不不可能完成的任务从 用户空间窃取内核数据 Yueqiang Cheng, Zhaofeng Chen, Yulong Zhang, Yu Ding, Tao Wei Baidu Security
|
|
|
- 小善 甄
- 6 years ago
- Views:
Transcription
1 不不可能完成的任务从 用户空间窃取内核数据 Yueqiang Cheng, Zhaofeng Chen, Yulong Zhang, Yu Ding, Tao Wei Baidu Security
2 关于演讲者 Dr. Yueqiang Cheng 我们的安全项 目: Mr. Zhaofeng Chen Mr. Yulong Zhang Dr. Yu Ding Dr. Tao Wei
3 怎样从 用户空间读取未授权的内核数据?
4 这为什什么很难? 强有 力力的内核 - 用户隔离 (KUI) MMU- 页表 (Page Table) 的加持 假设内核 无缺陷 : 无内核缺陷来任意的读取内核数据
5 KUI 里里的内存访问 虚拟地址 查询 TLB 查询失败 截取 页表 查询成功 保护检查 更更新 TLB 拒绝 保护失败 准许 物理理地址 SIGSEGV
6 权限检查 1: 页表许可 2: 控制暂存器器, 例例如, SMAP in CR4 Image from Intel sdm
7 无计可施? 1. 非特权应 用程序 + 2.KUI 权限检查 + 3. 无缺陷内核
8 但, 为了了获得 高性能的 CPU 1. 非特权应 用程序 + 2.权限检查 + 3. 无缺陷内核
9 高性能 推测执 行行 + 无序执 行行
10 投机执 行行 S 无推测执 行行 F T 正确预测 E 错误预测
11 无序执 行行 例例 子 : 数据流图 有序执 行行 : 无序执 行行 : Images are from Dr. Lihu Rappoport
12 推测执 行行 + 无序执 行行 够了了么? 不不够!!!
13 延迟的权限检查 + 缓存副作 用 执 行行引擎以 无序 方式执 行行 前端分 支预测器器服务于推测执 行行 缓存中的副作 用仍然存在!!! 权限检查延迟到注销单元 Image from
14 Meltdown (v3) 的 工作原理理 1. 攻击者选择的, 无法访问的内存位置的内容将加载到寄存器器中 指向 目标内核地址
15 Meltdown (v3) 的 工作原理理 2. 临时指令根据寄存器器的秘密内容访问缓存线 将数据放 入缓存 这个数字应该 >= 0x6
16 Meltdown (v3) 的 工作原理理 3. 攻击者使 用 flush+reload 来确定访问的缓存线, 从 而确定存储在所选内存位置的秘密 阵列列基 256 槽 所选索引是 目标字节的值 例例如, 如果所选索引为 0x65, 则值为 A
