Heap Spraying є широко визнаною технікою, яка використовується у світі комп’ютерної експлуатації. В першу чергу це передбачає заповнення області пам’яті купи процесу шелл-кодом, щоб збільшити ймовірність виконання довільного коду, коли використовуються вразливості, такі як переповнення буфера.
Історія кущового напилення та перша згадка про нього
Увага громадськості вперше була привернута до уваги громадськості в документі про безпеку, написаному Меттом Коновером і Одедом Горовіцем під назвою «Розпилення купи: Техніка протидії загальним заходам безпеки», опублікованому на початку 2000-х років. Його початок був зумовлений дедалі більшою реалізацією механізмів безпеки, призначених для рандомізації адресного простору запущеного процесу, що ускладнює зловмисникам передбачити, де в пам’яті буде розташований їхній шелл-код.
Розширення теми: розпилення відвалів
Розпорошення купи в основному використовується для використання вразливості пошкодження пам’яті. Його метою є маніпулювання купою процесу таким чином, щоб шелл-код зловмисника поширювався на великий його сегмент. Це робиться шляхом створення кількох об’єктів або екземплярів у купі, кожен з яких містить копію потрібного шелл-коду.
Ця техніка часто використовується в поєднанні з іншими експлойтами, які дозволяють виконувати довільний код. Однак проблема з цими експлойтами полягає в тому, що вони часто вимагають знання точного розташування в пам’яті коду, який потрібно виконати, що через різні заходи безпеки може бути важко визначити. Розпилення купи вирішує цю проблему, заповнюючи значну частину купи необхідним шелл-кодом, таким чином статистично збільшуючи ймовірність того, що експлойт ініціює виконання коду.
Внутрішня структура кучового розпилення
Розпилення купи відбувається за допомогою двоетапного процесу:
-
Спрей: Пам'ять купи заповнюється кількома екземплярами потрібного шелл-коду. Це робиться шляхом створення об’єктів або екземплярів, що містять шелл-код, який потім розподіляється за різними адресами пам’яті купи.
-
Тригер: уразливість використовується для виконання довільного коду. Оскільки пам'ять була заповнена екземплярами шелл-коду, ймовірність того, що виконаний код буде шелл-кодом зловмисника, значно збільшується.
Ключові характеристики кучового розпилення
До ключових особливостей розпилення купи належать:
- Він значною мірою не залежить від корисного навантаження, що означає, що його можна використовувати для виконання практично будь-якого виду шелл-коду.
- Це значно підвищує ймовірність успішного виконання коду при експлуатації вразливостей.
- Він обходить певні заходи безпеки, такі як рандомізація макета адресного простору (ASLR), не вимагаючи знання точних адрес пам’яті.
Види кучового обприскування
Існує кілька варіантів обприскування купи, кожна з яких залежить від методів, які використовуються для розпилення купи. Ось кілька типів:
| Тип розпилення купи | опис |
|---|---|
| Класичне розпилення купи | Включає повторне виділення блоків пам’яті, кожен з яких містить шелл-код. |
| Послідовне розпилення купи | Виділяє великий блок пам'яті та заповнює його шелл-кодом. |
| Обприскування відвалів NOP | Використовує NOP-sled (послідовність інструкцій без операцій) перед шелл-кодом, щоб збільшити відсоток успіху. |
Способи використання кучового обприскування, проблеми та їх вирішення
Розпорошення купи в основному використовується в контексті використання системи безпеки, зокрема під час використання вразливості пошкодження пам’яті. Це потужна техніка, особливо в поєднанні з уразливими місцями, які дозволяють виконувати довільний код.
Однак використання кучового розпилення не позбавлене проблем. Одна з проблем полягає в тому, що зі збільшенням розміру купи методика стає більш помітною. Іншою проблемою є все більше впровадження методів запобігання експлойтам, таких як ASLR і DEP (Data Execution Prevention), які ускладнюють виконання шелл-коду з купи.
Щоб подолати ці проблеми, зловмисники можуть вдатися до більш складних методів розпилення купи, наприклад розпилення JIT, яке використовує своєчасні компілятори, щоб зробити купу виконуваною. Практики безпеки, з іншого боку, повинні постійно вдосконалювати та розробляти нові методи пом’якшення.
Основні характеристики та порівняння з подібними термінами
Розпорошення купи часто порівнюють і протиставляють подібним методам експлуатації, таким як розбивання стека та програмування, орієнтоване на повернення (ROP).
| Техніка | опис | Подібності/відмінності з куповим обприскуванням |
|---|---|---|
| Розгром стека | Включає пошкодження стека для зміни виконання програми. | На відміну від розпилення купи, руйнування стека вимагає знання точного розташування пам’яті. |
| Повернено-орієнтоване програмування (ROP) | Передбачає використання існуючих фрагментів коду (гаджетів) для виконання зловмисних дій. | ROP, як і розпилення купи, може обійти DEP, але не вимагає заповнення пам’яті шелл-кодом. |
Перспективи та технології майбутнього, пов'язані з відваловим напиленням
Хоча обприскування відвалів залишається загрозою, майбутнє вказує на більш ефективні стратегії пом’якшення. Такі методи, як Control Flow Integrity (CFI) і покращений ASLR, можуть ускладнити використання вразливостей. Крім того, машинне навчання та алгоритми штучного інтелекту можна використовувати для кращого виявлення ненормальної поведінки в купі.
З іншого боку, у міру розвитку технологій зловмисники можуть вдатися до більш складних методів, таких як розпилення JIT і використання вразливостей після звільнення, що створює свої унікальні проблеми.
Проксі-сервери та розпилення купи
Самі проксі-сервери безпосередньо не пов’язані з розпиленням купи. Однак вони можуть зіграти певну роль як у скоєнні, так і в пом’якшенні атак, які використовують розпилення купи.
З точки зору зловмисника, проксі-сервери можна використовувати, щоб приховати своє місцезнаходження та ускладнити відстеження атаки. Що стосується захисту, проксі-сервери можуть бути частиною більшої інфраструктури безпеки, реєструючи дані трафіку для аналізу, що може допомогти виявити ненормальну поведінку або потенційні експлойти на ранніх стадіях.
Пов'язані посилання
Для отримання додаткової інформації щодо розпилення купи та пов’язаних тем ви можете звернутися до таких ресурсів:
- Коновер, М., Горовіц, О. (2004). Розпилення купи: техніка протидії загальним заходам безпеки. Безпечний папір.
- «Розпорошення купи» на OWASP (проект безпеки відкритих веб-додатків): https://www.owasp.org/index.php/Heap_spraying
- «Безпека пам’яті» в мережі розробників Mozilla (MDN): https://developer.mozilla.org/en-US/docs/Memory_safety
- «Поліпшення запобігання зловживань у Windows 8» у Microsoft Security Response Center (MSRC): https://msrc.microsoft.com/update-guide/en-us/
Зауважте, що глибоке розуміння розпилення купи та подібних методів потребує глибоких знань керування пам’яттю комп’ютера та мов програмування. Завжди слідкуйте за останніми заходами безпеки та стратегіями пом’якшення.
