transparent rop exploit mitigation using indirect branch
play

Transparent ROP Exploit Mitigation using Indirect Branch - PowerPoint PPT Presentation

Jan 15, 2024 •42 likes •342 views

Transparent ROP Exploit Mitigation using Indirect Branch Tracing Alexandros Perrakis Manolis Karabinakis Stelios Ninidakis Vulnerabilities Buffer overflow

  1. Transparent ¡ROP ¡Exploit ¡ Mitigation ¡using ¡Indirect ¡ Branch ¡Tracing ¡ Alexandros ¡Perrakis ¡ Manolis ¡Karabinakis ¡ Stelios ¡Ninidakis ¡

  2. Vulnerabilities ¡ • Buffer ¡overflow ¡ • Integer ¡overflow ¡ • Use ¡after ¡free ¡ • Function ¡point ¡overflow ¡ ¡ ¡

  3. Buffer ¡overflow-­‑executable ¡stack ¡ Ret ¡ Local ¡Var. ¡ Vulnerable ¡Buffer ¡ ¡ Address ¡ NEW ¡ Shellcode ¡ RET ¡

  4. Buffer ¡overflow-­‑executable ¡stack ¡ A ¡simple ¡example: ¡ ¡ ¡ ¡ ¡ ¡ ¡ Attacker ¡gets ¡access ¡with ¡that ¡program ¡ by ¡simply ¡ overflow ¡the ¡buffer ¡ . ¡ In ¡that ¡way ¡he ¡controls ¡the ¡ret ¡address ¡ where ¡he ¡ ¡can ¡locate ¡ ¡his ¡own ¡code(malicious) ¡in ¡the ¡stack. ¡ ¡ ¡

  5. Canary ¡value ¡ • Produced ¡by ¡the ¡compiler ¡ • Checked ¡at ¡run-­‑time ¡ • Canary ¡is ¡a ¡random ¡value ¡ ¡ Problems: ¡ • Can ¡be ¡disclosed ¡ • Can ¡be ¡brute-­‑forced ¡ ¡ ¡ Ret ¡ Local ¡Var. ¡ Vulnerable ¡Buffer ¡ ¡ Address ¡

  6. W ⊕ ¡X ¡ ¡ ¡ ¡ Executable Executable Executable Executable ¡ ¡ ? ¡ ? ¡ ? ¡ ¡ Stack ¡ Heap ¡ Data ¡ Text ¡ ¡ ¡ High ¡Address ¡ Low ¡Address ¡ ¡ • W ¡ ⊕ ¡X ¡ ¡Can ¡be ¡either ¡Writable ¡or ¡Executable(not ¡both) ¡ • Strong ¡defense ¡mechanism ¡against ¡buffer ¡overflow ¡ ¡ ¡

  7. How ¡about ¡ ¡DEP(Data ¡Execution ¡ Prevention) ¡ • Part ¡of ¡all ¡modern ¡operating ¡systems ¡ • Prevents ¡the ¡execution ¡of ¡injected ¡binary ¡code ¡ • Marks ¡areas ¡of ¡memory ¡as ¡executable ¡or ¡not ¡ • Offers ¡no ¡protection ¡against ¡attacks ¡that ¡rely ¡ on ¡re-­‑usable ¡code ¡ ¡

  8. ASLR(Address ¡Space ¡Layout ¡ Randomization) ¡ ¡ Randomizes ¡ ¡the ¡load ¡addresses ¡of ¡executables ¡and ¡DLLs. ¡ • Makes ¡more ¡difficult ¡for ¡an ¡attacker ¡to ¡predict ¡target ¡ • addresses ¡ A ¡mistaken ¡guess ¡is ¡not ¡usually ¡recoverable ¡due ¡to ¡the ¡ • application ¡crashing ¡ ¡ ¡ Bypassing ¡ASLR: ¡ More ¡importantly ¡If ¡ ¡a ¡process ¡is ¡fully ¡randomized ¡its ¡still ¡ • possible ¡to ¡calculate ¡the ¡base ¡address ¡of ¡a ¡DLL ¡at ¡runtime. ¡ Brute ¡forced. ¡ • ¡ ¡

