prac l control flow integrity randomiza on for binary
play

Prac%cal Control Flow Integrity & Randomiza%on for Binary - PowerPoint PPT Presentation

Jan 02, 2023 •233 likes •701 views

Title Prac%cal Control Flow Integrity & Randomiza%on for Binary Executables Lei Duan Chao Zhang Tao Wei Zhaofeng Chen Peking University Peking University Peking University Peking University UC

  1. Title ¡ Prac%cal ¡Control ¡Flow ¡Integrity ¡& ¡ Randomiza%on ¡for ¡Binary ¡Executables Lei Duan Chao Zhang Tao Wei Zhaofeng Chen Peking University Peking University Peking University Peking University ¡ UC Berkeley Wei Zou László Szekeres Stephen McCamant Dawn Song Peking University Stony Brook University University of Minnesota UC Berkeley

  2. Title ¡ Eternal ¡War ¡in ¡Memory ¡( Oakland’13 ) buffer ¡overflow ¡... code ¡injec%on A ¡ D ¡ W ¡ ⊗ X t ¡ e ¡ ret2libc, ¡ ¡ROP t ¡ f ¡ code ¡re-­‑use a ¡ e ¡ ASLR c ¡ n ¡ k ¡ d ¡ e ¡ Info ¡Leakage e ¡ r r ... ? chao.100871.net 2

  3. Title ¡ Reac%ve ¡Defense ¡is ¡not ¡adequate § > ¡5,000 ¡CVE ¡vulnerabili%es ¡each ¡year. ¡ • Many ¡more ¡are ¡under ¡the ¡iceberg. ¡ § Vulnerabili%es ¡are ¡exploited ¡millions ¡of ¡%mes. #cve ¡ 7,000 ¡ 6,000 ¡ 5,000 ¡ 4,000 ¡ 3,000 ¡ 2,000 ¡ 1,000 ¡ 0 ¡ 2006 ¡ 2007 ¡ 2008 ¡ 2009 ¡ 2010 ¡ 2011 ¡ 2012 ¡ Symantec ¡Internet ¡Security ¡Threat ¡Report chao.100871.net 3

  4. Title ¡ Proac%ve ¡Defense: ¡Control ¡Flow ¡Integrity § Control ¡Flow ¡Integrity, ¡CFI ¡[CCS’05] ¡ § Security ¡policy ¡ • Each ¡run-­‑%me ¡control ¡transfer ¡must ¡comply ¡with ¡programmer’s ¡ compile-­‑%me ¡intent, ¡i.e., ¡the ¡control-­‑flow ¡graph ¡ ¡ § A ¡strong ¡guarantee ¡that ¡can ¡be ¡reasoned ¡about ¡formally ¡ • ROP, ¡JOP, ¡UAF ¡ § A ¡founda%on ¡for ¡other ¡low-­‑level ¡code ¡defenses ¡ • SFI, ¡sandboxing ¡untrusted ¡code ¡ § Determinis%c, ¡not ¡probabilis%c ¡defense ¡ chao.100871.net 4

  5. Title ¡ Control-­‑Flow ¡Graph ¡ § condi%onal ¡jump ¡(jz ¡…): ¡target ¡rela%ve ¡address ¡ § direct ¡jump/call: ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡target ¡rela%ve ¡or ¡absolute ¡address ¡ § indirect ¡jump/call: ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡target? ¡(read ¡or ¡computed ¡from ¡memory) ¡ § return: ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡target ¡return ¡address ¡on ¡the ¡stack ¡ chao.100871.net 5

  6. Title ¡ Scope ¡of ¡Control-­‑Flow ¡Integrity ¡Protec%on Control ¡Transfer ¡Method Transfer ¡Targets Integrity ¡ Protec8on Excep%ons Excep%on ¡handlers SafeSEH, ¡ ¡SEHOP W ⊗ X Direct ¡CALL/JMP, ¡ Hard-­‑coded ¡func%on ¡pointers ¡ Condi%onal ¡jump ¡(JZ...) (embedded ¡in ¡the ¡code) Indirect ¡CALL/JMP In-­‑memory ¡func%on ¡pointers CFI RET ¡instruc%ons On-­‑stack ¡return ¡addresses /GS, ¡shadow ¡stack, ¡ CFI chao.100871.net 6

  7. Title ¡ Control ¡Flow ¡Integrity ¡(CCS’05) § build ¡Control ¡Flow ¡Graph ¡ foo: • source ¡code/debug ¡info ¡ ¡... ¡... • all ¡modules ¡ret ¡call ¡eax next_1: bar: ¡... ¡... ¡ret ¡call ¡ecx next_2: fun: ¡... ¡ret chao.100871.net 7

