給我1K內存VS難以打破的安全系統（31頁）.pdf

《給我1K內存VS難以打破的安全系統（31頁）.pdf》由會員分享，可在線閱讀，更多相關《給我1K內存VS難以打破的安全系統（31頁）.pdf（31頁珍藏版）》請在三個皮匠報告上搜索。

1、給我1K內存VS難以打破的安全系統宮華宮華36W白帽大佬，斗象科技高級安全分析師我們所說的難以打破的安全系統啟用磁盤加密的手機不開源的硬件系統其它商業軟件與封閉系統受保護的計算機系統難難以以打打破破的的安安全全系系統統內存攻擊法（傳統）棧溢出 堆溢出 整數溢出 格式化字符串 雙重釋放 釋放重引用 數組訪問越界 內核相關 類型混淆 沙盒逃逸 等二進制漏洞！思考如果我們能夠獲得目標系統的1K內存，我們可以做什么？獲取系統root權限！獲取敏感數據！進行病毒樣本分析！內存取證分析！修改磁盤內存映射文件！內存操作的危害 Do everything you want!獲取內存數據的方法 二進制漏洞（版本

2、不通用）CPU硬件漏洞TotalMeltdown（難得一見）操作系統后門（略）冷啟動攻擊（操作難道較大）虛擬化（通用）操作系統/進程轉儲文件（常見）DMA（較通用）JTAG（較通用）冷啟動攻擊 攻擊者有物理訪問 冷啟動攻擊是一種新型的旁路攻擊(sidechanelatack)。利用冷啟動攻擊，攻擊者可以對其進行物理訪問的正在運行的 計算機執行冷啟動操作以繞過其軟硬件防護機制，獲取正在運 行的計算機的內存快照，并進一步從快照中提取出密鑰等敏感 信息。冷啟動攻擊Cold-Boot Attack 內存條上的數據信息，斷電之后仍然存在 數分鐘數小時低溫 Lest We Remember:Cold Bo

3、ot Attacks on Encryption Keys USENIX Security 2008 攻擊者直接取下內存條，讀取數據 在手機上，攻擊同樣存在 FROST:Forensic Recovery of Scrambled Telephones,ACNS 2013冷啟動攻擊冷啟動攻擊虛擬化攻擊虛擬化內存獲取與修改 環境 Windows 7 x64 Vmware Fusion（專業版 11.5.0(14634996)010Editor(v9.0.2)同樣方法適用于其它常見虛擬化平臺虛擬化內存獲取與修改虛擬機掛起內存查看內存修改虛擬機恢復運行重新打開磁盤文件虛擬化內存獲取與修改重啟后失效磁

4、盤文件不變虛擬化內存獲取與修改Java程序敏感數據泄漏虛擬化內存獲取與修改VeraCrypt分析：沒有明文ascii密碼虛擬化內存獲取與修改VeraCrypt分析：沒有明文ascii密碼，最近訪問泄漏文件名，內存取證價值虛擬化內存獲取與修改test:x:1000:1000:/home/test:/bin/bashtest:x:0:0:/home/testaaaaaa:/bin/bashLinux 提權獲取root權限shell虛擬化內存獲取與修改Linux 提權獲取root權限shell總線攻擊（DMA）DMA總線攻擊 DMA 是所有現代電腦的重要特色，他允許不同速度的硬件裝置來溝通，而不需要

5、依于 CPU 的大量 中斷 負載 DMA總線允許直接dump內存中的數據而不需要經過操作系統和CPU的特別許可 tag攻擊DMA總線攻擊DMA總線攻擊DMA Attack https:/ memory accessPCIe TLP accessAC701/FT601FPGAUSB3150MB/sYesYesPCIeScreamerFPGAUSB3100MB/sYesYesSP605/FT601FPGAUSB375MB/sYesYesSP605/TCPFPGATCP/IP100kB/sYesYesNeTV2/UDPFPGAUDP/IP7MB/sYesYesUSB3380-EVBUSB3380US

6、B3150MB/sNoNoPP3380USB3380USB3150MB/sNoNoDMA patched HP iLOBMCTCP/IP1MB/sYesNoDMA總線攻擊攻擊常用硬件fpga總線攻擊（JTAG）JTAG攻擊 Jtag 固件dump 對內存進行讀取和寫入 暫停固件執行(設置斷點和觀察點)將指令或數據添加到內存中 將指令直接注入目標芯片的管道(無需修改內存)提取固件(用于逆向工程/漏洞研究)繞過保護機制(加密檢查，密碼檢查等)找到隱藏的JTAG功能，可能比我們想象的要多得多攻擊場景 宿主機入侵虛擬機 自我保護系統的破解 Iot固件提取 系統提權 加密密鑰獲取 內存取證分析 病毒樣本

7、分析 設備Debug 其它攻擊場景總結攻擊防御攻擊防御 1.CPU TSX 2.事務內存 3.變量使用后釋放 4.專用計算芯片 5.專用算法（Copker）1 Breuk,Rory,and Albert Spruyt.Integrating DMA attacks in Metasploit.Sebug:http:/ D.Vol.2.2012.2 Carrier,Brian D.,and Joe Grand.A hardware-based memory acquisition procedure for digital investigations.Digital Investigation

8、1.1(2004):50-60.3 Gtzfried,Johannes,and Tilo Mller.Analysing Androids Full Disk Encryption Feature.JoWUA5.1(2014):84-100.C2007(2007):1-18.4 Guan,Le,et al.Protecting private keys against memory disclosure attacks using hardware transactional memory.2015 IEEE Symposium on Security and Privacy.IEEE,201

9、5.5 Halderman,J.Alex,et al.Lest we remember:cold-boot attacks on encryption keys.Communications of the ACM52.5(2009):91-98.6 Rolles,Rolf.Unpacking virtualization obfuscators.3rd USENIX Workshop on Offensive Technologies.(WOOT).2009.7 Walters,Aaron,and Nick L.Petroni.Volatools:Integrating volatile memory into the digital investigation process.Black Hat DBibliography姓名 公司 聯系方式