  9. Runtime ¡ ¡monitoring ¡ ¡solutions ¡ Various ¡protection ¡approaches: ¡ • Performing ¡anomaly ¡detection ¡by ¡checking ¡for ¡an ¡ unusually ¡high ¡frequency ¡of ¡ret ¡instructions ¡ • Ensuring ¡the ¡integrity ¡of ¡the ¡stack, ¡or ¡ • Randomizing ¡the ¡locations ¡of ¡code ¡fragments ¡ • Dynamic ¡binary ¡instrumentation ¡allows ¡these ¡systems ¡to ¡ be: ¡ • Transparent ¡: ¡ • Enables ¡the ¡practical ¡applicability ¡of ¡protection ¡ techniques ¡ • The ¡aim ¡of ¡high ¡runtime ¡overhead ¡ • Needs ¡mitigation ¡techniques ¡ → ¡minimal ¡overhead ¡and ¡ proper ¡ ¡execution ¡of ¡the ¡protected ¡applications ¡

  10. ROP(Return ¡Oriented ¡Programming) ¡ • ¡ Allows ¡an ¡attacker ¡to ¡execute ¡code ¡in ¡the ¡presence ¡of ¡ security ¡defenses ¡ ¡ • An ¡attacker ¡gains ¡control ¡of ¡the ¡stack ¡to ¡hijack ¡ program ¡control ¡flow ¡and ¡then ¡executes ¡carefully ¡ chosen ¡instructions ¡sequences, ¡called ¡"gadgets". ¡ • ¡Each ¡gadget ¡typically ¡ends ¡in ¡a ¡return ¡instruction ¡and ¡ is ¡located ¡in ¡a ¡subroutine ¡within ¡the ¡existing ¡. ¡ ¡ • Chained ¡together, ¡these ¡gadgets ¡allow ¡an ¡attacker ¡to ¡ perform ¡arbitrary ¡operations ¡on ¡a ¡machine ¡employing ¡ defenses. ¡

  11. ROP(Return ¡Oriented ¡Programming) ¡ What ¡is ¡a ¡gadget? ¡ Sequences ¡of ¡instructions ¡ ROP ¡Chain ¡ TEXT ¡Section ¡ ending ¡with ¡an ¡indirect ¡ (Code) ¡ Addr. ¡of ¡G1 ¡ branch. ¡ G2; ¡ ret ¡ Addr. ¡of ¡G2 ¡ ¡ GN; ¡ ret ¡ Addr. ¡of ¡G3 ¡ ¡ G1; ¡ ret ¡ ¡ G3; ¡ ret ¡ ¡ Addr. ¡of ¡GN ¡

  12. ROP(Return ¡Oriented ¡Programming) ¡ Simple ¡Example: ¡ ¡ ¡ ¡ ¡ ¡ ¡ Attacker ¡overflows ¡the ¡valuable ¡buffer ¡and ¡the ¡function ¡ pointer( ¡f ¡) ¡with ¡a ¡with ¡any ¡value ¡he ¡wants. ¡ ¡ ¡ ¡ ¡

  13. ROP(Return ¡Oriented ¡Programming) ¡ Simple ¡Example: ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡D: ¡ ¡pop ¡%ecx ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ret ¡ ¡ To ¡do ¡so ¡attacker ¡must ¡know ¡how ¡the ¡memory ¡is ¡mapped. ¡ In ¡that ¡way ¡if ¡attacker ¡controls ¡esp(stack ¡point), ¡controls ¡the ¡stack. ¡If ¡ f ¡has ¡ ¡a ¡value ¡D ¡with ¡pop ¡%ecx ¡extracts ¡the ¡value ¡of ¡stack ¡and ¡puts ¡It ¡ in ¡the ¡ecx. ¡After ¡ret ¡continues ¡with ¡the ¡rest ¡of ¡the ¡gadgets. ¡ ¡ ¡

