Розпорошення купи — це техніка, яка використовується хакерами для полегшення виконання довільного коду, як правило, як частина експлойту проти вразливості програмного забезпечення. Він працює шляхом розподілу численних структур даних «купи», що містять зловмисне корисне навантаження, таким чином збільшуючи ймовірність того, що вразливість переповнення буфера, наприклад, призведе до виконання коду зловмисника.
Генезис Heap Spray і перша згадка про нього
Розпорошення купи як техніка експлойту сягає корінням у кінець 1990-х і початок 2000-х років, коли Інтернет набував широкої популярності, а кібербезпека не була такою надійною, як сьогодні. Його перша велика згадка була в роботі етичного хакера та експерта з кібербезпеки SkyLined, який надав вичерпні описи та приклади техніки. Статті SkyLined допомогли проілюструвати серйозність розпилення купи як вектора загрози, що призвело до посилення зусиль щодо пом’якшення його впливу.
Heap Spray: поглиблене дослідження
Розпорошення купи передбачає заповнення купи – області пам’яті комп’ютера, яка використовується для динамічного розподілу пам’яті – фрагментами даних, що містять певну послідовність байтів, яку часто називають «NOP sled» або «NOP slide». Фактичне корисне навантаження експлойта, як правило, шелл-код, розміщується в кінці цієї послідовності. Ця домовленість по суті «направляє» потік виконання до корисного навантаження, якщо вразливість дозволяє керувати покажчиком інструкцій.
Розпорошення купи в основному використовується в атаках на програми, які мають помилку пам’яті, як правило, переповнення буфера або вразливість використання після звільнення. Ці помилки можуть дозволити зловмиснику перезаписати адресу пам’яті, яка, якщо маніпулювати точно, може бути використана для спрямування виконання до купи. Розпилення купи допомагає «підготувати» купу до цього, підвищуючи ймовірність того, що перенаправлене виконання приземлиться на корисне навантаження зловмисника.
Як працює Heap Spray: розтин техніки
Розпорошення купи працює шляхом заповнення простору купи копіями потрібної послідовності байтів. Ось спрощена послідовність процедури:
- Розпилення купи запускається, часто через JavaScript у веб-середовищі.
- Розпилювач купи заповнює купу кількома блоками пам’яті, що містять дані зловмисника.
- Розпорошені дані структуровані за допомогою саней NOP, що ведуть до корисного навантаження експлойта.
- Якщо присутня помилка, яку можна використовувати, виконання може бути перенаправлено на довільну адресу пам’яті.
- Враховуючи широку присутність розпилених даних, існує висока ймовірність, що це перенаправлення призведе до корисного навантаження зловмисника.
- Потім виконується корисне навантаження, забезпечуючи зловмиснику бажаний результат, часто дистанційне керування системою.
Ключові характеристики Heap Spray
Кучовий спрей характеризується декількома ключовими особливостями:
- Збільшений коефіцієнт успішної атаки: Розпорошення купи збільшує ймовірність успішного використання вразливості до пошкодження пам’яті.
- Маніпуляції з пам'яттю: Він маніпулює станом пам’яті процесу, щоб полегшити виконання довільного коду.
- Можна використовувати в різних середовищах: Розпилення купи може бути розгорнуто в багатьох середовищах, таких як веб-браузери або серверні програми.
- Часто поєднується з іншими експлойтами: Розпилення купи зазвичай використовується в поєднанні з іншими експлойтами вразливостей для досягнення бажаної мети.
Типи купи спрей
Методи розпилення купи можна класифікувати на основі середовища експлуатації та характеру доставки корисного навантаження.
| Тип | опис |
|---|---|
| JavaScript Heap Spray | Використовується в веб-атаках, JavaScript використовується для заповнення купи шкідливими корисними навантаженнями. |
| Flash Heap Spray | Використовує Adobe Flash для проведення розпилення, як правило, у веб-середовищі. |
| Java Heap Spray | Використовує Java-аплети для спрею, ще один метод веб-атак. |
| Precision Heap Spray | Націлено на певні об’єкти в купі, корисно в експлойтах використання після звільнення. |
Застосування, проблеми та рішення Heap Spray
Heap spraying переважно використовується зловмисниками в кіберсвіті для використання вразливостей програмного забезпечення. Він широко використовується для створення складних зловмисних програм і реалізації передових постійних загроз (APT).
Основною проблемою з розпиленням купи з точки зору безпеки є її виявлення та запобігання. Традиційні рішення безпеки на основі сигнатур важко ідентифікують атаки розпилення купи через їх динамічний характер. Таким чином, сучасні рішення покладаються на виявлення на основі поведінки та використання методів пом’якшення експлойтів, як-от рандомізація адресного простору (ASLR) і запобігання виконанню даних (DEP).
Порівняння та характеристика
Порівнюючи розпилення купи з іншими подібними техніками, як обертання стека та зворотно-орієнтоване програмування (ROP), розпилення купи виділяється своєю простотою та високим рівнем успіху. Хоча кожен із цих методів має унікальні характеристики та випадки використання, усі вони є методами використання вразливості пошкодження пам’яті для виконання довільного коду.
| Техніка | характеристики |
|---|---|
| Heap Spray | Простий, використовується для підвищення рівня успіху експлойтів пошкодження пам’яті. |
| Обертання стека | Комплексний, перенаправляє покажчики стека в інше місце, часто використовується в атаках на переповнення буфера. |
| ROP | Комплексний, використовує наявні фрагменти коду («гаджети») у пам’яті, обходячи певні засоби захисту від експлойтів. |
Майбутні перспективи та технології
Ефективність розпилення купи з часом зменшилася через впровадження методів рандомізації пам’яті та запобігання виконанню. Однак зловмисники продовжують розвивати свої методи, розробляючи більш складні та точні методи розпилення купи, щоб обійти ці засоби захисту. Наприклад, розпилення точно вчасно (JIT) було технікою, розробленою для обходу DEP шляхом маніпулювання JIT-скомпільованим кодом у пам’яті.
Проксі-сервери та Heap Spray
Проксі-сервери можна використовувати в контексті атаки heap spray, щоб замаскувати походження атаки, що ускладнює для дослідників відстеження джерела атаки. З іншого боку, захищені проксі-сервери також можуть діяти як рівень захисту, блокуючи відомий зловмисний трафік або ізолюючи клієнтські системи від прямого впливу потенційно шкідливого вмісту.
