Upgrade to Pro
— share decks privately, control downloads, hide ads and more …
Speaker Deck
Features
Speaker Deck
PRO
Sign in
Sign up for free
Search
Search
組込み機器へのROP攻撃の検証のためのプロセッサエミュレータを用いた調査 / IPSJHokkaido2022
Search
yumulab
October 15, 2022
Research
0
560
組込み機器へのROP攻撃の検証のためのプロセッサエミュレータを用いた調査 / IPSJHokkaido2022
情報処理北海道シンポジウム2022の発表資料
https://dl.yumulab.org/papers/27
yumulab
October 15, 2022
Tweet
Share
More Decks by yumulab
See All by yumulab
サウナでのプロジェクションマッピングの可能性の検討 / EC71koizumi
yumulab
0
56
眠眠ガチャ:ガチャを活用した睡眠意欲向上アプリの開発 / EC71inui
yumulab
0
56
待機電力を削減したネットワーク更新型電子ペーパーサイネージの開発と評価 / IOT64
yumulab
0
51
CARMUI:自動運転車遠隔監視システムのUI検討のためのバーチャル都市プラットフォームの開発 / CARMUI-i2024
yumulab
0
36
GRAB:VRコントローラに握力感知機能を追加する拡張センサ / GRAB-i2024
yumulab
0
18
RolBo – 巻ける電光掲示板の開発 / RolBo-i2024
yumulab
0
29
ニューラルネットワークを用いた床面圧力センサによる靴の種類の識別 / shoes-i2024
yumulab
0
23
Jadwelry:フィンガーブレスレット型疲労通知デバイスの開発 / Jadwelry-i2024
yumulab
0
17
床面圧力センサ開発における感圧導電シート分離方式の検討 / WISS2023
yumulab
0
250
Other Decks in Research
See All in Research
近似最近傍探索とVector DBの理論的背景
matsui_528
2
790
株式会社リクルートホールディングス 企業分析
frandle256
0
110
時空間解析と疫学
kingqwert
0
190
[2023 CCSE] ZOZOTOWN検索における 研究開発の取り組みについて
tomoyayama
0
120
Combating Misinformation in the age of LLMs
teacherpeterpan
0
110
推薦結果への説明付加はいつどんなものが嬉しいか
kuri8ive
1
220
Source Code Diff Revolution (JetBrains Open Reading Club)
tsantalis
0
210
第59回名古屋CV・PRMU勉強会:ICCV2023論文紹介(自己教師あり学習)
naok615
0
280
Embodied AIについて / About Embodied AI
nttcom
1
360
論文紹介: Generating News-Centric Crossword Puzzles As A Constraint Satisfaction and Optimization Problem
upura
0
140
音場再現技術の統一的枠組みと知覚的精度向上
skoyamalab
1
200
Ground Metric Learning with applications in genomics
gpeyre
0
320
Featured
See All Featured
How to Create Impact in a Changing Tech Landscape [PerfNow 2023]
tammyeverts
12
1.4k
Learning to Love Humans: Emotional Interface Design
aarron
266
39k
Creatively Recalculating Your Daily Design Routine
revolveconf
209
11k
What’s in a name? Adding method to the madness
productmarketing
PRO
14
2.6k
Rebuilding a faster, lazier Slack
samanthasiow
72
8.2k
Code Review Best Practice
trishagee
54
15k
Art, The Web, and Tiny UX
lynnandtonic
288
19k
Gamification - CAS2011
davidbonilla
76
4.5k
Distributed Sagas: A Protocol for Coordinating Microservices
caitiem20
319
20k
Easily Structure & Communicate Ideas using Wireframe
afnizarnur
185
15k
What's in a price? How to price your products and services
michaelherold
236
11k
The Invisible Side of Design
smashingmag
293
49k
Transcript
組込み機器へのROP攻撃の検証のためのプロセッサエミュレータを⽤いた調査 多⽊ 優⾺1, 福光 正幸2, 湯村 翼1 1)北海道情報⼤学 2)⻑崎県⽴⼤学 情報処理北海道シンポジウム2022
本稿では、i686で動作するCentOS6と、ARM Cortex-A53で稼働するRaspberryPi OSでのROP検証を⾏った。 今後は、ARM Cortex-M0で動作するRIOT OSで脆弱なテストプログラムを動作させ、そこへROP攻撃を試す。 さらに、ROP攻撃対策を考案し、必要であればセキュリティ機構の実装も⾏う。 レジスタ 0x400100: pop rdi 0x400102: ret : アセンブリコード buf (0x10) rsp saved rbp リターンアドレス スタック領域 ・ ・ ・ rbp system(/bin/sh)を実⾏して制御を奪う例 レジスタ rdi: 第1引数を格納 rip: 次に実行する命令の アドレスを格納 rbp: スタックベースの アドレスを格納 rsp: スタックトップの アドレスを格納 0x400100: pop rdi 0x400102: ret : アセンブリコード スタック領域 ROPチェーン送信後 レジスタ rdi: 第1引数を格納 rip: 0x400102 rbp: 0x41414141… rsp: スタックトップの アドレスを格納 0x400100: pop rdi 0x400102: ret : アセンブリコード スタック領域 leave命令(関数終了処理)実⾏後、0x400100に遷移 レジスタ rdi: /bin/shのアドレス rip: systemのアドレス rbp: 0x41414141… rsp: スタックトップの アドレスを格納 0x400100: pop rdi 0x400102: ret : アセンブリコード スタック領域 0x40102実⾏後 rdi: 第1引数を格納 rip: 次に実行する命令の アドレスを格納 rbp: スタックベースの アドレスを格納 rsp: スタックトップの アドレスを格納 Arm Cortex-A53・RaspberryPi OS OSのバージョン確認コマンド“lsb_release -a”を ホスト環境から実⾏し、攻撃の成功を確認した。 i686・CentOS6 OSのバージョン確認コマンド“cat /etc/redhat-release”を ホスト環境から実⾏し、攻撃の成功を確認した。 ・エクスプロイトコードを組込み機器を模した環境に送信し、ROP攻撃検証を⾏った。 ・組込み環境はQEMUを⽤いて構築した。 ・エクスプロイトコードの作成にはPwntoolsを使った。 ・組み込み環境はQEMUの設定により、ホスト以外との通信を遮断している。 〇⽬的: OSとプロセッサの組み合わせによるROP攻撃の可能性を 調査するため、様々な組込み機器に対してROP攻撃検証を⾏う。 〇背景: IoT機器の普及によって組込み機器の需要が増加している。 ⼀⽅で、ROP攻撃の研究が進んでいる。 このROP攻撃は組込み機器に対しても有効なため、 ROP対策が施されていない可能性のある、 低スペックな組込み機器の調査を⾏う。 研究概要 ・プログラムの命令⽚(アセンブリコード)を繋ぎ合わせて 任意の処理を⾏わせる攻撃。 ・様々なアーキテクチャに応⽤することも可能。 ROP攻撃とは? ROP攻撃例(x86_64環境の場合) ROP攻撃検証 両環境のセキュリティ機構実装状況: NX bit 有効 / SSP 無効 / ASLR 無効 / CFI 無効 AAAAAAAA… rsp AAAAAAAA 0x400100 rbp /bin/shのアドレス systemのアドレス AAAAAAAA… rsp AAAAAAAA 0x400100 /bin/shのアドレス systemのアドレス AAAAAAAA… rsp AAAAAAAA 0x400100 /bin/shのアドレス systemのアドレス おわりに