  14. Kbouncer-­‑Defense ¡to ¡ROP ¡ • Fully ¡transparent ¡ • Runtime ¡monitoring ¡the ¡executed ¡indirect ¡branches ¡ at ¡ critical ¡points ¡ • Identifies ¡and ¡blocks ¡abnormal ¡control ¡flow ¡transfers ¡ • Last ¡Branch ¡Recording ¡(LBR) ¡– ¡feature ¡of ¡Intel ¡CPUs ¡ • Implementation ¡for ¡Windows ¡7 ¡ • Minimal ¡overhead ¡ • Identifies ¡“jump-­‑oriented” ¡code ¡that ¡uses ¡ gadgets ¡ ¡

  15. LBR ¡ • Continuously ¡records ¡the ¡most ¡recent ¡branches ¡in ¡the ¡LBR ¡ stack ¡ • Limited ¡size ¡(16 ¡entries) ¡of ¡the ¡LBR ¡stack ¡ • Stack ¡can ¡be ¡accessed ¡only ¡from ¡kernel-­‑level ¡code ¡ • Does ¡not ¡provide ¡any ¡means ¡of ¡interrupting ¡execution ¡ whenever ¡the ¡stack ¡gets ¡full ¡ • Checks ¡only ¡the ¡indirect ¡branches ¡that ¡lead ¡to ¡a ¡syscall ¡ invocation ¡ ¡ ¡

  16. Syscalls ¡vs. ¡API ¡calls ¡ • Windows ¡does ¡not ¡expose ¡the ¡syscall ¡interface ¡directly ¡ to ¡user-­‑lvl ¡programs ¡ • User-­‑level ¡programs ¡– ¡OS ¡interaction ¡with ¡Windows ¡ API, ¡DLLs ¡and ¡Native ¡API ¡ ¡ • Syscall ¡numbers ¡change ¡between ¡Windows ¡versions ¡ and ¡Service ¡Pack ¡levels ¡ • Complex ¡implementation ¡of ¡Windows ¡API ¡functions ¡ → indirect ¡branches ¡after ¡the ¡Windows ¡API ¡was ¡called ¡ → LBR ¡stack ¡might ¡be ¡filled ¡with ¡these ¡branches ¡ • 34% ¡API ¡functions ¡execute ¡less ¡than ¡16 ¡indirect ¡braches ¡ ¡

  17. LBR ¡stack ¡Inspection ¡on ¡API ¡Function ¡ Entry ¡ • kBouncer ¡inspects ¡the ¡LBR ¡stack ¡at ¡the ¡time ¡an ¡ API ¡function ¡is ¡called, ¡instead ¡upon ¡system ¡call ¡ invocation ¡ • DANGER: ¡if ¡LBR ¡check ¡implementation ¡is ¡in ¡ user-­‑level ¡code ¡ • Attacker ¡can ¡bypass ¡checkpoint ¡by ¡jumping ¡ over ¡the ¡hook ¡of ¡the ¡function's ¡prologue, ¡and ¡ then ¡normally ¡executes ¡the ¡function ¡body ¡ ¡

  18. LBR ¡stack ¡Inspection ¡on ¡API ¡Function ¡ Entry ¡ • kBouncer ¡solves ¡this ¡issue ¡by ¡ensuring ¡that ¡ syscalls ¡are ¡always ¡invoked ¡solely ¡through ¡their ¡ respective ¡Windows ¡API ¡functions. ¡ i. LBR ¡check ¡at ¡an ¡API ¡funtion's ¡entry ¡ ¡ ii. if ¡LBR ¡check ¡is ¡clear, ¡kBouncer ¡writes ¡a ¡ checkpoint ¡ iii. When ¡system ¡is ¡later ¡invoked, ¡the ¡system ¡call ¡ handler ¡verifies ¡that ¡a ¡proper ¡checkpoint ¡set ¡by ¡ the ¡expected ¡API ¡function ¡and ¡clears ¡it ¡ iv. If ¡the ¡checkpoint ¡was ¡not ¡set, ¡kBouncer ¡reports ¡ a ¡violation ¡ ¡ ¡

