rop is s ll dangerous breaking modern defenses
play

ROP is S(ll Dangerous: Breaking Modern Defenses David - PowerPoint PPT Presentation

Aug 04, 2023 •592 likes •712 views

ROP is S(ll Dangerous: Breaking Modern Defenses David Wagner Nicholas Carlini Return Oriented Programming Basic ROP Mo(va(ons DEP Data

  1. ROP ¡is ¡S(ll ¡Dangerous: ¡Breaking ¡ Modern ¡Defenses ¡ David ¡Wagner ¡ Nicholas ¡Carlini ¡

  2. Return ¡Oriented ¡Programming ¡ • Basic ¡ROP ¡ – Mo(va(ons ¡ • DEP ¡– ¡Data ¡Execu(on ¡Preven(on ¡ – Goal ¡ • Cause ¡malicious ¡computa(on ¡without ¡injec(ng ¡code ¡ – How ¡it ¡works ¡ • Need ¡control ¡of ¡execu(on ¡flow ¡ • Gadgets ¡ – One ¡or ¡more ¡machine ¡instruc(ons ¡that ¡already ¡exist ¡in ¡text ¡of ¡ binary ¡

  3. ROP ¡Specifics ¡ • Call ¡ – Pushes ¡address ¡of ¡ next ¡machine ¡ instruc(on ¡onto ¡stack ¡ – Copies ¡into ¡PC ¡ address ¡of ¡branch ¡ target ¡ • Ret ¡ – Pops ¡word ¡from ¡top ¡ of ¡stack ¡to ¡PC ¡

  4. Defenses ¡Arise ¡ • 2 ¡broad ¡categories ¡ – Compile ¡(me ¡defenses ¡ • Recompile ¡binary ¡to ¡remove ¡gadgets ¡or ¡enforce ¡CFI ¡ – Run(me ¡defenses ¡ • Focus ¡of ¡this ¡paper ¡ • Kernel ¡code ¡checks ¡for ¡ROP ¡while ¡program ¡execu(ng ¡ • kBouncer ¡& ¡ROPecker ¡ • Hardware ¡Help ¡ – Intel’s ¡Last ¡Branch ¡Record ¡ • Records ¡16 ¡most ¡recent ¡indirect ¡branches ¡ • kBouncer ¡and ¡ROPecker ¡rely ¡on ¡this ¡

  5. Weaknesses ¡in ¡Today’s ¡Defenses ¡ • Call-­‑Preceded ¡ROP ¡ – Defenses ¡assume ¡ROP ¡will ¡consist ¡of ¡returns ¡to ¡ non-­‑call-­‑preceded ¡instruc(ons ¡ • Evasion ¡ – Chain ¡together ¡gadgets ¡in ¡a ¡way ¡that ¡they ¡do ¡not ¡ fit ¡defense’s ¡defini(on ¡of ¡malicious ¡ • History ¡Flushing ¡ – Chain ¡together ¡gadgets ¡in ¡a ¡way ¡that ¡malicious ¡ sequences ¡are ¡not ¡visible ¡to ¡defense ¡

  6. kBouncer ¡ • Uses ¡LBR ¡to ¡trace ¡recent ¡execu(on ¡and ¡detect ¡ROP ¡ • Inspec(on ¡runs ¡whenever ¡process ¡issues ¡system ¡call ¡ – 2 ¡checks ¡ • All ¡Ret ¡instruc(ons ¡in ¡LBR ¡previously ¡returned ¡to ¡call-­‑preceded ¡ addresses ¡ • No ¡more ¡than ¡7 ¡most ¡recent ¡indirect ¡branches ¡can ¡be ¡“gadget-­‑ like” ¡ – Exists ¡flow ¡of ¡execu(on ¡from ¡1 st ¡instruc(on ¡in ¡sequence ¡to ¡any ¡other ¡ indirect ¡branch ¡in ¡under ¡20 ¡instruc(ons ¡ • Problema(c ¡Assump(ons ¡ – Syscall ¡interface ¡ • Prepare ¡syscall ¡args ¡w/ ¡history ¡hiding ¡a_ack ¡and ¡issue ¡ syscall ¡w/ ¡evasion ¡a_ack ¡

  7. ROPecker ¡ • Runs ¡more ¡frequently ¡and ¡inspects ¡more ¡ thoroughly ¡compared ¡to ¡kBouncer ¡ – executable ¡set ¡ – Looks ¡into ¡future ¡as ¡well ¡as ¡past ¡ • Kill ¡process ¡if ¡11 ¡or ¡more ¡gadget-­‑like ¡sequences ¡of ¡ instruc(ons ¡are ¡executed ¡during ¡emula(on ¡ • Implica(ons ¡