  8. Title ¡ Control ¡Flow ¡Integrity ¡(CCS’05) § build ¡Control ¡Flow ¡Graph ¡ foo: ID_1 § binary ¡rewri%ng ¡ ¡... ¡... • instrument ¡IDs ¡before ¡ ¡ret check ¡ID_1 transfer ¡targets ¡ ¡call ¡eax next_1: • validate ¡IDs ¡before ¡control ¡ bar: transferring ¡ ¡... ¡... ¡ret ¡call ¡ecx next_2: fun: ¡... ¡ret chao.100871.net 8

  9. Title ¡ Control ¡Flow ¡Integrity ¡(CCS’05) § build ¡Control ¡Flow ¡Graph ¡ foo: ID_1 § binary ¡rewri%ng ¡ ¡... ¡... ¡ret check ¡ID_1 ¡call ¡eax § diversity ¡of ¡IDs ¡ next_1: bar: ID_1 ¡... ¡... check ¡ID_1 ¡ret ¡call ¡ecx next_2: fun: ID_1 ¡... ¡ret chao.100871.net 9

  10. Title ¡ Control ¡Flow ¡Integrity ¡(CCS’05) § build ¡Control ¡Flow ¡Graph ¡ foo: ID_1 § binary ¡rewri%ng ¡ ¡... ¡... check ¡ID_2 ¡ret check ¡ID_1 ¡call ¡eax § diversity ¡of ¡IDs ¡ ID_2 next_1: bar: ID_1 ¡... ¡... § all ¡indirect ¡transfers ¡ check ¡ID_2 check ¡ID_1 ¡ret ¡call ¡ecx • indirect ¡call ¡ ID_2 next_2: • indirect ¡jmp ¡ fun: • ret ¡ ID_1 ¡... check ¡ID_2 ¡ret chao.100871.net 10

  11. Title ¡ Challenges ¡faced ¡by ¡CFI § performance ¡overhead: ¡average ¡15%, ¡max ¡46% ¡ ¡ Ø ID ¡is ¡embedded ¡in ¡a ¡slow ¡ ¡... prefetchnta ¡instruc%on ¡ check ¡ID_1 Ø executed ¡each ¡%me ¡the ¡transfer ¡ ¡call ¡eax foo: target ¡is ¡reached ¡ next_1: ID_1 ¡... ¡ret ¡... Ø introduce ¡overhead ¡even ¡if ¡ foo ¡ ¡call ¡foo is ¡called/jumped ¡to ¡directly ¡ ü most ¡calls/jumps ¡are ¡direct ¡ chao.100871.net 11

  12. Title ¡ Challenges ¡faced ¡by ¡CFI § performance ¡overhead ¡ § modularity ¡support ¡ • A ¡single ¡module ¡cannot ¡be ¡hardened ¡independently module_A libc ¡... ¡call ¡printf ID_A printf: ¡... check ¡which ¡ID? module_B ¡ret ¡... ¡call ¡printf ID_B chao.100871.net 12

  13. Title ¡ Challenges ¡faced ¡by ¡CFI § performance ¡overhead ¡ § modularity ¡support ¡ § backward ¡compa%bility ¡ unhardened module hardened module foo: ID_1 ¡... ¡... check ¡ID_1 ¡ret ¡call ¡eax test: next_1: ¡... bar: ¡ret ID_1 ¡... ¡ret chao.100871.net 13

  14. Title ¡ Challenges ¡faced ¡by ¡CFI § performance ¡overhead ¡ § modularity ¡support ¡ § backward ¡compa%bility ¡ § source ¡code/debug ¡info ¡dependency ¡ • to ¡build ¡Control ¡Flow ¡Graph ¡ chao.100871.net 14

  15. Title ¡ Mo%va%on § A ¡light-­‑weight ¡CFI ¡solu%on ¡with ¡a ¡strong ¡protec%on ¡ ·√ ¡ performance ¡overhead ·√ ¡ modularity ¡support ·√ ¡ backward ¡compatibility ·√ ¡ source ¡code ¡independent chao.100871.net 15

  16. Title ¡ Assump%on § ASLR ¡and ¡W ⊗X (e.g. DEP) are deployed § NO self-modifying code or dynamically generated code. § Limited ¡informa%on ¡disclosure ¡vulnerabili%es ¡ • e.g., ¡cannot ¡read ¡en%re ¡memory ¡regions ¡ chao.100871.net 16

