Скачать презентацию
Идет загрузка презентации. Пожалуйста, подождите
Презентация была опубликована 9 лет назад пользователемЛариса Наследышева
1 Олексюк Дмитрий eSage lab Беззащитная защита? Уязвимости в драйверах режима ядра
2 eSage lab Типы уязвимостей Уязвимости в реализации –При обработке IOCTL запросов –При обработке control flow данных –При обработке данных из общесистемных ресурсов Уязвимости в архитектуре
3 eSage lab Взаимодействие с драйвером Диспетчер ввода-вывода LPC Named Pipes Более сложные механизмы
4 eSage lab Диспетчер ввода-вывода Создание устройства –\Device\MyControlDevice Создание символьной ссылки –\\.\MyControlDevice Регистрация IRP обработчиков –IRP_MJ_CREATE –IRP_MJ_CLOSE –IRP_MJ_READ/ IRP_MJ_WRITE –IRP_MJ_DEVICE_CONTROL
5 eSage lab Диспетчер ввода-вывода
6 eSage lab I/O Control Code Device Type (16-31 биты) Access (14-16 биты) –FILE_READ_ACCESS –FILE_WITE_ACCESS –FILE_ANY_ACCESS Function (2-14 биты) Method (0-2 биты)
7 eSage lab Методы ввода-вывода METHOD_BUFFERED –Проверка указателей выполняется диспетчером –Данные копируются в не подкачиваемый пул –Самый безопасный но достаточно ресурсоёмкий METHOD_IN_DIRECT (METHOD_OUT_DIRECT) –Проверка указателей выполняется диспетчером –Для входных (выходных) данных создаётся MDL METHOD_NEITHER –Указатели передаются драйверу «as is» –Самый быстрый но нуждающийся в дополнительных проверках безопасности
8 eSage lab Уязвимости в реализации Неверная проверка указателей Неверная проверка размера данных Неверная проверка формата данных
9 eSage lab Проверка указателей User Mode адреса –MM_HIGHEST_USER_ADDRESS –MmUserProbeAddress –ProbeForRead() и ProbeForWrite() Kernel Mode адреса –MmIsAddressValid()
10 eSage lab Другие уязвимости в реализации Выход за границу буфера при обработке строк –При вызове strlen, strcpy, итд. Запись по неверному Kernel Mode адресу –Как результат уязвимости в архитектуре Некорректные дескрипторы –NtClose() -> INVALID_KERNEL_HANDLE Double-fetch уязвимости –Пример: уязвимость MS в win32k.sys
11 eSage lab Уязвимость типа double-fetch case IOCTL_PROCESS_DATA: { if (stack->Parameters.DeviceIoControl.InputBufferLength == sizeof(REQUEST_BUFFER)) { PREQUEST_BUFFER Buff = (PREQUEST_BUFFER)Irp->AssociatedIrp.SystemBuffer; UCHAR Data[BUFFER_SIZE]; if (Buff->Size Data, Buff->Size, 1); bOk = TRUE; } __except (EXCEPTION_EXECUTE_HANDLER) { // ProbeForRead вызвала исключение } if (bOk) { RtlCopyMemory(Data, Buff->Data, Buff->Size); // обработка полученых данных } break; }
12 eSage lab Ошибки при парсинге PE-файлов в антируткитах 1. Поиск ядра в записях списка загруженных системных модулей 2. Копирование оригинального файла 3. Модификация копии ядра 4. Подмена пути в LDR_DATA_TABLE_ENTRY
13 eSage lab Протестированные утилиты Rootkit Unhooker –Абсолютно корректная работа SafenSec Rootkit Detector –BSoD GMER –Аварийное завершение процесса gmer.exe IceSword –Завершение процесса с ошибкой
14 eSage lab Уязвимость MS Call Stack –win32k!NtUserMessageCall(…, lParam=Buffer, xParam=StringSize, …) –win32k!NtUserfnOUTSTRING() –nt!ProbeForWrite() Возможность обнуления произвольного байта в Kernel Mode памяти
15 eSage lab Системы безопасности и уязвимости в архитектуре Необходимо препятствовать получению дескриптора устройства со стороны потенциально злонамеренного кода –Фильтрация IRM_MJ_CREATE –Перехват NtCreateFile/NtOpenFile –Препятствие копированию дескриптора Перехват NtDuplicateHandle Препятствие открытию процесса
16 eSage lab Типы уязвимостей по методу эксплуатации Перезапись памяти Обнуление памяти Переполнение пула Переполнение стека
17 eSage lab Эксплуатация перезаписи памяти Модификация IDT Модификация GDT Эксплуатация методом перезаписи адреса обработчика системного вызова в KiServiceTable не надёжна
18 eSage lab Шлюз прерывания Offset High и Offset Low Segment Selector P (Present) DPL (Descriptor Privileges Level) D (16/32 bit)
19 eSage lab Шлюз вызова Type (1100b – 32-bit call gate) Parameters Count
20 eSage lab HalDispatchTable и уязвимости обнуления памяти Call Stack –nt!NtQueryInternalProfile() –nt!KeQueryInternalProfile() –hal!HalQuerySystemInformation()
21 eSage lab Эксплуатация уязвимости обнуления памяти 1. Поиск адреса HalDispatchTable и др. функций 2. Выделение памяти по 0x Затирание нулём указателя на HalQuerySystemInformation 4. Вызов NtQueryInternalProfile 5. Замена указателя HalQuerySystemInformation на заглушку
22 eSage lab Классические уязвимости Переполнение Пула –Сводится к эксплуатации уязвимости перезаписи памяти Переполнение стека –Нет необходимости копирования шеллкода на стек –Нет проверки целостности стека –Эксплуатировать очень легко
23 eSage lab Неэксплуатируемые уязвимости Чтение по некорректному адресу памяти Ошибки связанные с некорректными дескрипторами Ошибки связанные с внезапным завершением процесса
24 eSage lab Payload Снятие перехватов Запуск произвольного кода в Ring 0 Повышение привилегий
25 eSage lab Повышение привилегий 1. Получение указателя на EPROCESS системного процесса 2. Получение указателя на EPROCESS целевого процесса 3. Копирование значение поля AccessToken
26 eSage lab
27 eSage lab IOCTL Fuzzer Фаззинг IOCTL запросов с любыми методами ввода-вывода Логирование информации о запросах (включая данные) в файл или окно консоли Фильтрация IOCTL запросов –По имени устройства –По имени драйвера –По имени процесса –По I/O Control Code
28 eSage lab
29 eSage lab Уязвимые продукты Kaspersky Internet Security (kl1.sys) Defence Wall (dwall.sys) Avira Premium Security (avgntflt.sys) BitDefender Total Security 2009 (bdfndisf.sys) ZoneAlarm Security Suite (srescan.sys) Panda Global Protection 2009 (APPFLT.SYS) Internet Security 2009 (fsdfw.sys) И другие…
Еще похожие презентации в нашем архиве:
© 2024 MyShared Inc.
All rights reserved.