  8. Fully ¡Call-­‑Preceded ¡A_acks ¡ • All ¡gadgets ¡start ¡with ¡an ¡instruc(on ¡ immediately ¡following ¡a ¡call ¡instruc(on ¡ • Insert ¡long ¡call-­‑preceded ¡gadget ¡every ¡few ¡ instruc(ons ¡to ¡evade ¡defenses ¡ • Experiment ¡with ¡10 ¡70KB ¡or ¡larger ¡binaries ¡ – Possible ¡exploit ¡strategy ¡for ¡all ¡10 ¡

  9. Real ¡World ¡Exploits ¡ • kBouncer ¡ – Mplayer ¡Lite ¡r33063 ¡ – Adobe ¡Reader ¡9.3.4 ¡ – Adobe ¡Flash ¡11.3.300 ¡ – Internet ¡Explorer ¡8 ¡ • ROPecker ¡ – hteditor ¡ – Both ¡pure ¡evasion ¡and ¡history ¡hiding ¡methods ¡ worked ¡

  10. Related ¡Work ¡ • ASLR ¡ – Make ¡more ¡difficult ¡to ¡inject ¡shellcode, ¡conduct ¡ROP ¡ a_acks ¡ • CFI ¡ – Restrict ¡branches ¡to ¡follow ¡control ¡flow ¡graph ¡ • Other ¡run(me ¡defenses ¡ – ROPGuard ¡ • Shadow ¡stack ¡ • Recompila(on-­‑based ¡defenses ¡ – Remove ¡gadgets ¡from ¡binaries, ¡encrypt ¡return ¡addresses ¡ – Return-­‑less ¡kernel ¡ • Table ¡of ¡valid ¡return ¡sites ¡

  11. Conclusion ¡ • Misconcep(ons ¡ – ROP ¡a_acks ¡only ¡consist ¡of ¡short ¡gadgets ¡ – ROP ¡a_acks ¡cannot ¡be ¡effec(vely ¡mounted ¡in ¡call-­‑ preceded ¡manner ¡ • Future ¡Goals ¡ – Iden(fy ¡characteris(cs ¡that ¡are ¡fundamental/ essen(al ¡to ¡ROP ¡ – Make ¡it ¡impossible ¡to ¡hide ¡malicious ¡execu(on ¡ from ¡kernel ¡

Recommend

Modern client-side defenses Deian Stefan Today How can we build flexible and secure client-side

Modern client-side defenses Deian Stefan Today How can we build flexible and secure client-side

CSE 127: Computer Security Modern client-side defenses Deian Stefan Today How can we build flexible and secure client-side web applications (from vulnerable/untrusted components) Modern web sites are complicated Modern web sites are

709 views • 57 slides
Modern client-side defenses Deian Stefan Today How can we build flexible and secure client-side

Modern client-side defenses Deian Stefan Today How can we build flexible and secure client-side

CSE 127: Computer Security Modern client-side defenses Deian Stefan Today How can we build flexible and secure client-side web applications (from vulnerable/untrusted components) Modern web sites are complicated Many acting parties on a site

867 views • 62 slides
Modern client-side defenses Deian Stefan Today How can we use sophisticated isolation

Modern client-side defenses Deian Stefan Today How can we use sophisticated isolation

Modern client-side defenses Deian Stefan Today How can we use sophisticated isolation and interaction between components to develop flexible, interesting web applications, while protecting confidentiality and integrity Today

1.46k views • 110 slides
MODERN MEMORY DEFENSES GRAD SEC SEP 14 2017 TODAYS PAPERS CONTROL FLOW INTEGRITY

MODERN MEMORY DEFENSES GRAD SEC SEP 14 2017 TODAYS PAPERS CONTROL FLOW INTEGRITY

MODERN MEMORY DEFENSES GRAD SEC SEP 14 2017 TODAYS PAPERS CONTROL FLOW INTEGRITY Fundamentally, code injection attacks altered the target programs control flow Recall: Confidentiality, Integrity, Availability Most integrity

937 views • 30 slides
The Most Dangerous Code in the Browser Stefan Heule, Devon Rifkin, Alejandro Russo, Deian Stefan

The Most Dangerous Code in the Browser Stefan Heule, Devon Rifkin, Alejandro Russo, Deian Stefan

