QEMUを用いた自動バイナリ防御機構の開発_公開版.pdf

QEMUを用いた自動バイナリ防御機構の開発開発駆動コース / 坂井ゼミ / 宮口誠

2 Summary

SeQEMU Secure QEMU

4 Buffer Overflow Format String RELRO Double Free Mitigation Detection
System Call Use After Free No Execute Dangerous Function Collection Function Argument 9 Function

5 Overview

6 提案アイディア稼働しているサービスが攻撃を受けるのは困る Attack! Service Cracker

提案アイディア [ 攻撃を受けても動作を継続 | 被害前に停止 ] する仕組みを作る 7 Attack! Service
Cracker

提案アイディア [ 攻撃を受けても動作を継続 | 被害前に停止 ] する仕組みを作る 8 Attack! Service
Cracker キーワード：緩和 (Mitigation)

よくわからんという方へ「いじめ」を想像してくださいいじめる側（攻撃者）は相手（稼働サービス）の反応が楽しくてやっている 9

よくわからんという方へ「いじめ」を想像してくださいいじめる側（攻撃者）は相手（稼働サービス）の反応が楽しくてやっている →無視・無反応を貫く（＝挙動から脆弱性を悟られない） 10 ※いじめに対しこのような対応を推奨するものではありません、悪しからず

11 Function Overview

12 実装概要オープンソースのエミュレータオリジナルの3.0.0を元に改造

QEMUの動作の仕組み 13 実行したいプログラム TCG （中間表現）実行可能コード

QEMUの動作の仕組み 14 実行したいプログラム TCG （中間表現）実行可能コードこの途中で動作を変更するのは難しい（開発コストが高い）

TCGへの変換とその「隙間」 15 プログラム

TCGへの変換とその「隙間」 16 プログラム call、jmp命令など

TCGへの変換とその「隙間」 17 プログラム call、jmp命令など TCG 変換

TCGへの変換とその「隙間」 18 プログラム call、jmp命令など TCG 変換

TCGへの変換とその「隙間」 19 プログラム TCG call、jmp命令など TCG 変換変換

TCGへの変換とその「隙間」 20 プログラム TCG call、jmp命令など TCG 変換変換開発コストを抑えて実装したい機能を実現

21 緩和の仕組み .plt section printf (jmp to library) .text section
(...) call printf (jmp to .plt) (...)

緩和の仕組み 22 .plt section printf (jmp to library) .text section
(...) call printf (jmp to .plt) (...)

(...) call printf (jmp to .plt) (...) HOOOOOOK!

(...) call printf (jmp to .plt) (...) in Context Register ESP EBP EIP EAX Memory Stack Heap

25 Function Detail

28 1. Filtering Dangerous Function 危険な関数（getsなど）をバイナリの中から探し出す printf gets scanf Functions
!!! Overview

1. Filtering Dangerous Function (Detail) 29 ①Elf32_Rel構造体のr_infoから対応するElf32_Sym構造体へのインデックスを取得 Elf32_Rel ... Proposal

1. Filtering Dangerous Function (Detail) 30 ①Elf32_Rel構造体のr_infoから対応するElf32_Sym構造体へのインデックスを取得 ②Elf32_Sym構造体のst_nameから対応する.dynstrへのインデックスを取得 Elf32_Rel Elf32_Sym
Elf32_Sym Elf32_Sym ... ①r_info Proposal

1. Filtering Dangerous Function (Detail) 31 ①Elf32_Rel構造体のr_infoから対応するElf32_Sym構造体へのインデックスを取得 ②Elf32_Sym構造体のst_nameから対応する.dynstrへのインデックスを取得 ③.dynstrセクションから指定されたインデックスの文字列を調べる Elf32_Rel
Elf32_Sym Elf32_Sym Elf32_Sym ... t f \0 g e t s \0 ①r_info ②st_name Proposal

1. Filtering Dangerous Function (Detail) 32 関数の名前を探しているだけ Elf32_Rel Elf32_Sym Elf32_Sym
Elf32_Sym ... t f \0 g e t s \0 ①r_info ②st_name Proposal

