spectre a dependable introspec3on framework via system
play

Spectre: A Dependable Introspec3on Framework via System - PowerPoint PPT Presentation

Nov 05, 2022 •164 likes •485 views

Spectre: A Dependable Introspec3on Framework via System Management Mode Fengwei Zhang, Kevin Leach, Kun Sun, and Angelos Stavrou. In DSN'13. Presented

  1. Spectre: ¡A ¡Dependable ¡ Introspec3on ¡Framework ¡via ¡System ¡ Management ¡Mode ¡ Fengwei ¡Zhang, ¡Kevin ¡Leach, ¡Kun ¡Sun, ¡and ¡Angelos ¡Stavrou. ¡ In ¡DSN'13. ¡ ¡ ¡ Presented ¡by ¡Fengwei ¡Zhang ¡ Wayne ¡State ¡University ¡ CSC ¡6991 ¡Advanced ¡Computer ¡Security ¡ 1 ¡

  2. Agenda ¡ • Introduc3on ¡ • Background ¡ • System ¡Framework ¡ • Experimental ¡Results ¡ • Conclusion ¡ Wayne ¡State ¡University ¡ CSC ¡6991 ¡Advanced ¡Computer ¡Security ¡ 2 ¡

  3. Agenda ¡ • Introduc3on ¡ • Background ¡ • System ¡Framework ¡ • Experimental ¡Results ¡ • Conclusion ¡ Wayne ¡State ¡University ¡ CSC ¡6991 ¡Advanced ¡Computer ¡Security ¡ 3 ¡

  4. Introduc3on ¡ • Malware ¡detec3on ¡and ¡analysis ¡remain ¡an ¡open ¡ research ¡problem ¡ ¡ • ︎ Tradi3onally, ¡malware ¡detec3on ¡is ¡provided ¡by ¡ installing ¡an3-­‑malware ¡tools ¡(e.g., ¡an3-­‑virus) ¡ within ¡the ¡OS ¡ ¡ • ︎ However, ¡these ¡detec3on ¡tools ¡are ¡vulnerable ¡to ¡ malware ¡running ¡at ¡the ¡same ¡level ¡(e.g., ¡rootkits) ¡ ¡ • ︎ ’Out-­‑of-­‑box’ ¡introspec3on ¡mechanism ¡proposed ¡ for ¡malware ¡detec3on ¡and ¡analysis ¡(e.g., ¡Virtual ¡ machine ¡introspec3on) ¡ ¡ Wayne ¡State ¡University ¡ CSC ¡6991 ¡Advanced ¡Computer ¡Security ¡ 4 ¡

  5. Introduc3on ¡ • Virtual ¡Machine ¡Intropsec3on ¡(VMI) ¡systems ¡run ¡malware ¡within ¡a ¡ VM ¡and ¡use ¡analysis ¡tool ¡to ¡introspect ¡the ¡malware ¡from ¡outside ¡ ¡ • ︎ VMI ¡systems ¡have ¡been ¡widely ¡adopted ¡for ¡malware ¡detec3on ¡and ¡ analysis. ¡They ¡isolate ¡the ¡malware ¡detec3on ¡so]ware ¡from ¡a ¡ vulnerable ¡guest ¡[4, ¡5, ¡6] ¡ • Limita3ons ¡of ¡VMI ¡systems: ¡ – Large ¡Trusted ¡Compu3ng ¡Base ¡(TCB) ¡(e.g., ¡Xen ¡4.2 ¡has ¡208K ¡lines ¡of ¡ code) ¡ – Armored ¡malware ¡can ¡detect ¡the ¡presence ¡of ¡a ¡VM ¡and ¡alter ¡its ¡own ¡ execu3on ¡(e.g., ¡an3-­‑VM ¡techniques) ¡ ¡ – High ¡performance ¡overhead ¡ ¡ • We ¡present ¡Spectre, ¡a ¡dependable ¡introspec3on ¡framework ¡via ¡ system ¡management ¡mode ¡ ¡ Wayne ¡State ¡University ¡ CSC ¡6991 ¡Advanced ¡Computer ¡Security ¡ 5 ¡