The Most Dangerous Code in the Browser Stefan Heule, Devon Rifkin, Alejandro Russo, Deian Stefan Modern web experience Modern web experience Modern web experience Web apps Extensions AdBlock NYTimes Chase Evernote Core browser Web

591 views • 40 slides
Preference Defenses: New Value Ordinary Preference Defenses: New Value, Ordinary Course and

Preference Defenses: New Value Ordinary Preference Defenses: New Value, Ordinary Course and

Presenting a live 90 minute webinar with interactive Q&A Preference Defenses: New Value Ordinary Preference Defenses: New Value, Ordinary Course and Contemporaneous Exchange Managing the Audit Process, Mitigating Regulatory Sanctions, and

893 views • 52 slides
MODERN 1 MODERN 2 MODERN 3 MODERN 4 MODERN A peep at some distant orb has power to raise

MODERN 1 MODERN 2 MODERN 3 MODERN 4 MODERN A peep at some distant orb has power to raise

MODERN 1 MODERN 2 MODERN 3 MODERN 4 MODERN A peep at some distant orb has power to raise and purify our thoughts like a strain picture, or a passage from the grander poets. It always does one good. 5 MODERN 6 MODERN 7 MODERN 8

524 views • 24 slides
Breaking out of the box Understanding rela5onships between learning and assessment Breaking

Breaking out of the box Understanding rela5onships between learning and assessment Breaking

Dr Nick Saville Breaking out of the box Understanding rela5onships between learning and assessment Breaking out of the box - a metaphor for thinking about rela5onships and interpreta5ons breaking out breaking out of the box of the

895 views • 68 slides
jk: Using Dynamic Analysis to Crawl and Test Modern Web Applications Giancarlo Pellegrino (1) ,

jk: Using Dynamic Analysis to Crawl and Test Modern Web Applications Giancarlo Pellegrino (1) ,

jk: Using Dynamic Analysis to Crawl and Test Modern Web Applications Giancarlo Pellegrino (1) , Constantin Tschrtz (2) , Eric Bodden (2) , and Christian Rossow (1) 18th International Symposium on Research in Attacks, Intrusions and Defenses

732 views • 45 slides
Retrofitting Security in input parsing routines Jayakrishna Menon, Christophe Hauser, Yan

Retrofitting Security in input parsing routines Jayakrishna Menon, Christophe Hauser, Yan

Retrofitting Security in input parsing routines Jayakrishna Menon, Christophe Hauser, Yan Shoshitaishvili, Stephen Schwab {jmenon, hauser, schwab}@isi.edu yans@asu.edu Modern defenses Vulnerabilities Many programs are still OS defenses

702 views • 35 slides
Real-time risk definition in the transport of dangerous goods by road dangerous goods by road

Real-time risk definition in the transport of dangerous goods by road dangerous goods by road

Real-time risk definition in the transport of dangerous goods by road dangerous goods by road Chi Chiara Bersani, Claudio Roncoli B i Cl di R li University of Genova, Department of Communication, Computer and System Science DIST 16145

685 views • 39 slides
Dangerous goods make the world go round! truck with UN 1831 SULPHURIC ACID, FUMING 8+6.1 I, in

Dangerous goods make the world go round! truck with UN 1831 SULPHURIC ACID, FUMING 8+6.1 I, in

1 EASA European Association of dangerous goods Safety Advisers Dangerous goods make the world go round! truck with UN 1831 SULPHURIC ACID, FUMING 8+6.1 I, in Bolivia: The Dangerous Goods Safety Adviser (DGSA): Key Figure for Safety &

415 views • 37 slides
Dangerous goods make the world go round! truck with UN 1831 SULPHURIC ACID, FUMING 8+6.1 I, in

Dangerous goods make the world go round! truck with UN 1831 SULPHURIC ACID, FUMING 8+6.1 I, in

1 EASA European Association of dangerous goods Safety Advisers Dangerous goods make the world go round! truck with UN 1831 SULPHURIC ACID, FUMING 8+6.1 I, in Bolivia: The Dangerous Goods Safety Adviser (DGSA): Key Figure for Safety &

655 views • 34 slides
There are at least 4 types of bears indigenous to this country. They are from least dangerous

There are at least 4 types of bears indigenous to this country. They are from least dangerous

There are at least 4 types of bears indigenous to this country. They are from least dangerous to most dangerous: Teddy Bear Black Bear (U. americanus) Brown or Grizzly Bear (U. Arctos) Chicago Bear (D. Butkus) Two types exist in New Mexico

420 views • 25 slides
JSON hijacking For the modern web About me Im a researcher at PortSwigger I love

