ASLR은 어떻게 효과적 일 수 있습니까?

Question

나는이 이론을 들었다. 주소 공간 위치 무작위 화는 라이브러리를 가져 와서 가상 주소 공간의 임의의 위치에서로드하므로 해커가 프로그램에서 구멍을 발견 한 경우 return-to-libc 공격을 실행하기 위해 미리 알려진 주소를 갖지 않습니다 예를 들어 그러나 몇 초 동안 생각한 후에는 방어적인 수단으로는 아무런 의미가 없습니다.

가상의 TargetLib (libc 또는 해커가 찾고있는 다른 모든 것)가 결정적인 것 대신 임의의 주소에로드되었다고 가정 해 보겠습니다. 이제 해커는 TargetLib과 그 내부의 루틴이 어디에 있는지 미리 알지 못하지만, 애플리케이션 코드도 마찬가지입니다. TargetLib 내부에서 루틴을 찾으려면 바이너리 어딘가에 조회 테이블이 있어야하며 결정적인 위치에 있어야합니다. (또는 다른 곳이 가리키는 임의의 위치에서 원하는만큼의 방향을 추가 할 수 있지만 결국 알려진 위치에서 시작해야합니다.)

즉, 공격 코드를 TargetLib의 알려진 위치에서 해커는 응용 프로그램의 조회 테이블에서 TargetLib에 대한 공격 코드를 가리키고 포인터를 대상 루틴에 참조하고 공격이 방해받지 않고 진행됩니다.

ASLR이 작동하지 않는 방식에 대해 알고 있습니까? 기술 된 바와 같이, 나는 그것이 보안 문제의 이미지를 제공하지만 실제적인 내용은 제공하지 않고 속도 위반보다 더 많은 것을 보지 못하기 때문입니다. 내가 놓친 게 있니?

Answer 1

나는 이것이 공유 라이브러리의 기본 주소를 변경하기 때문에 효과적이라고 생각합니다. 공유 라이브러리에서 가져온 함수는로드 될 때 실행 이미지에 패치되므로 프로그램 자체의 코드 전체에 흩어져있는 데이터와 코드를 가리키는 특정 주소 만있는 테이블 자체는 없습니다.

단순한 버퍼 오버런 (스택의 반환 주소를 설정할 수 있음)이 오버런에 올바른 위치를 결정하기위한 코드가 포함되어 있어야하고 그 다음에 jmp가되어야하는 곳으로 만들기 때문에 효과적인 공격을 할 수 있습니다 . 아마도 이것은 단지 더 어렵게 만듭니다.

사실상 Windows의 모든 DLL은 실행되지 않을 가능성이 높고 이동 될 기본 주소 용으로 컴파일되지만 코어 Windows는 기본 주소가 최적화되어 재배치가 필요하지 않습니다.

Answer 2

정확하게 질문 할 수 있을지 모르겠지만 ASLR이 효과적 일 때와 그렇지 않은 경우를 설명해 드리겠습니다.

app.exe와 TargetLib.dll이 있다고 가정 해 보겠습니다. app.exe가 TargetLib.dll을 (를) 사용하고 있습니다. 설명을 간단하게하기 위해 가상 주소 공간에는이 두 모듈 만 있다고 가정 해 봅시다.

둘 다 ALSR을 사용하는 경우 app.exe의 기본 주소를 알 수 없습니다. 그것은로드되었을 때 일부 함수 호출 주소를 해결할 수 있지만 공격자는 함수의 위치도 해석 된 변수의 위치도 알지 못합니다. TargetLib.dll이로드 될 때도 마찬가지입니다. app.exe에 찾아보기 테이블이 있어도 공격자는 테이블의 위치를 ​​알 수 없습니다.

공격자가 특정 주소의 내용을 알 수 없으므로 공격자는 고정 주소 정보를 사용하지 않고 응용 프로그램을 공격해야합니다. 일반적으로 스택 오버플로, 힙 오버플로, 사용 후 무료 등의 일반적인 공격 방법을 사용하는 것이 일반적으로 어렵습니다.

반면에 app.exe가 ASLR을 사용할 수없는 경우 공격자가 훨씬 쉽게 응용 프로그램을 악용 할 수 있습니다. 앱의 특정 주소에 흥미로운 API에 대한 함수 호출이있을 수 있기 때문입니다.exe 및 공격자가 주소를 대상 주소로 사용하여 점프 할 수 있습니다. (응용 프로그램 공격은 보통 임의의 주소로 점프하기 시작합니다.)

보충 자료 : 이미 알고 계시 겠지만 한 가지 명확한 내용을 원합니다. 공격자가 메모리 손상과 같은 취약점으로 애플리케이션을 악용 할 때 그는 보통 fixed address jump instruction을 사용해야합니다. 그들은 relative address jump 명령을 이용할 수 없습니다. 이것이 ALSR이 이러한 공격에 실제로 효과적인 이유입니다.