実験 33 gets関数の使用（危険な関数を使っている） ※C11でなくなった関数

結果実行しないようにできた 34

2. Implementation of Self-NX No Excute (NX bit)の機能を擬似的に再現する 35 r
w x p Overview

2. Implementation of Self-NX (Detail) 36 data code heap stack
EIP Proposal

2. Implementation of Self-NX (Detail) 37 data heap stack EIP
Proposal code

2. Implementation of Self-NX (Detail) 38 data code heap stack
EIP Proposal

実験 39 /bin/shが立ち上がるシェルコードがある（今回はそれを実行する）

結果 /bin/shが実行されることなく終了している 40

3. Detecting Use After Free freeしたメモリが使われるのを防止する 41 free-ed memory !!!
DO NOT USE !!! Overview

3. Detecting Use After Free (Detail) 42 function.txt Proposal

3. Detecting Use After Free (Detail) 43 function.txt Proposal fgets(0x12345678,0x20,stdin)

0xabadbabe 0xbaddcafe 0x12345678 0xfacefeed 0xfee1dead free-ed

3. Detecting Use After Free (Detail) 47 function.txt fgets(0x12345678,0x20,stdin) !!!
!!! Proposal 0xabadbabe 0xbaddcafe 0x12345678 0xfacefeed 0xfee1dead free-ed

実験 48 freeしたメモリを再度使おうとしている

結果 Use After Freeが発動する前に動作を停止することができた 49

4. Filtering System Call システムコールのフィルタリングを作成する 50 User-mode Kernel-mode open(“data.txt”) open(“flag.txt”)
open(“data.txt”) Filter Overview

4. Filtering System Call (Detail) 51 filter.txt Proposal

4. Filtering System Call (Detail) 52 filter.txt Proposal filter.txt 5
(open), 1, (“flag.txt”) 5 (open), 2, (O_RDONLY)

4. Filtering System Call (Detail) 53 filter.txt Proposal filter.txt 5
(open), 1, (“flag.txt”) 5 (open), 2, (O_RDONLY) EAX EBX ECX EDX ...

4. Filtering System Call (Detail) 54 filter.txt EAX EBX ECX
EDX ... 5 (open), 1, (“flag.txt”) 5 (open), 2, (O_RDONLY) Proposal

実験 55 フィルタルールに設定した flag.txtを開こうとしている

結果 flag.txtがオープンされる前に終了することができた 56

5. Collection of Function Argument 関数で使われたバッファなどの中身を収集する 57 123456 iloveyou football
1234567 letmein 123456789 12345 qwerty 122345678 password 2017年のパスワードTop 10 https://news.mynavi.jp/article/20171220-559970/ Overview

5. Collection of Function Argument (Detail) 58 function_list.txt Proposal

5. Collection of Function Argument (Detail) 59 function_list.txt Proposal “fgets,1”
“gets,1”

“gets,1” fgets(buf,sizeof(buf),stdin)

“gets,1” fgets(buf,sizeof(buf),stdin) “I’ll be back” “SecHack365 Returns”

“gets,1” fgets(buf,sizeof(buf),stdin) “I’ll be back” “SecHack365 Returns” honeypot.log

5. Collection of Function Argument (Detail) 63 function_list.txt honeypot.log fgets(buf,sizeof(buf),stdin)
“I’ll be back” “I’ll be back” “SecHack365 Returns” “fgets,1” “gets,1” “SecHack365 Returns” Proposal

実験 64 今回はこのfgets関数の入力されたデータをハニポログとして収集する

結果入力した内容を時刻付きでログに収めることができた 65

6. Restricting the Format String 書式文字列の中から%n指定子を探し出して置き換える 68 %c%s%d%u%o%x%f%e %g%ld%lu%n%lo%lx%lf %c%s%d%u%o%x%f%e
%g%ld%luxx%lo%lx%lf Overwrite! Overview