  17. Title ¡ Outline § Mo%va%on ¡ § Intui%on ¡& ¡Design ¡ § Implementa%on ¡ § Security ¡Enhancement ¡ § Evalua%on ¡ § Conclusion chao.100871.net 17

  18. Title ¡ Intui%on § Checking ¡transfer ¡targets’ ¡kind, ¡rather ¡than ¡IDs ¡ • indirect ¡call/jmp ¡can ¡only ¡transfer ¡to ¡func%on-­‑pointer ¡stubs ¡ • returns ¡can ¡only ¡transfer ¡to ¡return-­‑address ¡stubs chao.100871.net 18

  19. Title ¡ Intui%on: ¡efficient ¡check § memory ¡alignment ¡ • func%on ¡pointer ¡stubs ¡are ¡8-­‑bytes ¡aligned ¡ • return ¡address ¡stubs ¡are ¡16-­‑bytes ¡aligned ¡ foo: ¡... ¡... test ¡[esp],0x0f ¡ret test ¡eax,7 § fast ¡bit ¡tes%ng ¡ ¡call ¡eax next_1: ·√ ¡ performance ¡overhead bar: § No ¡IDs ¡ ¡... test ¡[esp],0x0f ¡ret ·√ ¡ performance ¡overhead ¡... § only ¡check ¡type ¡ fun: test ¡ecx,7 ¡call ¡ecx ¡... ·√ ¡ modularity ¡support test ¡[esp],0x0f next_2: ¡ret chao.100871.net 19

  20. Title ¡ Intui%on: ¡security § Transfer ¡targets ¡must ¡be ¡within ¡memory ¡region ¡Springboard ¡ • 27 th ¡bit ¡is ¡0 ¡ foo: ¡... ¡... test ¡[esp],M_R ¡ ¡ret test ¡eax,M_F ¡call ¡eax next_1: bar: ¡... test ¡[esp],M_R ¡ret ¡... fun: test ¡ecx,M_F ¡... ¡call ¡ecx test ¡[esp],M_R next_2: ¡ret ¡ M_F ¡= ¡0x 8000007 M_R ¡= ¡0x 800000f ¡ § Policy: ¡all ¡indirect ¡transfer ¡targets ¡must ¡be ¡aligned ¡stubs ¡in ¡Springboard. chao.100871.net 20

Recommend

PRACTICAL CONTROL FLOW INTEGRITY & RANDOMIZATION FOR BINARY EXECUTABLES Christos Tselas,

PRACTICAL CONTROL FLOW INTEGRITY & RANDOMIZATION FOR BINARY EXECUTABLES Christos Tselas,

PRACTICAL CONTROL FLOW INTEGRITY & RANDOMIZATION FOR BINARY EXECUTABLES Christos Tselas, AM:875 Elisjana Ymeralli, AM:801 Ioanna Ramoutsaki, AM: 812 Vasilis Glabedakis, AM: 2921 cs-457 Department: Computer Science, University of Crete

584 views • 42 slides
Control Flow Integrity Lujo Bauer 18-732 Spring 2015 Control Hijacking Arms Race Control

Control Flow Integrity Lujo Bauer 18-732 Spring 2015 Control Hijacking Arms Race Control

Control Flow Integrity Lujo Bauer 18-732 Spring 2015 Control Hijacking Arms Race Control Control Flow Flow Integrity Integrity Attacks Attacks 2 http://propercourse.blogspot.com/2010/05/i-believe-in-duct-tape.html CFI: Goal Provably

744 views • 41 slides
Control Flow Integrity for COTS Binaries Mingwei Zhang and R. Sekar Stony Brook University --

Control Flow Integrity for COTS Binaries Mingwei Zhang and R. Sekar Stony Brook University --

Control Flow Integrity for COTS Binaries Mingwei Zhang and R. Sekar Stony Brook University -- Summarized by Navid Emamdoost University of Minnesota Outline Background Control Flow attacks Control Flow Integrity Control Flow

795 views • 33 slides
MODERN MEMORY DEFENSES GRAD SEC SEP 14 2017 TODAYS PAPERS CONTROL FLOW INTEGRITY

MODERN MEMORY DEFENSES GRAD SEC SEP 14 2017 TODAYS PAPERS CONTROL FLOW INTEGRITY

MODERN MEMORY DEFENSES GRAD SEC SEP 14 2017 TODAYS PAPERS CONTROL FLOW INTEGRITY Fundamentally, code injection attacks altered the target programs control flow Recall: Confidentiality, Integrity, Availability Most integrity