  19. LBR ¡stack ¡Inspection ¡on ¡API ¡Function ¡ Entry ¡ API call verification kernel LBR check system DLL user space time API call system call

Recommend

Outline Background 8271 discussion of: Transparent LBR-based approach ROP Exploit Mitigation

Outline Background 8271 discussion of: Transparent LBR-based approach ROP Exploit Mitigation

Outline Background 8271 discussion of: Transparent LBR-based approach ROP Exploit Mitigation Using Indirect Branch Tracing Administrative break Stephen McCamant (Original paper: Vasilis Pappas, Michalis Polychronakis, and Angelos D.

472 views • 5 slides
Profile-based Indirect Call Promotion 1 Outline Motivation Indirect call promotion

Profile-based Indirect Call Promotion 1 Outline Motivation Indirect call promotion

Ivan Baev, Qualcomm Innovation Center Profile-based Indirect Call Promotion 1 Outline Motivation Indirect call promotion transformation and heuristics Results Related optimizations 2 Motivation: reduce indirect branch mispredictions

779 views • 19 slides
Oil & Gas Industry: Indirect tax By Santosh R. Sonar 12 January 2013 Oil and Gas - Indirect

Oil & Gas Industry: Indirect tax By Santosh R. Sonar 12 January 2013 Oil and Gas - Indirect

Oil & Gas Industry: Indirect tax By Santosh R. Sonar 12 January 2013 Oil and Gas - Indirect Tax 12 January 2013 1 Agenda Overview of indirect taxes Major indirect tax concerns for oil & gas sector Goods and Services

387 views • 35 slides
MITIGATION & RESILIENCE {{ Mitigating Today for a More Resilient Tomorrow Tuesday, December 3

MITIGATION & RESILIENCE {{ Mitigating Today for a More Resilient Tomorrow Tuesday, December 3

MITIGATION & RESILIENCE {{ Mitigating Today for a More Resilient Tomorrow Tuesday, December 3 rd , 2019 Mary Moran, Disaster Recovery Branch Director Torrey Glover, State Hazard Mitigation Officer Allison Curry, Natural Hazards Planning

777 views • 34 slides
Workshop 23909 1 Scope of the indirect fee regime The indirect fee regime should be

Workshop 23909 1 Scope of the indirect fee regime The indirect fee regime should be

Workshop 23909 1 Scope of the indirect fee regime The indirect fee regime should be implemented in all Croatian ports that are open to public traffic The indirect fee regime shall apply to ship related waste 2 Exemptions

526 views • 19 slides
Zero Exploit Tolerance By Jamie Butler and Cody Pierce Confidential and Proprietary Who we are

Zero Exploit Tolerance By Jamie Butler and Cody Pierce Confidential and Proprietary Who we are

Zero Exploit Tolerance By Jamie Butler and Cody Pierce Confidential and Proprietary Who we are The exploit problem Modern software vulnerabilities Hardware-assisted exploit Agenda prevention Prior research

674 views • 45 slides
1 Branch History Table of 1-bit Predictor 1-bit BHT Weakness BHT also Called Branch Example: in

1 Branch History Table of 1-bit Predictor 1-bit BHT Weakness BHT also Called Branch Example: in

Reducing Branch Penalty Branch penalty in dynamically scheduled processors: wasted cycles due to pipeline flushing on mis- predicted branches Lecture 9: Branch Prediction Reduce branch penalty: 1. Basic idea, saturating counter, BHT, Predict

