在黑客安全圈子中,基于内存攻击技术的攻击手段在随着时代的变化而不断发展着,内存攻击是指通过利用软件的安全漏洞,构造恶意的输入,从而使正常程序造成拒绝服务或者是远程获得控制权,内存攻击技术中最先登上历史舞台的就是缓冲区溢出漏洞,时至今日能够被广泛利用的并具有较大破坏性的高危漏洞(CVE)几乎都属于缓冲区溢出。
首先读者应该明白缓冲区溢出(Buffer Overflow),它分为栈溢出与堆溢出,此类漏洞的原理是,程序由于缺乏对缓冲区的边界进行合理化的检测而引起的一种异常行为,通常是程序存在过滤不严格的输入点,通过这些输入点攻击者可以向程序中写入超过了程序员预先定义好的缓冲边界,从而覆盖了相邻的内存区域,造成程序中的变量覆盖,甚至控制CPU中的EIP寄存器指针,从而造成程序的非预期行为,而像C/C++程序中本身就缺乏内在的内存安全分配与管理,因此缓冲区溢出漏洞大部分都出现在编译型语言中。
缓冲区溢出攻击,内存攻击技术还包括以下攻击方式:
- 栈溢出攻击:与缓冲区溢出攻击类似,但是攻击者利用的是程序的栈空间。
- 堆溢出攻击:攻击者利用程序中堆的分配方式中存在的漏洞,向堆中写入恶意代码,从而控制程序的执行流程。
- 格式化字符串攻击:利用程序对格式化字符串的处理不当,向内存中写入恶意代码。
- 内核攻击:利用内核漏洞,攻击内核模块,获取系统权限。
- 内存映射文件攻击:攻击者通过访问内存映射文件,可以修改文件的内容,从而导致程序崩溃或执行恶意代码。
以上这些攻击手段都可以利用软件中的漏洞,从而使程序发生异常,控制程序执行流程,进而实现攻击者的恶意目的。为了避免内存攻击,软件开发者需要注意代码的安全性,防范漏洞的产生。
本章我们将具体探讨远程栈溢出的挖掘与利用技术,栈溢出是缓冲区溢出中最为常见的一种攻击手法,其原理是,程序在运行时栈地址是由操作系统来负责维护的,在我们调用函数时,程序会将当前函数的下一条指令的地址压入栈中,而函数执行完毕后,则会通过ret指令从栈地址中弹出压入的返回地址,并将返回地址重新装载到EIP指令指针寄存器中,从而继续运行,然而将这种控制程序执行流程的地址保存到栈中,必然会给栈溢出攻击带来可行性。
在大致弄清楚缓冲区溢出攻击之后,我这里总结了攻防双方的对抗博弈过程,攻击者与防御者的对抗博弈斗争从来都没有停止过,在大环境下防御始终落后于攻击,但不论如何正是因为有攻防双方的对抗,才使得系统安全水平呈现螺旋式上升的态势,如下是攻防双方的对抗过程总结:
首先在当前的环境下,微软的内存保护机制大致分为以下几种:
1.堆栈缓冲区溢出检测保护GS (编译器)
2.安全结构化异常处理保护 Safe SEH
3.堆栈 SEH 覆盖保护 SEHOP
4.地址空间布局随机化保护 ASLR
5.堆栈数据执行保护 DEP
5.1.1 GS堆栈缓冲区溢出检测保护
保护机制实现原理
GS(/GS)是微软针对缓冲区溢出攻击提出的一种保护机制,全称为"Buffer Security Check",也称为"Stack Buffer Overflow Detection"。该保护机制是通过编译器进行限制的,它在程序运行时会对程序使用的栈空间进行检测,以便及早发现缓冲区溢出攻击,并在攻击发生时触发异常处理程序,从而避免攻击成功。
GS保护机制是通过向代码中插入额外的安全检查代码来实现的。具体来说,编译器会在程序的函数调用前后分别插入一个称为"Prolog"和"Epilog"的代码段,在这些代码段中会包含一些额外的栈空间检测代码。这些检测代码会在函数调用时检测栈空间是否被篡改,如果检测到异常情况,就会触发异常处理程序,从而避免攻击成功。
GS保护机制是微软堆栈检测仪概念的具体实现,从Visual Studio系列的编译器上就加入了GS保护机制且默认开启,操作系统从WindowsXP开始就已经全面支持该选项了。GS保护机制可以帮助程序员在编写代码时检测缓冲区溢出漏洞,从而提高程序的安全性。然而,GS保护机制并不是万能的,它只能检测部分缓冲区溢出攻击,而无法检测所有的攻击。因此,还需要其他的安全措施来提高程序的安全性。
如何绕过该保护
