缓冲区溢出漏洞分析技术研究进展

一.缓冲区溢出攻击步骤:

  1. 注入攻击代码
  2. 跳转到攻击代码(核心环节)
  3. 执行攻击代码

二.缓冲区溢出按照所攻击对象的不同可分为 3 类

  1. 破坏栈数据

    ​ 改变 RETADDR 的值,使其存放已经注入到栈中的攻击代码的地址或者是代码区中某些具有特权的系统函数地址(比如 system)。

  2. 破坏堆数据

  3. 更改类函数指针

三.缓冲区溢出漏洞分析技术

  1. 漏洞自动检测技术

    • 静态检测按照对模型节点的遍历方法分类
      1. 正向分析:指从可能发生缓冲区溢出漏洞的源节点出发,正向遍历模型中的节点,在遍历的过程中生成相应约束或提取部分属性进行分析的分析方法。
      2. 逆向分析:指从可能发生缓冲区溢出漏洞的槽 (sink)节点出发,逆向遍历模型中的节点,在遍历的过程中生成相应约束或提取部分属性进行分析的方法。
      3. 无向分析:指在分析过程中不考虑节点的前驱节点、后继节点和到达节点的条件等语义信息,只考虑节点自身的语法信息进行分析的方法。
    • 静态检测按技术种类,采用技术,及分析侧重点分类
      1. 基于抽象解释的缓冲区溢出漏洞静态检测技术
      2. 基于符号执行的缓冲区溢出漏洞静态检测技术
      3. 基于污染传播的缓冲区溢出漏洞静态检测技术
      4. 基于特征分类的缓冲区溢出漏洞静态检测技术
  2. 漏洞自动修复技术

    • 漏洞修复技术可按 照修复策略的复杂程度分为 3 种

      1. 采用简单修复策略的缓冲区溢出漏洞修复技术

        在进行溢出漏洞修复时,只采取 1 条简单常规修复策略的漏洞自动修复技术。例如,对所有要修复的对象都在访问缓冲区前加入条件判断语句,以确保访问位置在缓冲区分配大小内。

      2. 采用复合修复策略的缓冲区溢出漏洞修复技术

        在进行溢出漏洞修复时,采取多条常规修复策略的漏洞自动修复技术。例如,在修复过程中,依据不同情况采用扩充缓冲区分配大小、访问缓冲区前增加条 件判断、替换可能会发生缓冲区溢出漏洞的不安全函数操作等不同策略进行修复。

      3. 采用其他修复策略的缓冲区溢出漏洞修复技术

        对软件进行遗传变异或者其他非常规的方法对溢出漏洞进行自动修复。

  3. 漏洞运行时防护技术

    • 被动防护技术

      旨在保障内存中某些关键对象或性质完整性的防护技术。在程序运行过程中,时刻验证监控某些性质是否得到满足或者某些状态值(如栈中的返回地址或者 EBP)是否没被修改。因为时刻在验证关键对象或性质的完整性,当攻击出现时,该技术可以被动地检测到有人尝试在修改某些关键对象或者性质,并在攻击的触发下做相应的防护处理,因此称其为被动防护

      1. 插入canary

        StackGuard:该方法在函数调用栈的 RETADDRLOCVAR 之间加一个 canary 值。每次要跳转、执行到 RETADDR 对应地址的指令之前,先验证 canary 值是否改变:若 canary 值没有改变,则程序正常运行;若 canary 值发生了改变,则中断程序运行。

        为了防止攻击者伪造canary值进行攻击,生成canary值有以下3种办法:

        ​ (1) 随机产生 canary 值,以提高攻击者通过伪造 canary 值而通过完整性验证的难度。

        ​ (2) canary 值中含有字符串终止符,使得攻击者拷贝攻击载荷时无法顺利完成。

        ​ (3) 计算 canary 值和 RETADDR 的异或值,将该异或值保存到一个全局表中,在每次使用 RETADDR 值前,都要计算一遍当前 RETADDR 的值和 canary 的异或值,判断其与全局表中对应的值是否一致, 以提高攻击者构造的攻击向量通过完整性验证的难度。

        Propolice:借鉴了 StackGuard 方法.该技术与 Stackguard 不同之处主要有两点:

        ​ (1) Propolice 重排了局部变量的位置,将局部变量中的数组变量排在最高地址,这样就保障了局部变量不会被缓冲区溢出影响。

        ​ (2) 把 canary 值放在 LOCADDREBP 之间,这样不仅保护了 RETADDR 的值,还保护了 EBP 的值。

      2. 存储RETADDR

        StackShield:每次产生 RETADDR 时,就 把该值存储到一个全局的表中。每次要跳转执行前,都比较一下栈上的 RETADDR 值和全局表中的值:若相同,则程序正常执行;若不同,则中断程序执行。同时还对函数指针进行保护,每次函数指针进行解引用之前,都要判断该指针是否指向代码区:若指向代码区,则程序正常执行;若指向非代码区,则中断程序执行。

      3. 指针前后加guardzone

        LBC:首先在每个对象前后都插入一个值 guardzone。然后,用静态分析的方法选出发生算术加减的指针。接下来,每当对选出来的指针进行解引用时都进行检查,判断指针解引用对应的值是否等于 guardzone:如果不等,则程序继续运行;如果相等,则提示出现了访问错误。

      4. 低脂指针

        分配内存时,把缓冲区基地址信息、缓冲区大小信息等元信息映射到分配的指针上,从而高效地实现了对缓冲区的边界检测,防止运行时缓冲区溢出的发生。

    • 主动防护技术

      旨在保障内存中某些关键对象/性质的机密性/可用性的防护技术。攻击者要想实现攻击,必须对程序运行时的内存某些关键部分(如 EBP 的内存具体位置)布局情况了解,而如果通过某些技术手段保障了这些关键部分的机密性,让攻击者无法顺利地得到其内存位置信息,那么攻击者就很难攻击成功。主动地保障关键对象/性质的机密性/可 用性,在程序运行时已经对内存布局进行修改或者对函数使用做了替换,提高了攻击者预测具体内存 信息的难度(保障机密性)或者无法利用不安全的函数(保障可用性)。

      1. 更换动态链接库

        LibSafe:对于含有容易被攻击者所利用的类似 strcpysprintf 等易发生缓冲区溢出的函数的动态函数链接库进行替换,将其替换成相对应的提供缓冲区边界检测的安全的动态函数链接库。

      2. 加密指针型数据

        PointGuard:对指针型数据进行加密后再将其存放在内存中,指针解引用前再在寄存器中解密。这样即使攻击者通过利用缓冲区溢出漏洞修改了内存中的指针数据,解密后的指针指向的真正内存位置也不会是攻击者预想的位置。

      3. 随机化内存地址

        ASLR:对堆、栈、数据段等内存地址的随机化,增加攻击者预测目的地址的难度,提高了缓冲区溢出攻击的难度,同时降低了利用缓冲区溢出漏洞的病毒的传播速度。

      4. 去堆栈布局可预测性

        StackArmor:通过对逻辑栈帧先分割再置换的方式,彻底地打乱栈帧内变量和变量的分配位置信息、栈帧和栈帧间的位置信息,达到不让逻辑上相邻的栈空间内存在物理上相邻的目的,使得每个栈帧对象地址难以预测。

热门相关:首席的独宠新娘