云盾高防采集_国外高防服务器_快速解决

云盾高防采集_国外高防服务器_快速解决

背景在处理内核攻击时,攻击者的主要目标通常是将自己从低权限提升到高权限或系统级别权限。这种类型的攻击通常被称为LPE(本地权限提升),可以通过各种攻击技术来实现,利用内核代码中的不同类型的漏洞,无论是在NTOSKRNL本身还是在第三方驱动程序中。虽然微软在缓解这些漏洞方面做得很好,但总有更大的改进空间。作为持续努力的一部分,我们启动了一个新的开源项目SKREAM(SentinelOne的内核利用高级缓解)。此项目将包含多个独立功能,旨在检测或缓解内核利用生命周期的不同类型/阶段。现在它只包含一个这样的缓解措施,但请继续关注更多。在这篇博文中,我们将探讨SKREAM引入的第一个缓解措施。此缓解解决了一种特定的攻击技术,主要用于武器池溢出漏洞,并使其在Windows 7和8系统上无效。内核池溢出简介内核池溢出是一类众所周知的漏洞,在过去几年中被LPE攻击广泛使用。当内核模式驱动程序将用户提供的数据复制到池分配中而不首先验证其大小时,ddos云防御买,它就可用了。这使得恶意用户能够提供比内核驱动程序分配的数据更长的数据,从而覆盖属于下一个相邻分配的池内存。图1–池溢出漏洞示意图结合内核池喷洒技术,可以使以下池分配的内容可预测,从而允许攻击者完全设计其覆盖。类型索引覆盖有多种方法可以实际利用池溢出漏洞。在这篇博文中,我们将集中精力在一种特定的技术上,cc脚本防御代码,它通过覆盖每个OBJECT_头结构中的TypeIndex成员来工作。如许多资料来源所述,Windows对象管理器分配的每个对象都有一个描述它的对象头,它紧跟在内存中相应的池头之后。这个对象头包含一个名为"TypeIndex"的成员,它作为nt的索引!ObTypeIndexTable数组。图2–OBJECT_头结构的内存布局。以红色突出显示的是TypeIndex成员。新台币!ObTypeIndexTable是一个对象类型结构的数组,每一个都描述了Windows上可用的许多对象类型中的一个(例如进程、事件、桌面)。等等)。OBJECT_-TYPE结构为Windows提供了在对象上执行各种操作所需的信息,例如当对象被打开、关闭、删除时应该调用什么方法等等。图3–每个对象类型实现的一些方法事实证明,nt的前2个条目!ObTypeIndexTable数组实际上是伪条目,似乎并不指向实际的OBJECT类型结构。第一个条目包含空指针,第二个条目包含魔术常量0xbad0b0b0:图4–nt中的前2个伪条目!ObTypeIndexTable数组由于在x64上,如何增加ddos防御,这两个值都是零扩展到用户模式地址,因此它们无意中为攻击者提供了一种方法,使攻击者能够以内核级权限执行代码。如果存在池溢出漏洞,攻击者可以:分配0xbad0b0b0所驻留的页,ddos攻击防御硬件,并在那里构造一个假的对象类型结构。此假对象类型将包含指向攻击者提升权限代码的函数指针(在Windows 7 x86上,我们也可以为此分配空页,但在较新的Windows版本上,这已不再可能)。用已知类型和尺寸的物体喷洒泳池。这可确保攻击者知道溢出分配的内容。释放其中一些对象在池中创建"洞"。理想情况下,对于攻击者来说,溢出分配将驻留在这些"漏洞"中的一个。触发该漏洞以便溢出到下一个对象中,破坏其object_头并将其TypeIndex成员更改为1。在溢出对象上触发一些操作(例如关闭它的句柄)。这将导致系统从0xbad0b0b0获取对象类型并调用其方法之一(在我们的示例中为CloseProcedure)。由于此函数指针是由攻击者提供的,因此它实际上以内核模式权限运行攻击者的代码,从而导致权限提升。图5–游泳池溢流可视化,Nikita Tarakanov(来源)这项技术是由尼基塔·塔拉卡诺夫发现并发展起来的,并在这里首次发表。缓解我们建议的缓解措施旨在通过预先分配包含0xbad0b0b0的内存区域,在任何攻击有机会滥用它之前,在每个进程的基础上阻止这种利用技术。为了使我们的缓解尽可能有效,我们不能仅仅分配这个页面,而是必须保护它,防止恶意试图以任何方式取消映射、释放或修改它。Tarjei Mandt在2011年进行了一个类似的项目,淘宝是如何防御ddos,在那里他演示了在Windows7系统上防止空页取消引用漏洞攻击的能力。为此,他编写了一个内核模式驱动程序,该驱动程序利用了大量VAD(虚拟地址描述符)操作技术,为空页面手动构建一个VAD条目,然后将其作为"合成"叶条目插入VAD树中。我们需要做几乎相同的事情,但我们希望以一种更"有机"的方式来完成,即将尽可能多的工作转移到Windows虚拟内存管理器中,从而避免潜在的复杂性。通过简单地分配包含0xbad0b0b0的区域(因为我们知道每个虚拟内存分配最终都会转化为VAD条目的创建),VAD条目的初始创建以及将其插入VAD树可以轻松地卸载到系统中。然后我们继续检索刚刚创建的VAD条目,以便进一步编辑它以满足我们的需要(即保护内存范围)。为此,我们借用了Blackbone库中的"BBFindVad"实用程序函数,它非常方便地为不同的Windows版本实现了这个功能。不幸的是,从VAD树中检索到的VAD条目的类型是MMVAD_SHORT,而我们需要的VAD(根据Tarjei的论文)是MMVAD_LONG类型。我们感兴趣的旗子似乎位于MMVAD_LONG结构中,而不是位于较小的MMVAD_SHORT中。图6–VAD描述了在被保护之前包含0cbad0b0b0的内存区域为了克服这种差异,我们分配了自己的MMVAD_LONG结构并开始初始化它。事实证明,每个MMVAD_LONG结构都有一个MMVAD_短子结构嵌入其中,所以我们可以通过简单地复制前面检索到的MMVAD_SHORT来设置这一部分。下一步是编辑VAD标志以使其安全。根据Tarjei的论文,我们不得不做的修改最终归结为:这些变化使我们的VAD看起来像这样:图7–VAD描述了安全保护后包含0cbad0b0b0的内存区域最后,我们需要将VAD树中的MMVAD_SHORT替换为新安全的MMVAD_LONG。简而言之,这涉及一个三相操作:将short VAD的子节点的父节点设置为指向我们的MMVAD_LONG条目。将short VAD的父节点的相应子节点(左侧或右侧)设置为指向MMVAD_LONG条目。释放短的VAD条目,因为它不再被VAD树引用。图8–用我们的MMVAD_LONG替换VAD树中的MMVAD_SHORTSKREAM在kdevelopme中缓解池溢出漏洞的视频Windows 8在Windows 8上,对各种VAD结构进行了一些细微的更改,这迫使我们对代码库进行了细微的调整:不再有MMVAD_LONG结构,只有MMVAD_SHORT和MMVAD。我们在Windows7上设置的标志要么改变了它们在MMVAD结构中的位置(NoChange、StartVA、EndVA),要么根本不存在(OneSecured)。考虑到这些因素后,我们在Windows 8上进行必要的VAD修改的代码如下所示:Windows 8.1及更高版本本文中描述的特定攻击技术仅适用于Windows 7和Windows 8系统。从Windows 8.1开始,nt!ObTypeIndexTable[1]不再指向0xbad0b0b0,而是保留nt的值!MmBadPointer,保证在取消引用时导致访问冲突。此外,在Windows10中,OBJECT_头结构中存储的TypeIndex值是使用安全cookie编码的,因此,如果不为攻击者做一些额外的工作,这种技术显然将不再适用于较新的Windows系统。

