal TCB Code Execution Minimal TCB Code Execution Jonathan M. McCune

Flicker: Flicker: Minimal TCB Code Execution Minimal TCB Code Execution Jonathan M. McCune

Flicker: Flicker: Minimal TCB Code Execution Minimal TCB Code Execution Jonathan M. McCune Carnegie Mellon University March 25, 2008 Bryan Parno, Arvind Seshadri Adrian Perrig, Michael Reiter 1 Password Reuse People often use 1

748 views • 49 slides
Database Learning: Toward a Database that Becomes Smarter Over Time Yongjoo Park Our Goal: reuse

Database Learning: Toward a Database that Becomes Smarter Over Time Yongjoo Park Our Goal: reuse

Ahmad Shahab Tajik Michael Cafarella Barzan Mozafari University of Michigan, Ann Arbor Database Learning: Toward a Database that Becomes Smarter Over Time Yongjoo Park Our Goal: reuse the work Users Database query Answer to query After

1.28k views • 90 slides
Software Architecture and Reuse R. Kuehl p. 1 R I T Software Engineering Reuse: The Big

Software Architecture and Reuse R. Kuehl p. 1 R I T Software Engineering Reuse: The Big

Software Architecture and Reuse R. Kuehl p. 1 R I T Software Engineering Reuse: The Big Promise Focus was small-gr grained, ined, opportunistic, and techn hnology ology-dr drive iven. Results did not meet business goals. R. Kuehl p.

313 views • 15 slides

More recommend