17 ForeShadow 把秘密放在 一级取消映射 页表条 目 Meltdown
18 Spectre(v1/v2) 怎么样?
19 Sepctre(v1) 的 工作原理理 1. 在设置阶段, 处理理器器被错误的训练去做出 一个可被利利 用的错误的推测 例例如, x < array1_size 指向 目标地址 阵列列 2 的槽索引泄漏漏数据 真正的执 行行流程和推测执 行行在这 里里
20 Sepctre(v1) 的 工作原理理 2. 处理理器器推测地将来 自 目标上下 文的指令执 行行到微体系结构的隐蔽通道中 例例如, x > array1_size 执 行行流程应该在这 里里 推测执 行行在这 里里! 将 array2 的 一个槽加载到缓存中
21 Sepctre( v1) 的 工作原理理 3: 可以通过定时访问 CPU 缓存中的内存地址来恢复敏敏感数据 Array2 基类 256 槽 所选索引是 目标字节的值 例例如, 如果所选索引是 0x66, 那对应值就是 B
22 Sepctre 如何读取内核数据 ü array1 和 array2 在 用户空间中 ü x 由对 方控制 array1+x 指向秘密 array2 槽索引泄漏漏内核数据
23 耶! 我们现在得到内核数据了了 1. 非特权应 用程序 + 2.权限检查 + 3. 无缺陷内核
24 但是... KPTI Meltdown Spectre (Gadget in User SMA Spectre P (Gadget in Kernel Space)
25 KPTI 内核空间 内核空间 内核空间 用户空间 用户空间 用户空间 用户 / 内核模式内核模式 用户模式 KPTI 之前 KPTI 之后 PCID 有助于提 高性能
26 SMAP 用户模式 ( 用户空间 ) 监督者模式 ( 内核空间 ) ü 当 CR4 中的 SMAP 位被设置时,SMAP 将被启 用 ü 通过对 EFLAGS.AC 标志的设置, 可临时禁 用 SMAP ü SMAP 检查早在退役, 甚 至执 行行之前就已经完成了了 即使我们把 Spectre 组件放进内核空间, SMAP 也会阻 止它
27 攻击和规避总结 技术 窃取内核 数据? 规避规避之后, 内核数据泄 漏漏? Spectre 成功 KPTI + SMAP 失败 Meltdown 成功 KPTI 失败 ForeShadow 成功 KPTI 失败 仅 用于内核数据泄漏漏 其它总结不不包含在这 里里
28 Image from 绝望... KPTI + SMAP + KUI
29 绝望中的希望 内核空间 内核空间 内核空间 这部分不不能被消除 用户空间 用户 / 内核模式 KPTI 之前 用户空间 内核模式 KPTI 之后 用户空间 用户模式 共享范围作为泄漏漏内核数据的桥
30 新型 Meltdown v3z 中断 SMAP + KPTI + 用户内核隔离 1: 使 用新的组件在 目标内核数据和桥之间建 立数据依赖关系 ( 绕过 SMAP) 2: 使 用可靠的 Meltdown 来探查桥, 从 而泄漏漏内核数据 ( 绕过 KPTI 和 KUI)
31 第 一步 : 触发 New Gadget 与 Spectre 组件类似, 但不不完全相同 指向 目标地址 桥 的槽序数 Arr2+offset 是 桥 的库 x and offset 应由对 方控制!!
32 如何触发新的组件 有很多 方法可以触发新的组件 : 1: Syscalls 2: /proc and /sys 等接 口 3: 中断和异常处理理程序 4: ebpf 5:
33 如何找到新的组件 源代码扫描 我们在 Linux Kernel 中使 用 smatch, Ø 默认设置 : 36 备选组件 Ø 全选设置 : 166 备选组件 However, there are many restrictions to the gadget in real exploits ü 偏移量量范围 ü 可控调 用 ü 缓存噪 音 ü 二进制代码扫描??
34 第 二步 : 探查桥 用户空间 用户数组库 桥 桥库 显然, 每 一轮都有 (256*256) 个探测为了了使结果可靠, 通常我们需要运 行行多轮次 低效
35 使其实 用 / 高效 用户空间 用户数组库 桥库 为什什么我们需要在 Meltdown 里里探测 256 次? 如果我们知道桥库槽 0 的值, 我们只需探测 一次 桥 我们可以提前知道这个值吗?
36 不不适 用于 Meltdown (v3) Meltdown 能够读取内核数据 但是, 它要求 目标数据在 CPU L1d 缓存中 如果 目标数据不不在 L1d 缓存中, 0x00 返回. 我们需要可靠地读取内核数据!