248 views • 3 slides
1 Predictor for a Single Branch Branch History Table of 1-bit Predictor BHT also Called Branch

1 Predictor for a Single Branch Branch History Table of 1-bit Predictor BHT also Called Branch

Reducing Branch Penalty Branch penalty in dynamically scheduled processors: wasted cycles due to pipeline flushing on mis- predicted branches Lecture 9: Branch Prediction I Reduce branch penalty: 1. Prediction analysis, 1-bit predictor,

378 views • 3 slides
Transparent Assessment Providing transparent goals and expectations for students Jonathon Adams

Transparent Assessment Providing transparent goals and expectations for students Jonathon Adams

Transparent Assessment Providing transparent goals and expectations for students Jonathon Adams Shinshu University Thursday, 9 August 12 Outline Aims of the presentation An approach to transparent goals and expectations Example

576 views • 46 slides
aka Der Hacker und die 7 Geilein 27/03/2018 // Exploit Development for Dummies

aka Der Hacker und die 7 Geilein 27/03/2018 // Exploit Development for Dummies

Ein Blick in die Hexenkche der Exploit Entwickler aka Der Hacker und die 7 Geilein 27/03/2018 // Exploit Development for Dummies https://www.bee-itsecurity.at // Page 2 27/03/2018 // Exploit Development for Dummies

613 views • 48 slides
Q: Exploit Hardening Made Easy Edward J. Schwartz, Thanassis Avgerinos, and David Brumley

Q: Exploit Hardening Made Easy Edward J. Schwartz, Thanassis Avgerinos, and David Brumley

Q: Exploit Hardening Made Easy Edward J. Schwartz, Thanassis Avgerinos, and David Brumley Carnegie Mellon University 8/15/2011 1 Downloading Exploits I found a Exploit control flow hijack exploit online! Evil Ed Windows 7 8/15/2011 2

837 views • 58 slides
Device-Transparent Personal Storage Based on the article Eyo: Device Transparent Personal

Device-Transparent Personal Storage Based on the article Eyo: Device Transparent Personal

Device-Transparent Personal Storage Based on the article Eyo: Device Transparent Personal Storage by Jacob Strauss, Justin Mazzola Paluska, Chris Lesniewski-Laas, Bryan Ford, Robert Morris, Frans Kaashoek Eyos assumptions and API

490 views • 30 slides
------------ GOOD LUCK ON THE EXAM ----------------- 1) In Buffer Overflow exploit, which of the

------------ GOOD LUCK ON THE EXAM ----------------- 1) In Buffer Overflow exploit, which of the

------------ GOOD LUCK ON THE EXAM ----------------- 1) In Buffer Overflow exploit, which of the following registers gets overwritten with return address of the exploit code? A. EIP B. ESP C. EAP D. EEP Ans: A 2)Which type of scan does not

431 views • 18 slides
Hazard Mitigation Planning Katie Sommers State Hazard Mitigation Officer Roxanne Gray

Hazard Mitigation Planning Katie Sommers State Hazard Mitigation Officer Roxanne Gray

Hazard Mitigation Planning Katie Sommers State Hazard Mitigation Officer Roxanne Gray Mitigation Section Supervisor What is Mitigation? According to the Federal Emergency Management Agency (FEMA): Mitigation is any sustained action taken

905 views • 71 slides
Simulating Transparent Migration in Java Java doesnt provide transparent migration. non

Simulating Transparent Migration in Java Java doesnt provide transparent migration. non

Simulating Transparent Migration in Java Java doesnt provide transparent migration. non transparent programm as if mymethod(int x) mymethod() { { if ( x==1) Use code instrumentation go() go() if ( x==2) } } save local

322 views • 13 slides
Mitigation mitigation midSH()n/ noun the action of reducing the severity,

Mitigation mitigation midSH()n/ noun the action of reducing the severity,

Mitigation mitigation midSH()n/ noun the action of reducing the severity, seriousness, or painfulness of something. "the emphasis is on the identification and mitigation of pollution" Two Mitigation Issues