  6. Agenda ¡ • Introduc3on ¡ • Background ¡ • System ¡Framework ¡ • Experimental ¡Results ¡ • Conclusion ¡ Wayne ¡State ¡University ¡ CSC ¡6991 ¡Advanced ¡Computer ¡Security ¡ 6 ¡

  7. Background ¡ System ¡Management ¡Mode ¡(SMM) ¡ ¡ • A ¡CPU ¡mode ¡on ¡the ¡x86 ¡Architecture. ¡ ¡ • A]er ¡entering ¡into ¡SMM, ¡it ¡executes ¡the ¡System ¡Management ¡ Interrupt ¡(SMI) ¡handler ¡ ¡ • SMI ¡handler ¡stores ¡at ¡a ¡sealed ¡storage ¡called ¡System ¡Management ¡ RAM ¡(SMRAM) ¡ ¡ • BIOS ¡locks ¡the ¡SMRAM, ¡and ¡the ¡SMRAM ¡is ¡inaccessible ¡from ¡any ¡ other ¡CPU ¡modes ¡ ¡ • SMM-­‑based ¡systems ¡ ¡ – Integrity ¡checking: ¡HyperGuard ¡[7], ¡HyperCheck ¡[8], ¡ – HyperSentry ¡[1] ¡ ¡ – SMM ¡rootkits ¡[3, ¡2] ¡ ¡ – Agacks ¡against ¡SMM ¡[9] ¡ ¡ Wayne ¡State ¡University ¡ CSC ¡6991 ¡Advanced ¡Computer ¡Security ¡ 7 ¡

  8. Background ¡ Basic ¡Input ¡and ¡Output ¡System ¡(BIOS) ¡and ¡ Coreboot ¡ ¡ • BIOS ¡code ¡is ¡stored ¡on-­‑vola3le ¡ROM, ¡and ¡it ¡is ¡ responsible ¡for ¡hardware ¡ini3aliza3on ¡before ¡ OS ¡starts. ¡ ¡ • Coreboot ¡is ¡an ¡open ¡source ¡project ¡aimed ¡to ¡ replace ¡the ¡BIOS ¡in ¡current ¡computer ¡ ¡ • Spectre ¡uses ¡a ¡custom ¡SMI ¡handler ¡in ¡ Coreboot ¡ ¡ ¡ Wayne ¡State ¡University ¡ CSC ¡6991 ¡Advanced ¡Computer ¡Security ¡ 8 ¡

  9. Agenda ¡ • Introduc3on ¡ • Background ¡ • System ¡Framework ¡ • Experimental ¡Results ¡ • Conclusion ¡ Wayne ¡State ¡University ¡ CSC ¡6991 ¡Advanced ¡Computer ¡Security ¡ 9 ¡

  10. System ¡Framework ¡ ¡ Target Machine Monitor S PECTRE system regularly introspects native memory on target machine Machine Check kernel data Rebuild Check kernel code Enter Report alerts semantic SMM Check program data ‘heartbeat’ data attack occured? optional custom module ... select module Wayne ¡State ¡University ¡ CSC ¡6991 ¡Advanced ¡Computer ¡Security ¡ 10 ¡

  11. System ¡Framework ¡ • Step ¡1: ¡Periodic ¡triggering ¡of ¡SMM ¡ ¡ Target Machine Monitor S PECTRE system regularly introspects native memory on target machine Machine Enter SMM Wayne ¡State ¡University ¡ CSC ¡6991 ¡Advanced ¡Computer ¡Security ¡ 11 ¡

  12. System ¡Framework ¡ • Step ¡1: ¡Periodic ¡triggering ¡of ¡SMM ¡ • Step ¡2: ¡Rebuilding ¡seman3c ¡informa3on ¡ ¡ Target Machine Monitor S PECTRE system regularly introspects native memory on target machine Machine Rebuild Enter semantic SMM data Wayne ¡State ¡University ¡ CSC ¡6991 ¡Advanced ¡Computer ¡Security ¡ 12 ¡