热门推荐
  • cc防护_如何防cc_超稳定

      看看2013年IT行业的任何一组预测,你很可能会发现,云计算和移动计算的采用是巨大的,而且越来越大。SailPoint希望更好地了......

    08-30    来源:长虹华伟

    分享
  • 国内高防cdn_服务器托管高防_指南

      在之前的博客文章中,我们讨论了工作场所中移动设备的激增以及这给管理访问带来的挑战。随着对云应用程序的移动访问和......

    09-03    来源:长虹华伟

    分享
  • 阿里云高防ip_防cc脚本一键安装_零元试用

      正如您在这里多次听到我们讨论的,密码并没有死。事实上,远没有。然而,我们面临的挑战是,在大多数组织的普通员工中......

    09-15    来源:长虹华伟

    分享
  • 阿里云高防ip_国内高防空间_新用户优惠

      下次当您听到身份解决方案供应商吹嘘连接到电子健康记录(EHR)系统的其他临床应用程序时,请检查一下。如何实现这种互......

    10-01    来源:长虹华伟

    分享
  • 服务器防护_神武高防宝宝_限时优惠

      又是一个星期过去了,还有很多头条新闻要报道。尽管我们每天都在监视网络犯罪分子,但当他们达到一个新的低点时,我们......

    10-01    来源:长虹华伟

    分享
  • 高防ip_同盾风控云_怎么防

      这一集是关于感恩的。大卫·李和迈克·基瑟讲述了他们的祝福,以及在这个(以美国为中心的)假期里,整个安全界必须感......

    10-01    来源:长虹华伟

    分享
  • cc攻击防御_高防机房_新用户优惠

      我在通信领域工作了很长时间,这些年来我目睹了许多重大变化。一些想法,如IP电话,已经彻底改变了这个行业。另一些人......

    10-26    来源:长虹华伟

    分享
  • 高防ddos_文老爷子防三高的视频_精准

      从迷宫勒索软件的剧本中提取一页,DoppelPaymer的创造者不仅仅是加密你的数据;如果你不付钱,他们已经找到了销售渠道。早......

    10-27    来源:长虹华伟

    分享
  • 免备案高防cdn_cdn防御直播室_打不死

      《华尔街日报》:Shark Tank的Robert Herjavec表示,复杂性将推动安全领域更专业化的发展2018年6月1日https://www.herjavecgroup.com/wp-c......

    10-27    来源:长虹华伟

    分享
  • 高防_高防中转ip_免费测试

      网络抢劫新闻第10卷#09一家美国天然气运营商在一次网络钓鱼攻击感染了Ars Technica的勒索软件Dan Goodin后关闭了两天,该运营商......

    10-27    来源:长虹华伟

    分享
返回列表
Ctrl+D 将本页面保存为书签,全面了解最新资讯,方便快捷。