37 可靠的 Meltdown (V3r) V3r 共有两步 : 第 一步 : 将数据放 入 L1d 缓存 指向 目标地址 内核中的任何地 方 第 二步 : 使 用 v3 获取数据 我们使 用 Intel CPU E v6 在 Linux 4.4.0, 和 Intel CPU I7-4870HQ 在 MacOS (16G1036) 上进 行行测试
38 信息汇总 离线阶段 : Ø 使 用 v3r 转储 网桥数据, 并将其保存到表中 在线阶段 : Ø 第 一步 : 在 目标数据和桥槽之间建 立数据依赖关系 Ø 第 二步 : 探测桥的每个槽 效率 : Ø 从 几分钟 ( 在某些情况下甚 至是 1 小时左右 ) 到只要 几秒钟只泄漏漏 一个字节
39 演示设置 内核 : Linux with SMAP + KPTI CPU: Intel CPU E v6 在内核空间, 我们有 一个机密消息, 例例如, xlabsecretxlabsecret, 位置在, 例例如, 0xffffffffc0e7e0a0
40 探讨对策 软件规避 ü 修补内核以消除所有预期的组件 ü 最 小化共享的 桥 区域 ü 随机化共享的 桥 区域 ü 监视基于缓存的侧通道活动
41 探讨对策 硬件规避 ü 在执 行行阶段中执 行行权限检查 ü 修改推测执 行行和 无序执 行行 ü 使 用侧通道抗缓存, 例例如独占 / 随机缓存 ü 增加硬件级侧通道检测机制
42 重点信息 在启 用 KPTI + SMAP + KUI 的情况下,Trinational Spectre 和 Meltdown 无法窃取内核数据 我们新型的 Meltdown variants 能够打破最强的保护 (KPTI + SMAP + KUI) 所有现有的内核都需要修补以规避我们的新攻击
43 Q&A image is from 不不可能完成的任务从 用户空间窃取内核数据 Yueqiang Cheng 百度安全
1 2 3 4 5 6 7 8 9 10 11 12 3.1 4.5 8.5 14.5 19.5 23.9 28.2 27.9 23.3 17.6 11.9 5.8 7.2 8.7 13.0 19.2 24.0 28.0 32.0 31.7 27.2 22.2 16.4 10.1-0.1 1.2 5.0 10.7 15.8 20.7 25.0 24.9 20.2 13.8 8.2 2.3 42 62.7
1736 34 35 1323 1371 48 1487 1537 50 1538 1556 18 1556 1575 19 1595 1616 26 1736 1740 1736 1739 40 1751 561 1 1 2 2 1980
Qcon北京2018-《唯快不破——高效定位线上 Node.js 应用内存泄漏》-黄一君
唯快不不破 高效定位线上 Node.js 应 用内存泄漏漏 关于我 @hyj1991 (GitHub, CNode) @ 黄 一君,Easy-Monitor 作者 @ 阿 里里云计算有限公司, 高级开发 工程师,Node.js 性能平台 背景 作为中间层, 前后端分离 长连接, 纯服务端应 用 NW.js Electron 等构建跨平台客户端 Java Services RPC calls, protocols
<4D F736F F D20B5DAC8FDCBC4D5C2D7F7D2B5B4F0B0B82E646F63>
第三章 Q3 1 1. 省略了 I/O 操作的复杂逻辑, 易实现, 耗费低 ; 2. 可以利用丰富的内存寻址模式实现灵活的 I/O 操作 Q3 2 假设存储单元 ds1 处寄存器地址为 0x2000, 代码如下 #define ds1 0x2000 while ( *ds1 == 0 ) ; Q3 3 假设设备 (dev1) 中有两个寄存器 ds1 和 dd1,dev1 的地址为 0x1000,ds1
PowerPoint Presentation
中 小 IT 企 业 人 力 资 源 管 理 咨 询 简 介 一 背 景 分 析 二 需 求 分 析 三 服 务 内 容 四 操 作 流 程 五 斯 隆 优 势 六 行 业 案 例 七 服 务 理 念 目 录 一 背 景 分 析 -IT 业 现 状 分 析 IT 产 业 的 总 量 水 平 较 低 中 国 IT IT 现 状 总 体 规 模 较 小 技 术 自 主 创 新 能 力 差 对 经 济 的