  13. System ¡Framework ¡ • Step ¡1: ¡Periodic ¡triggering ¡of ¡SMM ¡ • Step ¡2: ¡Rebuilding ¡seman3c ¡informa3on ¡ • Step ¡3: ¡Running ¡a ¡detec3on ¡module ¡ ¡ ¡ Target Machine Monitor S PECTRE system regularly introspects native memory on target machine Machine Check kernel data Rebuild Check kernel code Enter semantic SMM Check program data data optional custom module ... select module Wayne ¡State ¡University ¡ CSC ¡6991 ¡Advanced ¡Computer ¡Security ¡ 13 ¡

  14. System ¡Framework ¡ • Step ¡1: ¡Periodic ¡triggering ¡of ¡SMM ¡ • Step ¡2: ¡Rebuilding ¡seman3c ¡informa3on ¡ • Step ¡3: ¡Running ¡a ¡detec3on ¡module ¡ ¡ • Step ¡4: ¡Communica3on ¡with ¡monitor ¡server ¡ ¡ Target Machine ¡ Monitor S PECTRE system regularly introspects native memory on target machine Machine Check kernel data Rebuild Check kernel code Enter Report alerts semantic SMM Check program data ‘heartbeat’ data attack occured? optional custom module ... select module Wayne ¡State ¡University ¡ CSC ¡6991 ¡Advanced ¡Computer ¡Security ¡ 14 ¡

  15. Step ¡1: ¡Periodic ¡Triggering ¡of ¡SMM ¡ • Two ¡ways ¡to ¡trigger ¡an ¡SMI ¡ ¡ – So]ware-­‑based: ¡write ¡to ¡an ¡ACPI ¡port ¡specified ¡by ¡ chipsets ¡ ¡ – Hardware-­‑based: ¡NIC ¡card, ¡keyboard, ¡mouse, ¡and ¡ hardware ¡3mer ¡ ¡ • Hardware-­‑based ¡method ¡is ¡more ¡reliable ¡than ¡ so]ware-­‑based ¡method, ¡so ¡we ¡use ¡a ¡ hardware ¡3mer ¡at ¡southbridge ¡to ¡periodically ¡ assert ¡an ¡SMI ¡ ¡ Wayne ¡State ¡University ¡ CSC ¡6991 ¡Advanced ¡Computer ¡Security ¡ 15 ¡

  16. Step ¡2: ¡Rebuilding ¡Seman3c ¡Informa3on ¡ SMM ¡only ¡sees ¡the ¡raw ¡memory, ¡and ¡does ¡not ¡know ¡the ¡seman3cs ¡of ¡the ¡ • memory ¡(e.g. ¡OS ¡data ¡structures) ¡ ¡ Similar ¡to ¡the ¡seman3c ¡gap ¡problem ¡in ¡VMI ¡systems ¡ ¡ • We ¡manually ¡bridge ¡the ¡seman3c ¡gap ¡in ¡our ¡prototype, ¡automa3cally ¡ • bridging ¡(e.g., ¡Virtuoso ¡[6], ¡VMST ¡[4]) ¡ ¡ Heap List Segment Executive Process PsActiveProcessHead Static VA of KPCR Segment S 0 Heap H 0 prev Metadata... +78h Heap H 1 0xffdff000 KPCR KdVersionBlock FirstEntry next +34h Heap H 2 LastEntry Heap H 3 PEB Entry E 1 Heap H 4 Executive Process Executive Process Executive Process e.g., “lsass.exe” e.g., “explorer.exe” e.g., “System” Data... ... Heap H n Entry E 2 Other prev prev prev Executive Data... next next next Processes Heap H 0 Metadata Entry E 3 ... Segment S 0 Entry ... Heap List Segment S 1 Data... Segment S 2 Other heap ... ... Entry E n Handle Table 3 Handle Table 2 Handle Table 1 Segment S n tables Heap Process Environment Block Wayne ¡State ¡University ¡ CSC ¡6991 ¡Advanced ¡Computer ¡Security ¡ 16 ¡