JSON hijacking For the modern web About me Im a researcher at PortSwigger I love

JSON hijacking For the modern web About me Im a researcher at PortSwigger I love hacking JavaScript let : let { let :[x=1]}=[alert(1)] I love breaking browsers @garethheyes History of JSON hijacking Array constructor attack

630 views • 44 slides
Parsing OSM XML iD OSMCha To-Fix Frontend Developer kepta kushan2020 Breaking down iD

Parsing OSM XML iD OSMCha To-Fix Frontend Developer kepta kushan2020 Breaking down iD

Parsing OSM XML iD OSMCha To-Fix Frontend Developer kepta kushan2020 Breaking down iD Breaking down iD 15% Rendering Painting 21% Javascript 64% HTML A sample of what iD is doing behind the scenes Breaking down JS 13% Draw Vector

426 views • 27 slides
THE MSSM FROM SS BREAKING MARIANO QUIROS, ICREA/IFAE HEP 2006 THE MSSM FROM SS BREAKING

THE MSSM FROM SS BREAKING MARIANO QUIROS, ICREA/IFAE HEP 2006 THE MSSM FROM SS BREAKING

THE MSSM FROM SS BREAKING MARIANO QUIROS, ICREA/IFAE HEP 2006 THE MSSM FROM SS BREAKING p.1/31 OUTLINE Introduction Higgs sector Tree-level masses EWSB and fine-tuning Supersymmetric spectrum Dark

361 views • 34 slides
Department of Neighborhoods Dangerous Buildings and Make Safe Process 1 Agenda

Department of Neighborhoods Dangerous Buildings and Make Safe Process 1 Agenda

Department of Neighborhoods Dangerous Buildings and Make Safe Process 1 Agenda Responsibilities & Role of City employees Dangerous Building Reporting Process What is a Public Hearing? What is an Order? Enforcement

623 views • 26 slides
Buffer Overflow overflows Defenses and other memory safety vulnerabilities Everything

Buffer Overflow overflows Defenses and other memory safety vulnerabilities Everything

This time We will continue By looking at Buffer Overflow overflows Defenses and other memory safety vulnerabilities Everything youve always wanted to know about gdb but were too afraid to ask Overflow defenses Other memory

1.49k views • 117 slides
Buffer Overflow overflows Defenses and other memory safety vulnerabilities Everything

Buffer Overflow overflows Defenses and other memory safety vulnerabilities Everything

This time We will continue By looking at Buffer Overflow overflows Defenses and other memory safety vulnerabilities Everything youve always wanted to know about gdb but were too afraid to ask Overflow defenses Other memory

1.23k views • 95 slides
Advanced Man-at-the-end Attacks and Defenses Bjorn De Sutter ISSISP 2018 Canberra 1

Advanced Man-at-the-end Attacks and Defenses Bjorn De Sutter ISSISP 2018 Canberra 1

Advanced Man-at-the-end Attacks and Defenses Bjorn De Sutter ISSISP 2018 Canberra 1 Lecture Overview 1. Advanced MATE attacks models tools & techniques 2. Protected code comprehension processes 3. Advanced MATE defenses 4.

1.79k views • 114 slides
Protecting Consumers In the EU market from dangerous imports Mike Turner, International Paper

Protecting Consumers In the EU market from dangerous imports Mike Turner, International Paper

Protecting Consumers In the EU market from dangerous imports Mike Turner, International Paper Pack2Go Europe Spring meeting 2015 3-4-5 June The Landmark, London Dangerous goods in the EU market Who are the stakeholders? 1. The consumer:

412 views • 11 slides
The Safe Journey of Dangerous Goods by Rail RDIMS # 14054460 PURPOSE - To get a better

The Safe Journey of Dangerous Goods by Rail RDIMS # 14054460 PURPOSE - To get a better

The Safe Journey of Dangerous Goods by Rail RDIMS # 14054460 PURPOSE - To get a better understanding of: - Transport Canadas regulatory regime: - Rail; - Transportation of Dangerous Goods; - What happens in an emergency situation involving

550 views • 19 slides
My Current Dream : Managing Machine Learning on Modern Hardware Ce Zhang 2 ML: fancy UDF

My Current Dream : Managing Machine Learning on Modern Hardware Ce Zhang 2 ML: fancy UDF

My Current Dream : Managing Machine Learning on Modern Hardware Ce Zhang 2 ML: fancy UDF breaking into traditional data workflow Input Recovered Ground Truth 1. Play well with existing data ecosystems (e.g., SciDB) 2. Fast! (< 20TB/s

519 views • 31 slides

More recommend