考 試 日 期 :2016/04/24 教 室 名 稱 :602 電 腦 教 室 考 試 時 間 :09:50 25 26 27 28 29 30 31 32 33 34 35 36 二 技 企 管 一 胡 宗 兒 中 文 輸 入 四 技 企 四 甲 林 姿 瑄 中 文 輸 入 二 技 企 管 一
考 試 日 期 :2016/04/24 教 室 名 稱 :602 電 腦 教 室 考 試 時 間 :09:50 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 五 專 企 二 乙 胡 哲 維 中 文 輸 入 五 專 企 二 乙 周 林 昜 中 文 輸 入 五 專 企 二 乙 賴 昱 樺 中 文 輸 入 五 專 企 二 乙
入 大 立立 手 口 面 耳 鼻 耳 鼻 子 耳 鼻 生 生 耳 鼻 耳 鼻 耳 鼻 小 手 入 大 一 支 手 入 支 立立 手 入 支 手 入 石 口 口 支 手 支 手 手 支 入 入 入 人 人 人 人 人 田 手 入 耳 鼻 手 入 小 一 支 人 見見 赤 十 耳 鼻 金金 口 手 支
入 大 立立 手 口 面 耳 鼻 耳 鼻 子 耳 鼻 生 生 耳 鼻 耳 鼻 耳 鼻 小 手 入 大 一 支 手 入 支 立立 手 入 支 手 入 石 口 口 支 手 支 手 手 支 入 入 入 人 人 人 人 人 田 手 入 耳 鼻 手 入 小 一 支 人 見見 赤 十 耳 鼻 金金 口 手 支 入 日 耳 鼻 大 士 手 入 口 口 支 立立 耳 鼻 田 大 手 入 人 耳 鼻 山 手 入 山
Intruduction to the NGINX stream subsystem and OpenResty's support
NGINX stream 子系统的简介 以及 OpenResty 对其的 支持 孙 大同 (@dndx) OpenResty Con 2017 北北京 2017 年年 10 月 21 日 关于我 90 后 曾在 LinkedIn,Cloudflare 等公司 工作 OpenResty Inc. 技术合伙 人 热爱钻研底层技术以及折腾 飞 行行爱好者 拥有固定翼私 人 飞 行行执照, 仪表 飞 行行资质以及
CloudNative应用实践V3
Cloud Native( 云原 生 ) 应 用实践 王磊磊 华为 / 中软 / 软件 工程技术专家 ThoughtWorks 首席咨询师 Sybase Tech Leader 微服务架构与实践 作者 DevOps Handbook 中 文译者之 一 国内较早倡导和实践微服务的先 行行者 对 自动化测试 / 持续集成 / 持续交付有丰富的实战经验 西安 DevOps Meetup 联合发起 人 3
秘密大乘佛法(下)
印 度 佛 教 史 (25) 101 / 12 / 24 釋 清 德 秘 密 大 乘 佛 法 ( 下 ) 印 度 佛 教 思 想 史 第 十 章 第 三 節 金 剛 乘 與 天 行 一 秘 密 大 乘 稱 金 剛 乘 採 取 表 徵 主 義 1 三 四 五 方 佛 大 乘 佛 法 興 起, 傳 出 十 方 現 在 的 無 數 佛 名 現 在 有 佛 在 世, 可 以 滿 足 佛 涅 槃 後, 佛 弟
國立臺東高級中學102學年度第一學期第二次期中考高一國文科試題
國 立 臺 東 高 級 中 學 102 學 年 度 第 一 學 期 第 二 次 期 中 考 高 一 國 文 科 試 題 卷 畫 答 案 卡 : 是 否 ( 班 級 座 號 科 目 代 號 畫 錯 扣 5 分 ) 適 用 班 級 :1-1 1-9 1-11 考 試 範 圍 : 梧 桐 樹 醉 翁 亭 記 古 橋 之 戀 樂 府 詩 選 論 語 選 一 默 寫 : 依 原 文 將 正 確 文 句 填 入
!! :!!??!!?!??!!!... :... :'?'?! :' ' :'?' :'?' :'!' : :? Page 2
??????...! ; --- --- --- : ---!!! ---!! ---?????... http://www.phpget.cn Page 1 !! :!!??!!?!??!!!... :... :'?'?! :' ' :'?' :'?' :'!' : :? http://www.phpget.cn Page 2 ---...?!... :...! :...?!!...!!?!?!...?!