Recommend

Spectre: A Dependable Introspec3on Framework via System Management Mode Fengwei Zhang, Kevin

Spectre: A Dependable Introspec3on Framework via System Management Mode Fengwei Zhang, Kevin

Spectre: A Dependable Introspec3on Framework via System Management Mode Fengwei Zhang, Kevin Leach, Kun Sun, and Angelos Stavrou. In DSN'13. Presented by Fengwei Zhang Wayne State University CSC 6991 Topics in Computer Security 1 Agenda

675 views • 28 slides
Spectre and Meltdown Clifford Wolf q/Talk 2018-01-30 Spectre and Meltdown Spectre

Spectre and Meltdown Clifford Wolf q/Talk 2018-01-30 Spectre and Meltdown Spectre

Spectre and Meltdown Clifford Wolf q/Talk 2018-01-30 Spectre and Meltdown Spectre (CVE-2017-5753 and CVE-2017-5715) Is an architectural security bug that effects most modern processors with speculative execution It allows a program

441 views • 16 slides
SpECTRE CCE tutorial ICERM, September 2020 Jordan Moxon, on behalf of the SpECTRE team and SXS

SpECTRE CCE tutorial ICERM, September 2020 Jordan Moxon, on behalf of the SpECTRE team and SXS

SpECTRE CCE tutorial ICERM, September 2020 Jordan Moxon, on behalf of the SpECTRE team and SXS moxon@black-holes.org I. INTRODUCTION This is a quick description on how to get up and running with the stand-alone version of the SpECTRE CCE

546 views • 6 slides
SpECTRE: Towards improved simulations of relativistic astrophysical systems Nils Deppe May 1,

SpECTRE: Towards improved simulations of relativistic astrophysical systems Nils Deppe May 1,

SpECTRE: Towards improved simulations of relativistic astrophysical systems Nils Deppe May 1, 2019 github.com/sxs-collaboration/spectre 1 Table of Contents 1 Background and motivation 2 Numerical methods 3 SpECTRE implementation

880 views • 38 slides
A SpECTRE With a New face Nils Deppe Simulating eXtreme Spacetimes Collaboration Charm ++

A SpECTRE With a New face Nils Deppe Simulating eXtreme Spacetimes Collaboration Charm ++

A SpECTRE With a New face Nils Deppe Simulating eXtreme Spacetimes Collaboration Charm ++ Workshop April 11, 2018 github.com/sxs-collaboration/spectre A SpECTRE With a New Face 1 / 21 Table of Contents 1 SpECTRE 2 The New face

623 views • 29 slides
Mutable Protection Domains: Towards a Component-based System for Dependable and Predictable

Mutable Protection Domains: Towards a Component-based System for Dependable and Predictable

Mutable Protection Domains: Towards a Component-based System for Dependable and Predictable Computing Gabriel Parmer and Richard West Computer Science Deparment Boston University Boston, MA 02215 { gabep1, richwest } @cs.bu.edu December 6,

831 views • 33 slides
Meltdown & Spectre Attacks Overview An analogy CPU cache and use it as side channel

Meltdown & Spectre Attacks Overview An analogy CPU cache and use it as side channel

Meltdown & Spectre Attacks Overview An analogy CPU cache and use it as side channel Meltdown attack Spectre attack Microsoft Interview Question Stealing A Secret Secret: 7 Guard with Memory Eraser Restricted Room CPU

732 views • 30 slides
What is the THRIVE Framework for system change? The THRIVE Framework for system change (Wolpert et

What is the THRIVE Framework for system change? The THRIVE Framework for system change (Wolpert et