实际上GS保护机制并没有保护存放在栈上的SEH异常处理结构,因此,如果能够写入足够的数据来覆盖栈上的SEH记录,并在函数收场白和Cookie检测之前触发SEH异常,那么将会绕过Cookie的检查从而去执行我们构建好的异常处理例程。
SEH(Structured Exception Handling)是Windows操作系统提供的一种异常处理机制,类似于C++中的try-catch语句,它用于处理程序中的异常情况。在Windows操作系统中,SEH信息是存储在栈上的,因此可以被利用来进行缓冲区溢出攻击。
SEH Overwrite攻击的基本思路是利用缓冲区溢出漏洞,将恶意代码写入SEH记录中,从而覆盖SEH处理程序的返回地址,从而控制程序的执行流程。攻击者可以通过修改SEH记录中的指针,将其指向自己构造的恶意代码,从而实现任意代码执行。由于GS保护机制并没有保护存放在栈上的SEH异常处理结构,攻击者可以利用这一点来绕过Cookie的检查,从而执行恶意代码。
为了防止SEH Overwrite攻击,可以采用一些措施来加强程序的安全性。例如,可以使用安全编程实践,如输入验证、缓冲区长度检查等,来防止缓冲区溢出漏洞。此外,还可以使用一些防御措施,如使用栈保护技术(如GS、ASLR、DEP等),以及使用代码审计、反汇编等技术来发现和修复漏洞。综合运用这些措施,可以有效地防止SEH Overwrite攻击和其他类型的缓冲区溢出攻击。
5.1.2 SafeSEH安全结构化异常处理保护
保护机制实现原理
GS保护缺陷就是可以通过覆盖SEH结构实现绕过,随后防守方就在其编译器中加入了Safe SEH保护措施,该选项需要在链接时添加 linker /safessh:yes 来开启,采用SEH句柄验证技术验证堆栈中SEH的合法性,来确保SEH结构不会被非法覆盖。
SafeSEH是一种Microsoft Windows操作系统提供的安全性机制,用于检测并防止针对SEH异常处理结构的攻击。它通过验证SEH处理程序是否在可信的SEH链表中来保护程序免受SEH Overwrite攻击的影响。
在启用SafeSEH的情况下,程序会在运行时验证SEH处理程序是否在可信的SEH链表中,如果不在,则会终止程序的执行。要启用SafeSEH保护,需要在编译和链接过程中进行相应的设置。在Visual Studio中,可以使用/safeseh编译器选项和/link /safeseh链接器选项来启用SafeSEH保护。
使用SafeSEH保护可以有效地防止SEH Overwrite攻击。然而,一些攻击者可能会使用其他技术来绕过SafeSEH保护,例如使用ROP(Return-Oriented Programming)技术来构造精心设计的代码片段,以避免触发SafeSEH保护。因此,在设计安全应用程序时,应该综合考虑多种防御措施,而不是仅仅依赖于单一的防御措施。
如何绕过该保护
为了突破SefeSEH的保护,攻击者又找到了新的绕过方式,通过利用进程中未被启用的SEH模块,将修改后的SEH例程指针指向这些模块中的(POP/RET)等一些跳板指令,从而跳转到栈上执行ShellCode代码,除此之外还可以将恶意代码布置到堆中,然后修改函数指针指向堆,同样可以绕过。
利用未被启用的SEH模块来绕过SafeSEH保护机制的一种方法。攻击者可以通过将恶意代码写入堆中,然后将函数指针修改为指向堆中的代码,从而跳转到恶意代码执行。此外,攻击者还可以使用一些跳板指令(如POP/RET指令)来绕过SafeSEH保护,因为这些指令并不被认为是SEH处理程序。
为了防止这种攻击,可以在堆上实施堆随机化(heap randomization)和地址空间随机化(ASLR)等技术。堆随机化可以使恶意代码难以找到并利用堆中的内存地址,从而增加攻击者的难度。地址空间随机化则可以使代码段、数据段和堆栈等内存区域的基地址随机化,从而增加攻击者的难度。此外,还可以使用代码签名(code signing)等技术来验证代码的完整性和来源,从而确保代码的可信性。
5.1.3 SEHOP堆栈SEH覆盖保护
保护机制实现原理
随后防守方进一步提出了SEHOP技术,该技术默认从Windows Vista开始支持,而该技术在Win7-Win8系统上默认是关闭的,你可以通过注册表开启该选项,该技术的核心原理是在程序运行时验证整个异常处理链表结构的完整性,如果攻击者覆盖了某个异常处理程序,那么该链表将被破坏,从而抛出异常停止执行。