<D2B0D0C4D3C5D1C52DC8CED6BEC7BF202D20BCC7CAC2B1BE>
任 志 强 回 忆 录 哪 怕 一 个 再 渺 小 的 个 人, 也 可 以 为 一 段 历 史, 甚 至 一 段 很 重 要 的 历 史 背 书! 一 个 变 革 的 时 代, 一 群 过 河 的 人, 一 种 野 心 优 雅 的 实 现! 一 部 民 营 企 业 和 创 业 人 生 的 心 灵 史 生 死 书! 平 时 就 很 敢 说 的 任 志 强, 这 次 说 的 更 赤 裸! 历 时 两
Microsoft Word - Sunday20130908
權 能 的 來 源 安 童 牧 師 事 工 简 介 : -- 摘 自 安 童 牧 師 2013 年 9 月 8 日 主 日 信 息 神 呼 召 他, 最 初 在 街 上 接 納 養 育 得 痲 瘋 的 孩 子, 神 藉 着 一 个 单 纯 顺 服 的 仆 人 做 了 极 大 的 事 工, 現 在,8000 印 度 兒 童 參 與 他 的 服 事 目 前, 二 萬 三 千 多 兒 童 參 與 他 的
ECF_Signals_and_Nonlocal_Jumps_罗世通
异常控制流 : 信号与 非本地跳转 ECF: Signals & Nonlocal Jumps 罗世通元培学院 2018 年年 12 月 6 日 1 为什什么需要信号? Simple Shell shellex.c Foreground job child process execve shell command fork waitpid Background job child process execve
ac2017-joeyguo-2.0.key
大型 Web 项 目可 用性提升 零脚本错误的实战 郭林林烁 2017.10 郭林林烁 (joeyguo) @ 腾讯 AlloyTeam 1 社区的相关提问 错误信息分析与优化 如何发现代码出了了问题? 开发测试与脚本错误 Web 安全与脚本错误 基础的监控体系组成 1 如何发现线上代码出了了问题? 1 不不可能有问题! 我的代码不不可能有问题! 2 不不可能不不可能不不可能 3 测试 / 用户反馈
Bilibili海量监测平台的演进之路
海海量量监测平台的演进之路路 平台化数据化 自主化全局性定位性 ç 的监测系统的演进经过如下 几个阶段 人 肉堆积阶段 监测系统的平台化建设 监测数据的分析和统计 研发和运维共同合作阶段 站点可靠性建设 1. 人 肉堆积阶段 - 采 用 比较原始的模式, 例例如系统监测采 用 Zabbix, 网络监测采 用 Cacti 等, 八仙过海海各显神通, 所有的数据都是 一个个海海上孤岛 2. 平台化建设
Microsoft Word - N3-CH3.doc
Chapter 3 借貸法則 分錄與過帳 第一部分 課本習題 含答案 問答題] 易 [會計科目] 1. 什麼是會計科目 帳戶 的正常餘額 在借方還是在貸方 答案 資產與費損類的科目增加時 應將增加金額記載在會計帳戶的借方 左方 則 資產與費損類的科目正常餘額即在借方 負債 權益與收益類科目增加時 應將 增加金額記載在會計帳戶的貸方 右方 則負債 權益與收益類的科目正常餘 額即在貸方 易 [會計分錄的內容]
IXDC
企业化设计与量量化数据分析群 设计量量化 可以拉 入相关 用户 数据增 长负责 人 濛 子 企业化设计 Design For Enterprise 企业化设计的特点 : 业务 目的化 为什什么设计师需要数据 认知差异与预测 用数字作为迭代决策的依据 35% 创造设计 40% 用户体验 25% 商务增 长 设计量量化思维 设计量量化 Data In Design 几 大问题 如何判断 一次改版成功?