書式文字列と引数の関係(x86の場合) 69 printf(“%d%s%x”,int,str,hex) Problem

書式文字列と引数の関係(x86の場合) 70 printf(“%d%s%x”,int,str,hex) “%d%s%x” 数値文字列数値スタック Problem

書式文字列と引数の関係(x86の場合) 71 printf(“%d%s%x”,int,str,hex) “%d%s%x” 数値文字列数値スタック参照 Problem

書式文字列と引数の関係(x86の場合) 74 printf(“%d%s%x”,int,str,hex) “%d%s%x” 数値文字列数値スタック参照 printf(“%n%n%n”)
Problem

“%n%n%n” スタック？？？？？？？？？ Problem

“%n%n%n” スタック？？？？？？？？？参照 Problem

“%n%n%n” スタック上書きアドレス上書きアドレス上書きアドレス参照 Problem

“%n%n%n” スタック上書きアドレス上書きアドレス上書きアドレス参照データ上書き Problem

“%n%n%n” スタック上書きアドレス上書きアドレス上書きアドレス参照データ上書き %n指定子を使われるとデータ上書きをされてしまう Problem

6. Restricting the Format String (Detail) 80 "%[ ,#+-]?([1-9][0-9]*|[\*])?(([.]([1-9][0-9]*)|[*$]))?([hlLFN])?[diuXxoqbpscSCfeEgGn] Regular
Expression Proposal

Expression “%3$n” “%n” Proposal

Expression “%3$n” “%n” ‘x’ Proposal

Expression “%3$n” “%n” ‘x’ “xxxx” “xx” Proposal

実験 84 危険な書式指定子（%nや%3$n）の使用 →攻撃に使われる

結果危険な書式指定子を置き換えることができた（引数も対応している） 85 %x %n %x 1 2 3
%x xx %x 1 3 3

7. Protecting the Return Address リターンアドレスを保護し、書き換えられると元の値に戻す 86 Argument Return Address
Buffer Overview

バッファオーバーフローとは？ 87 下位アドレス (数字が小さい) 上位アドレス (数字が大きい) バッファ（入力データの場所）ローカル変数などスタック
引数 [リターンアドレス] Problem

引数 [リターンアドレス] 入力後バッファ（入力データの場所） Variable 引数 Return Address 入力データスタック Problem

引数 [リターンアドレス] 入力後バッファ（入力データの場所） Variable 引数 Return Address 入力データこの部分が上書きされるスタック Problem

引数 [リターンアドレス] 入力後バッファ（入力データの場所） Variable 引数 Return Address 入力データこの部分が上書きされるスタックリターンアドレスが書き換わるとプログラムの流れも変わる Problem

7. Protecting the Return Address (Detail) 91 Argument EBP Return
Address Buffer Before Call Func Proposal

Address Buffer EBP Return Address Before Call Func Proposal Saved Area

Address Buffer EBP Return Address Before Call Func (Overwrite) (Overwrite) (Overwrite) Buffer After Call Func Proposal Saved Area

Address Buffer EBP Return Address Before Call Func (Overwrite) Buffer After Call Func EBP Return Address Proposal Saved Area

実験 96 バッファの大きさを超えて入力することができる（≒Return Addressを上書きできる）

結果上書きされたリターンアドレスを元に戻すことができた 97

8. Detection of Double Free 同じアドレスが2回freeされる（=Double Free）のを防ぐ 98 free(address) ×
2 = Overview

2度freeすると困ること 99 Problem ヒープ必要に応じて割り当てるメモリ

2度freeすると困ること 100 ヒープチャンク1 チャンク2 Problem

2度freeすると困ること 101 ヒープチャンク1 チャンク2 free リストチャンク1 チャンク2 Problem

2度freeすると困ること 102 ヒーププログラムA プログラムB チャンク1 チャンク2 free リストチャンク1
チャンク2 Problem

2度freeすると困ること 103 ヒーププログラムA プログラムB チャンク1 free リストチャンク1 チャンク2
チャンク1 チャンク2 freeリストの最初が割当て Problem

2度freeすると困ること 104 プログラムA プログラムB free リスト malloc チャンク1 チャンク2 malloc-ed
ヒープチャンク1 チャンク2 Problem