SEHOP(SEH Overwrite Protection)技术是微软在Windows Vista中引入的一种强化保护措施,旨在提高SEH处理程序的安全性。SEHOP通过验证整个异常处理链表的完整性,防止攻击者通过覆盖单个SEH处理程序来破坏整个链表,从而使得SEH处理程序难以被利用。
SEHOP的实现原理是在程序运行时对异常处理链表进行验证,确保链表中每个异常处理程序的指针都指向有效的代码段,并且链表中每个元素都是按照规定的顺序排列的。如果检测到异常处理链表被破坏,SEHOP会立即抛出一个异常,停止程序的执行。
如何绕过该保护
为了绕过SEHOP保护机制,突破方法就是进一步伪造SEH链,该方法的核心是能够找到合适的跳板指令,且伪造最终异常处理函数指针应该与真实的相同,伪造最终异常处理函数指针前4字节(SEH链指针)应为0xFFFFFFFF,SEH链指针地址应该能被4整除即可。
需要补充一点,虽然伪造SEH链可以绕过SEHOP的保护,但是这种攻击方式需要了解目标程序的具体结构和代码实现,因此它的适用范围比较有限,也需要攻击者具有一定的技术水平和经验。同时,使用SEHOP技术仍然可以有效提高系统的安全性。
5.1.4 ASLR地址布局随机化保护
保护机制实现原理
如上所说我们需要找到合适的跳板指令,但恰巧的是防守方在此基础上又添加了一个新的技术,ASLR地址空间布局随机化,该技术的核心原理是不让攻击者预测到布置在内存中的ShellCode的内存地址,因此即使溢出发生并成功填充内存,攻击者也无法得知将EIP指针跳转到何处,从而无法执行恶意代码。
ASLR(Address Space Layout Randomization)是一种内存随机化技术,它通过在每次程序运行时随机化程序的代码、数据和堆栈等内存空间的布局,使攻击者难以准确地预测代码和数据存放的位置,从而防止针对特定内存地址的攻击。该技术通常通过在操作系统内核中实现,对每个进程都使用不同的随机偏移量来布局内存空间,防止攻击者利用事先获取到的内存地址来进行攻击。同时,ASLR 技术还可以增加攻击者需要的时间和资源,因为攻击者需要在每次攻击前重新计算内存地址的位置。
ASLR 技术可以在一定程度上提高系统的安全性,但也有一些绕过它的攻击技术,比如通过泄露内存地址、使用内存泄漏漏洞等方式来获取目标内存的地址,进而绕过 ASLR 的保护。因此,在使用 ASLR 技术的同时,还需要结合其他安全措施来提高系统的安全性。
如何绕过该保护
针对ASLR技术,攻击者同样的找到了能够绕过的方式,主要是利用堆喷射技术 (Heap Spray),通过使用脚本语言在堆上布置大量的含有ShellCode代码的指令块,从而增加某一个内存地址位于指令块中的命中率,通过执行概率实现挫败ASLR技术。
5.1.5 DEP堆栈数据执行保护
保护机制实现原理
DEP保护直接切中了缓冲区溢出要害,数据执行保护将程序数据段所在的内存页面(堆栈)的属性强制设为NX (不可执行),当程序执行这些内存页面上的数据时,将报错并禁止文件的执行,当今的CPU提供了硬件方面的安全防护,同样也支持了DEP保护技术。
DEP(Data Execution Prevention)是一种硬件和软件结合的保护机制,旨在防止攻击者利用缓冲区溢出等漏洞执行恶意代码。它通过将内存中的数据区域(如堆、栈和可执行代码)标记为可执行或不可执行来实现保护。
当攻击者试图在一个不可执行的内存区域中运行代码时,DEP机制就会触发异常,从而导致程序崩溃或者被终止。这种保护机制可以有效地防止攻击者利用缓冲区溢出等漏洞来执行恶意代码,从而提高系统的安全性。
如何绕过该保护
为了绕过DEP保护,攻击者提出了新的绕过方式 ROP(返回导向编程),它是ret2libc的继承者,攻击者在溢出程序之后,并不去执行栈中的ShellCode代码,而是寻找程序中已加载的特殊指令块,配合栈上的压栈参数,将这些相对孤立的指令串联起来,形成一条链,并通过调用 VirtualProtect函数,将该栈设置为可执行属性,然后在执行栈中的ShellCode代码。