二進(jìn)制代碼級(jí)的漏洞攻擊檢測研究.pdf

1、網(wǎng)絡(luò)攻擊自從上世紀(jì)八十年代Morris蠕蟲出現(xiàn)以來，一直給互聯(lián)網(wǎng)和用戶帶來嚴(yán)重威脅。造成各種攻擊的根源是軟件漏洞。雖然工業(yè)界和學(xué)術(shù)界提出各種技術(shù)保護(hù)軟件及操作系統(tǒng)安全，但攻擊數(shù)量仍有增無減；而漏洞攻擊技術(shù)也不斷發(fā)展，從緩沖區(qū)溢出到最近的Return-Oriented-Programming(ROP)攻擊。漏洞攻擊檢測是信息安全領(lǐng)域的研究熱點(diǎn)，特別是如何在二進(jìn)制代碼級(jí)檢測攻擊更是業(yè)界關(guān)注的焦點(diǎn)，但x86指令的復(fù)雜性和WYSINWYX(Wh

2、at You See Is Not What You Execute)給檢測帶來諸多挑戰(zhàn)。
　　在二進(jìn)制代碼級(jí)檢測攻擊不僅可用于攻擊防御，而且能為漏洞分析和zero-day漏洞挖掘提供幫助，同時(shí)有助于設(shè)計(jì)更有效的編譯器和操作系統(tǒng)級(jí)防御機(jī)制。然而當(dāng)前漏洞攻擊檢測技術(shù)存在若干問題：首先，相當(dāng)部分的防御檢測手段都需要源碼，但商業(yè)軟件不提供源碼；其次，大部分防御技術(shù)都是純粹的靜態(tài)或動(dòng)態(tài)分析，犧牲了準(zhǔn)確性或效率，沒有將兩者結(jié)合起來，特別是對(duì)

3、于最新的ROP攻擊，目前還未找到一種合適的檢測方法?？偟膩碚f，當(dāng)前漏洞攻擊的發(fā)展給攻擊檢測提出了新的要求，而以Stack canary、NX、特征碼匹配為代表的經(jīng)典防御技術(shù)已不能滿足對(duì)于目前攻擊的檢測需求。
　　本文對(duì)動(dòng)態(tài)污點(diǎn)分析、控制流安全以及復(fù)雜shellcode三個(gè)方面進(jìn)行了深入細(xì)致的研究，取得了四方面成果：
　　1．提出了若干種技術(shù)加強(qiáng)動(dòng)態(tài)污點(diǎn)分析，能夠準(zhǔn)確檢測一種重要類型的攻擊-內(nèi)存溢出攻擊，并提高了系統(tǒng)效率。首先

4、，設(shè)計(jì)和實(shí)現(xiàn)了一種高效shadow memory，能夠在較低時(shí)間復(fù)雜度和空間復(fù)雜度存儲(chǔ)查詢shadow bit。提出了x86指令層次化結(jié)構(gòu)分析，有效克服了x86指令的復(fù)雜性，通過它制定準(zhǔn)確污點(diǎn)傳播策略。傳統(tǒng)污點(diǎn)分析只在指令級(jí)傳播污點(diǎn)，缺乏過程級(jí)傳播，為此提出了兩種技術(shù)加強(qiáng)過程級(jí)污點(diǎn)傳播的準(zhǔn)確性與效率，分別是函數(shù)局部變量殘留污點(diǎn)清除與函數(shù)摘要。基于動(dòng)態(tài)插樁工具實(shí)現(xiàn)了原型系統(tǒng)MANGO，并對(duì)真實(shí)攻擊進(jìn)行了測試，實(shí)驗(yàn)結(jié)果表明MANGO能有效檢

5、測內(nèi)存溢出攻擊，并且系統(tǒng)效率得到提升。
　　2．提出了一種新的ROP攻擊檢測方法。當(dāng)前檢測技術(shù)依賴ROP某些特征檢測攻擊，但無法準(zhǔn)確區(qū)分正常指令執(zhí)行與ROP攻擊，因此誤報(bào)率較高。本文通過分析實(shí)際ROP代碼，確定了 ROP的表現(xiàn)特征與功能特征，并依賴它們作為檢測依據(jù)。同時(shí)，純粹的動(dòng)態(tài)分析對(duì)程序性能影響較大，并且無法在gadget執(zhí)行前阻止攻擊，本文提出了黑盒模擬gadget思想加強(qiáng)檢測效率與效果。原型系統(tǒng)通過動(dòng)態(tài)插樁工具實(shí)現(xiàn)，通過自

6、動(dòng)化工具對(duì)真實(shí)shellcode生成ROP攻擊樣本，并對(duì)其進(jìn)行測試，實(shí)驗(yàn)結(jié)果表明我們提出的方法在檢測準(zhǔn)確性和效率都優(yōu)于當(dāng)前ROP攻擊檢測方法。
　　3．提出了一種基于地址完整性檢查的函數(shù)指針攻擊檢測方法FPGuard，其思想是判斷間接跳轉(zhuǎn)指令的目標(biāo)地址是否位于合法函數(shù)范圍。FPGuard與CFI的最大區(qū)別是前者的檢查代碼位于程序外部，能有效分析間接跳轉(zhuǎn)指令。除了傳統(tǒng)注入攻擊，攻擊者仍有可能利用函數(shù)指針覆蓋進(jìn)行ROP攻擊，同時(shí)本文在

7、實(shí)驗(yàn)中發(fā)現(xiàn)C++程序存在多函數(shù)入口點(diǎn)。提出了兩階段方法檢測攻擊，第一步是粗粒度的range check，第二步是細(xì)粒度的黑盒模擬gadget(用于檢測ROP攻擊)。通過測試真實(shí)攻擊，F(xiàn)PGuard能準(zhǔn)確檢測注入代碼與ROP攻擊。并且由于FPGuard采用高效數(shù)據(jù)結(jié)構(gòu)存儲(chǔ)查詢函數(shù)地址信息，保證了較高的效率。FPGuard是目前首個(gè)能同時(shí)檢測(通過覆蓋函數(shù)指針)注入代碼攻擊與ROP攻擊的技術(shù)。
　　4．提出了一種有效的自修改多態(tài)she

8、llcode(SMPS)檢測方法。通過實(shí)際SMPS樣本，我們觀察到SMPS的一個(gè)重要特點(diǎn)是動(dòng)態(tài)代碼字節(jié)生成，基于此特點(diǎn)提出一種有效的靜態(tài)與動(dòng)態(tài)結(jié)合檢測算法。首先用反匯編得到靜態(tài)代碼字節(jié)，然后將payload放入模擬器執(zhí)行，比較兩者之間差異，如果不同則檢測到SMPS。為了過濾正常payload，實(shí)現(xiàn)了一種簡單有效的過濾機(jī)制。對(duì)Metasploit提供的真實(shí)SMPS樣本進(jìn)行測試，實(shí)驗(yàn)結(jié)果表明檢測效果非常好，同時(shí)對(duì)正常網(wǎng)絡(luò)流進(jìn)行了誤報(bào)率測試，