2度freeすると困ること 105 プログラムA プログラムB free リストチャンク2 ヒープチャンク1 チャンク2
Problem

2度freeすると困ること 106 プログラムA プログラムB free リスト malloc チャンク2 malloc-ed ヒープ
チャンク1 チャンク2 Problem

2度freeすると困ること 107 プログラムA プログラムB free リストヒープチャンク1 チャンク2 Problem

2度freeすると困ること 108 プログラムA プログラムB free リストヒープチャンク1 チャンク2 free
Problem

2度freeすると困ること 109 プログラムA プログラムB free リストヒープチャンク1 チャンク2 free
Problem

2度freeすると困ること 110 プログラムA プログラムB free リストヒープチャンク1 チャンク2 チャンク1
free-ed Problem

free Problem

チャンク1 free-ed Problem

チャンク1 Double Free Problem

2度freeすると困ること 115 プログラムA プログラムB free リストヒープチャンク1 チャンク2 Double
Free チャンク2 チャンク2 チャンク1 free-ed Problem

チャンク2 チャンク1 同じチャンクが連続している Problem

チャンク2 チャンク1 malloc malloc-ed Problem

チャンク1 Problem

チャンク1 malloc-ed malloc Problem

Problem

2つのプログラムが同じチャンクを共有 Problem

2つのプログラムが同じチャンクを共有同じチャンク（アドレス）が 2回freeされるとまずい Problem

8. Detection of Double Free (Detail) 123 0xdeadbeef 0xcafebabe 0xdefec8ed
0xbaadf00d 0xbeadface malloc-ed 0xabadbabe 0xbaddcafe 0x12345678 0xfacefeed 0xfee1dead free-ed malloc() free() Proposal

0xbaadf00d 0xbeadface malloc-ed 0xabadbabe 0xbaddcafe 0x12345678 0xfacefeed 0xfee1dead free-ed malloc() free() free(0x12345678) Proposal

0xbaadf00d 0xbeadface malloc-ed 0xabadbabe 0xbaddcafe 0x12345678 0xfacefeed 0xfee1dead free-ed malloc() free() free(0x12345678) !!! Proposal

0xbaadf00d 0xbeadface malloc-ed 0xabadbabe 0xbaddcafe 0x12345678 0xfacefeed 0xfee1dead free-ed malloc() free() free(0x12345678) !!! free(0x0) Proposal

実験 128 同じアドレスを 2回freeしようとしている（Double Free）

結果 129 glibcのDouble Free検知機能を使うこと無く終了した

9. Protecting the Global Offset Table GOTの不正な書き換えを検知して元の値に戻す 130 PLT Library
Evil Code GOT Overview

Global Offset Tableの仕組みと書換え 131 Problem プログラム（printf関数呼び出し）ライブラリ（printf関数の本体） PLT
GOT

Global Offset Tableの仕組みと書換え 132 Problem PLT GOT プログラム（printf関数呼び出し）ライブラリ
（printf関数の本体）初回呼び出し

（printf関数の本体） 2回目以降

（printf関数の本体）悪意あるコード攻撃時

（printf関数の本体）悪意あるコード攻撃攻撃時

（printf関数の本体）悪意あるコード GOTが書き換えられるとコントロールが奪われてしまう攻撃時

9. Protecting the Global Offset Table (Detail) 146 GOT of
func1 Saved GOT status GOT of func2 GOT of func3 GOT of func1 GOT of func2 GOT of func3 GOT in Memory Proposal

func1 Not Called Saved GOT status GOT of func2 GOT of func3 Overwrite GOT of func2 GOT of func3 GOT in Memory Proposal

func1 Not Called Saved GOT status GOT of func2 GOT of func3 GOT of func1 GOT of func2 GOT of func3 GOT in Memory Proposal

func1 Not Called Saved GOT status GOT of func2 Calling... GOT of func3 GOT of func1 Overwrite GOT of func3 GOT in Memory Proposal

func1 Not Called Saved GOT status GOT of func2 Calling... GOT of func3 GOT of func1 Overwrited GOT of func3 GOT in Memory Proposal

func1 Not Called Saved GOT status GOT of func2 Calling... GOT of func3 Called GOT of func1 Overwrited Overwrite GOT in Memory Proposal

func1 Not Called Saved GOT status GOT of func2 Calling... GOT of func3 Called GOT of func1 Overwrited GOT of func3 GOT in Memory Proposal