What is the THRIVE Framework for system change? The THRIVE Framework for system change (Wolpert et al., 2019) is a conceptual framework for children and young peoples mental health and wellbeing developed by a collaboration of authors from the

633 views • 4 slides
Spectre/Meltdown at eCG: Rebooting 80k cores Bruno Bompastor Adrian Joian Cloud Reliability Team

Spectre/Meltdown at eCG: Rebooting 80k cores Bruno Bompastor Adrian Joian Cloud Reliability Team

Spectre/Meltdown at eCG: Rebooting 80k cores Bruno Bompastor Adrian Joian Cloud Reliability Team 2018 10 Brands In Multiple Countries NL/DE Datacenters Spectre/Meltdown - Meltdown: melts security boundaries which are normally enforced by

305 views • 26 slides
Computer System Virendra Singh Associate Professor Computer Architecture and Dependable Systems

Computer System Virendra Singh Associate Professor Computer Architecture and Dependable Systems

Computer System Virendra Singh Associate Professor Computer Architecture and Dependable Systems Lab Department of Electrical Engineering Indian Institute of Technology Bombay http://www.ee.iitb.ac.in/~viren/ E-mail: viren@ee.iitb.ac.in

714 views • 37 slides
Exploiting modern microarchitectures: Meltdown, Spectre, and other attacks Jon Masters, Computer

Exploiting modern microarchitectures: Meltdown, Spectre, and other attacks Jon Masters, Computer

Exploiting modern microarchitectures: Meltdown, Spectre, and other attacks Jon Masters, Computer Architect, Red Hat, Inc. jcm@redhat.com | @jonmasters 2 Exploiting modern microarchitectures: Meltdown, Spectre, and other attacks Overview

1.58k views • 140 slides
Exploiting modern microarchitectures: Meltdown, Spectre, and other attacks Jon Masters, Computer

Exploiting modern microarchitectures: Meltdown, Spectre, and other attacks Jon Masters, Computer

Exploiting modern microarchitectures: Meltdown, Spectre, and other attacks Jon Masters, Computer Architect, Red Hat, Inc. jcm@redhat.com | @jonmasters 2 Exploiting modern microarchitectures: Meltdown, Spectre, and other attacks Overview

2.11k views • 184 slides
10 Dependable Architectures The material of this course has been initially created by Prof. Dr. H.

10 Dependable Architectures The material of this course has been initially created by Prof. Dr. H.

EPFL, Spring 2017 10 Dependable Architectures The material of this course has been initially created by Prof. Dr. H. Kirrmann and adapted by Dr. Y-A. Pignolet & J-C. Tournier Fault Error - Failure Fault: Defect in system (bug) Error:

1.07k views • 65 slides
Behavioral Contracts and Service Substitutability: A Contribution to Dependable SOA Haldor

Behavioral Contracts and Service Substitutability: A Contribution to Dependable SOA Haldor

1 Behavioral Contracts and Service Substitutability: A Contribution to Dependable SOA Haldor Samset and Rolv Brk, Norwegian University of Science and Technology NTNU, Department of Telematics NTNU, June 2008 Dependable SOA 2 What is

555 views • 13 slides
Transient Execution Attacks: Lessons from Spectre, Meltdown, and Foreshadow Jo Van Bulck

Transient Execution Attacks: Lessons from Spectre, Meltdown, and Foreshadow Jo Van Bulck

Transient Execution Attacks: Lessons from Spectre, Meltdown, and Foreshadow Jo Van Bulck imec-DistriNet, KU Leuven jo.vanbulck@cs.kuleuven.be jovanbulck ISSE Brussels, November 6, 2018 A primer on software security Secure

897 views • 58 slides
RAIC: Architecting Dependable Systems Through Redundancy and Just-In-Time Testing For The ICSE

RAIC: Architecting Dependable Systems Through Redundancy and Just-In-Time Testing For The ICSE

RAIC: Architecting Dependable Systems Through Redundancy and Just-In-Time Testing For The ICSE 2002 Workshop on Architecting Dependable Systems Orlando, Florida, USA Chang Liu, Debra J. Richardson Information And Computer Science University

