dz旅游网站模板,广西柳州网站建设公司,我国的跨境电商平台有哪些,相关网站查询摘要#xff1a; 本文以安卓8终端为载体#xff0c;介绍阿里安全潘多拉实验室成员研究并提出的内核空间镜像攻击利用技巧。文/图 阿里安全潘多拉实验室 团控编者按#xff1a;团控#xff0c;阿里安全潘多拉实验室研究人员#xff0c;该实验室主要聚焦于移动安全领域…摘要 本文以安卓8终端为载体介绍阿里安全潘多拉实验室成员研究并提出的内核空间镜像攻击利用技巧。
文/图 阿里安全潘多拉实验室 团控编者按团控阿里安全潘多拉实验室研究人员该实验室主要聚焦于移动安全领域包括对iOS和Android系统安全的攻击和防御技术研究。团控的主攻方向为安卓系统级漏洞的攻防研究。在今年3月的BlackHat Asia和4月份的HITB上团控受邀做了主题为《内核空间镜像攻击》的演讲。以下为团控该研究主题的技术分析文章。一、前言在现代操作系统中系统运行的内核空间和应用程序的用户空间相互隔离以保证操作系统的稳定性。以运行Linux内核的ARM终端为例内核空间和用户空间拥有不同的页表信息并保存于不同的硬件寄存器。另外内核运行时的特权等级高于用户态程序无论何时内核空间对普通程序是不可见的。然而ARM处理器的某些特殊硬件特性能够打破这种保护使得普通程序在用户态能够直接访问内核空间直接打破内核空间与用户空间的隔离修改内核代码开启上帝模式。下文以安卓8终端为载体介绍阿里安全潘多拉实验室成员研究并提出的内核空间镜像攻击利用技巧。二、正文背景2017年下Google发布了Android 8(奥利奥)系统。新系统在安全方面引入了多种内核安全加固特性以对抗漏洞程序获取手机的最高权限。其中最为重要的安全特性就是PAN(Privileged Access Never)和KASLR(Kernel Address Space Layout Randomization)。可见利用一个漏洞来获取众多最新手机系统的最高权限是非常有挑战性的。在详述内核空间镜像攻击之前首先简单介绍ReVent通用ROOT方案。该方案基于林雷雷(Aliaba Group)发现的一个linux内核BUG。这个BUG存在与notification内核系统调用:[1]处计算文件名的长度并根据长度在[2]分配相应的存储buffer在[3]拷贝文件名字符串。这个BUG在于从[1]到[3]的代码路径上此文件能够被重命名导致[3]发生内核堆越界覆盖。通过巧妙的堆布局并覆盖适合的内核对象(eg: iovs)能够将其转化为在条件竞争下几乎任意内核地址的一次写操作。堆布局实例如下:为了向普通应用程序提供服务用户程序的地址空间对操作系统内核是可见的。为了防止内核直接执行用户程序提供的恶意代码早些年ARM处理器就引入了PXN(Privileged Execute Never)安全特性来缓解漏洞利用。虽然内核不能直接执行用户态代码但可以直接访问用户态数据。利用一次写内核地址的机会劫持内核数据指针。在Android 7及以下的安卓终端上一种常见的绕过PXN防御机制的方法如图所示。Android 8引入了PAN防御机制使得内核无法直接访问用户态数据上述绕过PXN防御机制的方法立即失效。虽然多次触发上述条件竞争漏洞将payload数据写入内核可以用于绕过PAN但exploit代码执行成功率急剧下降。另外借助其他内核漏洞(eg: CVE-2017-13164)可以将数据稳定写入内核但在漏洞急剧减少的情况下能否通过新的利用技巧同时绕过PXN和PAN防御机制并获取系统最高权限借助ARM处理器的MMU硬件特性答案是肯定的。内核空间镜像攻击Linux内核经典的三级页表(PGDPMDPTE)布局和遍历关系如下图所示。绝大多数的现代处理器已带有地址管理单元MMU上述虚拟地址转换关系实际由其自动完成。ARM处理器也不例外其通用的的地址转换关系如图所示。安卓系统采用三级页表Level 0页表并未使用。各级页表中的描述符不仅包含了下一级起始物理地址还包含了对这段内存的访问属性。ARM有两种描述符block和table。最后一级页表单独表示。上述页表描述符中output address保存物理地址两端比特位保存内存属性信息。内存的执行属性由XN比特决定PXN比特决定该内存的代码能否在内核态执行。