実験 156 既存のputs関数のGOTを書き換えようとしている（GOT Overwrite）

結果 GOT Overwriteを検知して元のアドレスに戻すことができた 157

158 Demo

デモのルールは… ＿人人人人人人人人人人人人人＿＞　core dumpedが無ければ勝ち　＜￣Y^Y^Y^Y^Y^Y^Y^Y^Y^Y^Y^Y^Y^￣ 160

161 Epilogue （後少しです）

残された課題 1. [Dangerous] 関数の検出の際、RELROが適用済みのものには対応できない 2. [FSA]書式文字列がRead Onlyな場所に位置すると書き換えできない 3. [Buffer]関数起点のStack-BOFしか防げない 4.
[Heap]callocやreallocには対応していない 5. [NX] ヒープ領域に実行可能領域を作られても正常に動作できない 6. [SystemCall]機能や使い方がまだ貧弱、単純なルールでしか動作しない 7. [UAF]関数起点のUAFしか防げない 8. [Honeypot]RELROに対応しなければあまり意味が無い（実際のサービスに使えない） 162

残された課題 1. [Dangerous] 関数の検出の際、RELROが適用済みのものには対応できない 2. [FSA]書式文字列がRead Onlyな場所に位置すると書き換えできない 3. [Buffer]関数起点のStack-BOFしか防げない 4.
[Heap]callocやreallocには対応していない 5. [NX] ヒープ領域に実行可能領域を作られても正常に動作できない 6. [SystemCall]機能や使い方がまだ貧弱、単純なルールでしか動作しない 7. [UAF]関数起点のUAFしか防げない 8. [Honeypot]RELROに対応しなければあまり意味が無い（実際のサービスに使えない） 163 実用段階に向けて改良していく

今後の目標・RELRO適用済みのバイナリに対応したものを作る →実際のサービスに関数ハニーポットを適用できる 164 ・ヒープ領域のさらなる堅牢化を行う →割り当てたメモリサイズやフリーリストの状況などから防御する・TCGを改造してcall命令が実行された際にフックできるようにする →リターンアドレス書き換えに対する防御が　関数起点じゃなくてもよくなる

作りたいものが増えた・今回の開発で作った機能を ptraceシステムコールを使って一から再現するものを作りたい 165 ・ネットワークに興味が出てきたので OpenGLか何かでネットワークの可視化をするものを作りたい・などなど、開発の意欲が湧いてきていてモチベーションが高めなのでとても嬉しい（一時期これからどうしようか本当に悩んだ）

感想・やる気を出すために「小さなこと」から少しずつやるのを心がけた →「やる気は存在しない」ということを意識した 166 ・細かいタスク（開発に関係のないこと）は先に済ませておくか紙にメモして脳から追い出してやる →気が散りやすかったのが、集中しやすくなった・寝る時間を管理して良質な睡眠を心がけた →しっかり寝るのは翌日の開発に繋がる。寝るのって大切！

167 Summary

SeQEMU Secure QEMU

課題や展望のまとめ 170 ①緩和に主眼を置いた　セキュリティ機構を作成した ②ハニーポットなど　別の用途の可能性を見出した ③SecHack365に参加することで　開発のモチベーションが出てきた

Thank you for your attention! SeQEMU Logo Illustration by Kanna
Mizuguchi https://github.com/happynote3966/SeQEMU @happynote3966

QEMUを用いた自動バイナリ防御機構の開発_公開版.pdf

QEMUを用いた自動バイナリ防御機構の開発_公開版.pdf

More Decks by happynote3966

Other Decks in Technology

Featured

Transcript