构建高效的私有云平台V3
构建 高效私有云平台 今 日头条私有云平台架构设计夏绪宏 关于我 夏绪宏 @reeze 今 日头条研发架构负责 人 基础设施平台 PHP Committer\LAMP 大纲 01. 私有云 公有云在头条 02. 头条私有云平台架构设计 03. 遇到问题以及未来的规划 01. 私有云 公有云在头条 关于今 日头条 6 亿 用户 6600W DAU 76 分钟 日使 用时 长 7000w 5250w 3500w
201806fuchsia.key
Fuchsia 简介 许中兴 [email protected] Fuchsia 的来历 多年年的 Android, ChromeOS 开发经验 一 方 面让 Google 在操作系统 方 面积累了了 足够多的 人才和组件, 另 一 方 面也充分认识到了了 Linux kernel 很多的局限性 Fuchsia 是 一个全新的操作系统的统称 Google 挑选了了 一系列列它认为合适的技术和组件进
Hippy-VueConf
前终端统 一 方案 Hippy-Vue 设计和实现 腾讯 / QQ 浏览器器 SuperTeam / xqkuang 背景介绍 传统移动端开发模式, 无法满 足业务精细化运营需求, 急需寻找 一种 高性能 跨平台 动态发布的开发解决 方案 Web 开发效率 高 Native 开发效率低 前终端 一体化 开发效率 高 支持多平台 无法跨平台 支持双平台 可动态发布 发布复杂 可动态发布 体验差 体验好
1.【可以发布,不需去二维码】AS北京2017-张振华-美丽联合容器云平台建设的实战分享.key
美丽联合容器器云平台建 设的实战分享 张振华 ( 郭嘉 ) 美丽联合集团 - 基础平台虚拟化 张振华 ( 郭嘉 ) 美丽联合集团 高级技术专家 2014 年年加 入美丽联合, 虚拟化团队负责 人, 带领团队从 无到有建设集团的私有 IaaS 平台和 PaaS 平台, 见证了了美丽联合集团从物理理机 虚拟机到容器器的技术演进 目前聚焦在美丽联合集团容器器云平台的研发和基于容器器的 DevOps
20 1984 3 1990 7 1973 4 1985 1988 1988 9 1986 8 1973 4 1962 9 1981 3 1986 1993 7 1988 1988 1981 3 1962 8 1984 3 1987 1 1910 1950 1955 1 3 1941 1979 1991 1987 1 1989 4 1957 1 1965 12 1985
KV-cache 1 KV-cache Fig.1 WorkflowofKV-cache 2.2 Key-value Key ; Key Mem-cache (FIFO) Value Value Key Mem-cache ( Value 256B 100 MB 20%
38 11 2013 11 GeomaticsandInformationScienceofWuhanUniversity Vol.38No.11 Nov.2013 :1671-8860(2013)11-1339-05 :A GIS Key-value 1 1 1 1 (1 129 430079) : 设计了一种基于 Key-value 结构的缓存 KV-cache 旨在简化数据结构 高效管理缓存数据
spacex-giac
基于 BPMN 流程引擎驱动的 前端研发平台 姜天意 阿里巴巴 - 前端技术专家 www.top100summit.com Topic 前端 工程的变迁及对研发流程的诉求 基于 BPMN 流程引擎 - DSL 化 / 可编排的前端研发平台技术介绍 基础服务 BAAS 化与前端 工程架构分层 研发流程管理理带来的价值 没有 CDN 的时代, 开发者通过直接开发代码上传到 ftp 进 行行部署 工作流
OpenResty 动态流控的几种姿势
OpenResty 动态流控 的 几种姿势 OpenResty Open Talk 2019 深圳站 张聪 (@timebug) A Systems Engineer at 又拍云 Email: [email protected] Github: https://github.com/timebug https://github.com/upyun/upyun-resty UPYUN CDN
API网关在大数据开放中的应用-童剑-v0.3.key
API 网关在 大数据开放中的应 用 童剑 白 山 CTO 兼联合创始 人 2017/03/18 前 言 关于 大数据的 一些说法 数据是新的 石油 数据是 一种能源 马云 : 人类正从 IT 时代 走向 DT 时代 数据越来越多之后 各国政府也在推动政务数据的开放, 包括中国政府 企业和公共服务机构的数据如何 二次利利 用? 数据开放共享有多种形式, 该如何选择? 本次分享关键词 : 数据开放共享
!!!
!!!! "#$%! & (() **+,!!! (--. + (/! (/ !!! !! !!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!! "!!!!!!!!!!!!!!!!!!!!!!!!!!!!! #!!!!!!!!!!!!!!!!!!!!!!!!!!! #!!!!!!!!!!!!!!!!!!!!!!!!!!! $!!!!!!!!!!!!!!!!!!!!!!!!!!!!! %!!!!!!!!!!!!!!!!!!!!!!!!!!!