293 views • 27 slides
Global illumination Anastasia Bolotnikova Global illumination a.k.a. GI a.k.a. indirect

Global illumination Anastasia Bolotnikova Global illumination a.k.a. GI a.k.a. indirect

Global illumination Anastasia Bolotnikova Global illumination a.k.a. GI a.k.a. indirect illumination What? - bunch of algorithms, a process of simulating indirect light Why? - add more realistic lighting to 3D scenes (direct+indirect) Some issues:

298 views • 19 slides
Hazard Mitigation Assistance Hazard Mitigation Assistance Hazard Mitigation Assistance

Hazard Mitigation Assistance Hazard Mitigation Assistance Hazard Mitigation Assistance

Fort Bend County, TX Commissioners Court Workshop July 27, 2016 Hazard Mitigation Assistance Hazard Mitigation Assistance Hazard Mitigation Assistance Purpose To investigate and report findings to Commissioners Court regarding Federal

494 views • 23 slides
Indirect STV Election: A Voting System for South Africa Jason Eisner University of Cape Town

Indirect STV Election: A Voting System for South Africa Jason Eisner University of Cape Town

Indirect STV Election: A Voting System for South Africa Jason Eisner University of Cape Town Affiliate, ANC Claremont Branch Winner take all electoral systems are not fully representative. Unfortunately, the ANCs proposed system of

538 views • 16 slides
Mitigation Needs Assessment 1 CDBG-MIT Webinar Series HUD and FEMA role (National Mitigation

Mitigation Needs Assessment 1 CDBG-MIT Webinar Series HUD and FEMA role (National Mitigation

Mitigation Needs Assessment 1 CDBG-MIT Webinar Series HUD and FEMA role (National Mitigation Investment Strategy) Resources Addressing Mitigation and Mitigation Planning 2019 CDBG-DR Problem Solving Clinic: Day 1 - CDBG-MIT Grantees

581 views • 55 slides
Hazard Mitigation Assistance Hazard Mitigation Assistance Program Overview Program Overview 1

Hazard Mitigation Assistance Hazard Mitigation Assistance Program Overview Program Overview 1

Hazard Mitigation Assistance Hazard Mitigation Assistance Program Overview Program Overview 1 Susan Murray June 22, 2009 What is Mitigation? Mitigation is sustained action taken to reduce or eliminate long term risk to life

451 views • 30 slides
Optimizing Indirect Memory References with milk Vladimir Kiriansky, Yunming Zhang, Saman

Optimizing Indirect Memory References with milk Vladimir Kiriansky, Yunming Zhang, Saman

Optimizing Indirect Memory References with milk Vladimir Kiriansky, Yunming Zhang, Saman Amarasinghe MIT PACT 16 September 13, 2016, Haifa, Israel 1 Indirect Accesses 2 Indirect Accesses with OpenMP 3 Indirect Accesses

918 views • 55 slides
Mitigation Overview Laurie Bestgen, FEMA Region VII Mitigation Planner Overview Topics Why

Mitigation Overview Laurie Bestgen, FEMA Region VII Mitigation Planner Overview Topics Why

Mitigation Overview Laurie Bestgen, FEMA Region VII Mitigation Planner Overview Topics Why Mitigate? Mitigation Defined: Those activities that reduce or Mitigation Planning eliminate the risk of loss of Purpose of Risk Assessment

762 views • 52 slides
Disaster Mitigation Plan Update The Pre Disaster Mitigation Program The Pre-Disaster

Disaster Mitigation Plan Update The Pre Disaster Mitigation Program The Pre-Disaster

Mountainland Pre- Disaster Mitigation Plan Update The Pre Disaster Mitigation Program The Pre-Disaster Mitigation (PDM) program provides funds to States, Territories, Federally- recognized Indian tribal governments, and communities for

322 views • 21 slides

More recommend