937 views • 30 slides
Enforcing Un Unique Code Target Property for Control-Flow Integrity Ho Hong Hu Hu, Chenxiong

Enforcing Un Unique Code Target Property for Control-Flow Integrity Ho Hong Hu Hu, Chenxiong

Enforcing Un Unique Code Target Property for Control-Flow Integrity Ho Hong Hu Hu, Chenxiong Qian, Carter Yagmann, Simon Pak Ho Chung, William R. Harris , Taesoo Kim, Wenke Lee * 1 Control-flow attack Control-flow: the order of

692 views • 31 slides
Control-Flow Integrity Principles, Implementations, and Applications

Control-Flow Integrity Principles, Implementations, and Applications

Control-Flow Integrity Principles, Implementations, and Applications 2634 2528 2690 CFI: Goal Provably correct mechanisms

540 views • 26 slides
Taming Transactions: Towards Hardware-Assisted Control Flow Integrity using Transactional Memory

Taming Transactions: Towards Hardware-Assisted Control Flow Integrity using Transactional Memory

The 19th International Symposium on Research in Attacks, Intrusions and Defenses (RAID 2016) Taming Transactions: Towards Hardware-Assisted Control Flow Integrity using Transactional Memory Marius Muench, Fabio Pagani, Yan Shoshitaishvili,

559 views • 25 slides
Control Flow Integrity Recap Buffer overflow Mitigation techniques WOX/DEP

Control Flow Integrity Recap Buffer overflow Mitigation techniques WOX/DEP

Control Flow Integrity Recap Buffer overflow Mitigation techniques WOX/DEP Return-to-libc RoP (Return-oriented Programming) StackGuard (insert canaries on stack) PointGuard (encrypt the pointers) ASLR CFI

809 views • 42 slides
Feel me Flow: A Review of Control-Flow Integrity Methods for User and Kernel Space Irene

Feel me Flow: A Review of Control-Flow Integrity Methods for User and Kernel Space Irene

Feel me Flow: A Review of Control-Flow Integrity Methods for User and Kernel Space Irene Dez-Franco, Igor Santos DeustoTech, University of Deusto irene.diez@deusto.es isantos@deusto.es Rationale Rationale Code injection attacks Code

865 views • 61 slides
Software Control Flow Integrity Techniques, Proofs, & Security Applications Jay Ligatti summer

Software Control Flow Integrity Techniques, Proofs, & Security Applications Jay Ligatti summer

Software Control Flow Integrity Techniques, Proofs, & Security Applications Jay Ligatti summer 2004 intern work with: lfar Erlingsson and Martn Abadi 1 Motivation I: Bad things happen DoS Weak authentication Insecure

465 views • 22 slides
Automated combination of tolerance and control flow integrity countermeasures against multiple

Automated combination of tolerance and control flow integrity countermeasures against multiple

Automated combination of tolerance and control flow integrity countermeasures against multiple fault attacks on embedded systems Thierno Barry PhD Candidate in security of Embedded Systems at CEA ( the French Atomic Energy Commission )

681 views • 18 slides
CONTROL-FLOW INTEGRITY PROTECTIONS FOR MODERN SOFTWARE X IAOYANG X U , M ASOUD G HAFFARINIA , Z

CONTROL-FLOW INTEGRITY PROTECTIONS FOR MODERN SOFTWARE X IAOYANG X U , M ASOUD G HAFFARINIA , Z

C ON FIRM: EVALUATING COMPATIBILITY AND RELEVANCE OF CONTROL-FLOW INTEGRITY PROTECTIONS FOR MODERN SOFTWARE X IAOYANG X U , M ASOUD G HAFFARINIA , Z HIQIANG L IN W ENHAO W ANG , AND K EVIN W. H AMLEN T HE O HIO S TATE U NIVERSITY T HE U NIVERSITY

514 views • 15 slides
Control Flow Integrity (CFI) in the Linux kernel Kees (Case) Cook @kees_cook

Control Flow Integrity (CFI) in the Linux kernel Kees (Case) Cook @kees_cook

Control Flow Integrity (CFI) in the Linux kernel Kees (Case) Cook @kees_cook keescook@chromium.org Linux Conf AU 2020 https://outflux.net/slides/2020/lca/cfi.pdf Acknowledgment of Country Jingeri! We meet today on the traditional lands

624 views • 44 slides
Outline Return-oriented programming (ROP) Control-flow integrity (CFI) CSci 5271 More modern