而AP[2:1]两比特的组合决定了内存的读写权限。其中01组合比较奇怪。按照此种设计该内存能够被用户态和内核态同时访问对应的虚拟地址既可以是用户地址也可是内核地址。如果某个内核虚拟地址的访问权限被设定为此组合所有的普通应用程序都能够直接此内核地址。显然这个地址已超出任何普通应用程序自身的地址范围。由于虚拟地址空间的相互隔离内核地址对应用程序本就不可见。而这个组合直接违反了二者隔离的安全设计且操作系统内核对此是无法感知的。按照上述页表遍历的方式修改任意内核虚地址的访问属性需要内核任意地址读写原语(Arbitray R/W Primitive)这个条件是非常强的。如果攻击者已经拥有了这种原语可直接获取系统最高权限。上述漏洞给予一次几乎任意内核地址写入的机会在此条件下常规的页表攻击方式基本失效。假设某台安卓终端拥有3GB内存。在没有开启内核地址随机化防御机制时常见的一级页表布局如下。以0xFFFFFFC000000000起始的1GB内核虚地址空间为例内核Image被加载到此范围。内核代码段的访问属性是R-X而内核数据段的访问属性是RW-。因此一级页表描述符一定是TABLE类型。64位内核空间的虚拟地址绝大多数是无效的比如[0xFFFFFFC200000000, 0xFFFFFFC23FFFFFFF]范围的地址都是无效的其对应的一级页表项为空。假设此页表项不为空存在一个BLOCK类型的页表项。其AP组合为01output address指向第一块1GB的物理内存如图所示。通常情况下“0xFFFFFFC03000200”内核地址只能够被内核访问。而此时“0xFFFFFFC230002000”内核地址能够被用户态和内核态同时访问。上述内核虚地址访问是同一块物理内存二者的访问权限可完全不同。即可实现代码段在原有的虚拟地址范围是R-X权限而在镜像虚拟地址范围是RW-权限且能够被所有的应用程序所访问。换句话说内核所运行代码都能被直接篡改内核层面的检测根本无从谈起。此时根本不需要去获取系统的最高权限因为系统内核代码已经完全可控开启真正的上帝模式。结合上述漏洞攻击者已经可以将一个用于开启上帝模式的一级页表项写入到指定的位置这个指定位置是需要精确计算的。Linux内核一级页表的起始地址保存在内核数据段的swapper_pg_dir那么页表项的地址可以通过简单公式计算。对于开启内核地址随机化的系统只需修正swapper_pg_dir的真实地址即可。swapper_pg_dir (Kernel_Mirroring_Base / 1G) * 8至此上帝模式已经开启。攻击者可以运行如下的攻击代码。这段攻击代码直接修改内核数据patch内核代码。而对于普通C开发程序员或者Linux内核开发人员来说已经违背了现代操作系统的常识绝对是无稽之谈。然而在上帝模式下这段代码就能真实的运行。在上帝模式下攻击者已经可以在用户态直接操作内核上述代码的攻击演示视频(http://v.youku.com/v_show/id_XMzY0NjU3MTA1Mg.html?spma2hzp.8244740.0.0)此时Android 8终端的PXN和PAN内核防御机制已对攻击者完全无效。完整地获取Pixel 2XL手机的最高权限攻击的视频链接](http://v.youku.com/v_show/id_XMzU0MjA0NjY5Mg.html?spma2h3j.8428770.3416059.1)。结尾内核空间镜像攻击除了能够直接攻破安卓8重要的防御机制外还能够将一些看似不能被利用危害评级较低的漏洞赋予重生的能力典型的例子CVE-2017-0583。同时这个漏洞被Google作为有效防御的案例在zer0conf2017(Your Move: Vulnerability Exploitation and Mitigation in Android)上举例。关于如何100%成功率的利用这个漏洞的相关内容参看BlackHatAisa2018KSMA: Breaking Android kernel isolation and Rooting with ARM MMU features的后部分内容。硬件设计的不合理危害性远高于软件层面且修补更新更为困难。在设计之初就将安全性作为一项重要的指标是最佳的选择。原文链接本文为云栖社区原创内容未经允许不得转载。