840 views • 24 slides
Why should the THRIVE Framework for system change and the National i-THRIVE Programme be

Why should the THRIVE Framework for system change and the National i-THRIVE Programme be

Why should the THRIVE Framework for system change and the National i-THRIVE Programme be considered as a basis for transforming the offer for children and young peoples mental health and wellbeing ? What is the THRIVE Framework for system

251 views • 6 slides
Why should the THRIVE Framework for system change and the National i-THRIVE Programme be

Why should the THRIVE Framework for system change and the National i-THRIVE Programme be

Why should the THRIVE Framework for system change and the National i-THRIVE Programme be considered as a basis for transforming the offer for children and young peoples mental health and wellbeing ? What is the THRIVE Framework for system

399 views • 3 slides
Fourth Workshop on Dependable and Secure Nanocomputing Organizers: Jean Arlat, LAAS- CNRS

Fourth Workshop on Dependable and Secure Nanocomputing Organizers: Jean Arlat, LAAS- CNRS

The 40th Annual IEEE/IFIP International Conference on Dependable Systems and Networks June 28-July 1, 2010 Chicago, IL, USA Fourth Workshop on Dependable and Secure Nanocomputing Organizers: Jean Arlat, LAAS- CNRS Cristian

198 views • 9 slides
Meltdown an and Sp Spectre vu vuln lnerabili litie ies th the ch chall llenge is is up!

Meltdown an and Sp Spectre vu vuln lnerabili litie ies th the ch chall llenge is is up!

2/21/2018 Meltdown an and Sp Spectre vu vuln lnerabili litie ies th the ch chall llenge is is up! Jos van Eijndhoven Synopsys {040CODERS.nl} Meetup 20180215 Jos van Eijndhoven Profession: IC design tools, Hobby: Processor design

545 views • 15 slides
Anti-Honeypot Technology Thorsten Holz Laboratory for Dependable Distributed Systems

Anti-Honeypot Technology Thorsten Holz Laboratory for Dependable Distributed Systems

Dependable Distributed Systems Anti-Honeypot Technology Thorsten Holz Laboratory for Dependable Distributed Systems holz@i4.informatik.rwth-aachen.de Thorsten Holz Laboratory for Dependable Distributed Systems 21st Chaos Communication

576 views • 57 slides
South Dakota Department of Revenue Professional, Dependable, Accauntable . .. in parmerslzip with

South Dakota Department of Revenue Professional, Dependable, Accauntable . .. in parmerslzip with

DoR Presentation to Tax Committees Thursday, January 22, 2015 10:24 AM South Dakota Department of Revenue Professional, Dependable, Accauntable . .. in parmerslzip with Sauth Dakota 1 Department Organizational Chart Professional, Dependable,

755 views • 27 slides
SpECTRE: Toward simulations of binary black hole mergers using Charm++ Franc ois H ebert @

SpECTRE: Toward simulations of binary black hole mergers using Charm++ Franc ois H ebert @

SpECTRE: Toward simulations of binary black hole mergers using Charm++ Franc ois H ebert @ Caltech for the Simulating eXtreme Spacetimes (SXS) Collaboration Charm++ Workshop, Oct 20 2020 1 / 26 Outline 1. Role of binary merger

619 views • 26 slides
Spectre Attacks: Exploiting Speculative Execution IEEE Security & Privacy (May 20, 2019) Paul

Spectre Attacks: Exploiting Speculative Execution IEEE Security & Privacy (May 20, 2019) Paul

Spectre Attacks: Exploiting Speculative Execution IEEE Security & Privacy (May 20, 2019) Paul Kocher 1 , Jann Horn 2 , Anders Fogh 3 , Daniel Genkin 4 , Daniel Gruss 5 , Werner Haas 6 , Mike Hamburg 7 , Mortiz Lipp 5 , Stefan Mangard 5 ,

410 views • 13 slides

More recommend