Outline Return-oriented programming (ROP) Control-flow integrity (CFI) CSci 5271 More modern

Outline Return-oriented programming (ROP) Control-flow integrity (CFI) CSci 5271 More modern exploit techniques Introduction to Computer Security Announcements intermission Day 7: Defensive programming and design, part 1 Saltzer &

579 views • 15 slides
Control-Flow Integrity Zhi Wang, Xuxian Jiang North Carolina State University Outline

Control-Flow Integrity Zhi Wang, Xuxian Jiang North Carolina State University Outline

31 st IEEE Symposium on Security & Privacy, Oakland CA, May 16-19 2010 HyperSafe: A Lightweight Approach to Provide Lifetime Hypervisor Control-Flow Integrity Zhi Wang, Xuxian Jiang North Carolina State University Outline Motivation

328 views • 29 slides
Protecting Dynamic Code by Modular Control-Flow Integrity Gang Tan Department of CSE, Penn State

Protecting Dynamic Code by Modular Control-Flow Integrity Gang Tan Department of CSE, Penn State

Protecting Dynamic Code by Modular Control-Flow Integrity Gang Tan Department of CSE, Penn State Univ. At International Workshop on Modularity Across the System Stack (MASS) Mar 14 th , 2016, Malaga, Spain Cyber Insecurity 2 Blame the

804 views • 54 slides
Advanced Systems Security: Control-Flow Integrity Trent Jaeger Systems and Internet

Advanced Systems Security: Control-Flow Integrity Trent Jaeger Systems and Internet

Systems and Internet Infrastructure Security Network and Security Research Center Department of Computer Science and Engineering Pennsylvania State University, University Park PA Advanced Systems Security: Control-Flow Integrity Trent

1.55k views • 36 slides
Extending the CompCert certified C compiler with instruction scheduling and control-flow integrity

Extending the CompCert certified C compiler with instruction scheduling and control-flow integrity

Extending CompCert S. Boulm e ( Verimag , Grenoble-INP) RISC-V week @ Paris2019 Extending the CompCert certified C compiler with instruction scheduling and control-flow integrity (CFI) October 2019 Sylvain.Boulme@univ-grenoble-alpes.fr

557 views • 19 slides
Control Flow Integrity Behavior-based detection Stack canaries, non-executable data, and ASLR

Control Flow Integrity Behavior-based detection Stack canaries, non-executable data, and ASLR

Control Flow Integrity Behavior-based detection Stack canaries, non-executable data, and ASLR aim to complicate various steps in a standard attack But they still may not stop it Idea: observe the programs behavior is it doing

314 views • 17 slides
1 What Is Control-Flow Analysis? Loop Concepts Control-flow analysis discovers the flow of

1 What Is Control-Flow Analysis? Loop Concepts Control-flow analysis discovers the flow of

Control-Flow Analysis and Loop Detection Context Last time Data-flow Speeding up data-flow analysis Flow of data values from defs to uses Could alternatively be represented as a data dependence Today Control-flow analysis

516 views • 5 slides
Enhancing Control Flow Graph Based Binary Function Identification Clemens Jonischkeit Chair for

Enhancing Control Flow Graph Based Binary Function Identification Clemens Jonischkeit Chair for

Enhancing Control Flow Graph Based Binary Function Identification Clemens Jonischkeit Chair for IT Security 23. November 2017 C. Jonischkeit 1 / 13 Motivation Technische Universitt Mnchen I just wasted 3 hours of my life. . . . .

539 views • 29 slides
Flow and Congestion Control CS 218 F2003 Oct 29, 03 Flow control goals Classification

Flow and Congestion Control CS 218 F2003 Oct 29, 03 Flow control goals Classification

Flow and Congestion Control CS 218 F2003 Oct 29, 03 Flow control goals Classification and overview of main techniques TCP Tahoe, Reno, Vegas TCP Westwood Readings: (1) Keshavs book Chapter on Flow Control; (2)

374 views • 22 slides
Control flow Conditionals and Control Flow l A conditional branch

Control flow Conditionals and Control Flow l A conditional branch

10/2/15 Control flow Conditionals and Control Flow l A conditional branch is sufficient to implement most control Condition codes flow constructs offered in higher

356 views • 12 slides
1 Why Why flow flow control? control? sender

1 Why Why flow flow control? control? sender

Lecture 7. Lecture 7. TCP mechanisms for: TCP mechanisms for: data transfer control / flow control error control congestion control Graphical examples (applet java) of several algorithms at:

589 views • 13 slides

More recommend