Enviar pesquisa
Carregar
Anıl kurmuş pacsec3-ja
•
0 gostou
•
253 visualizações
PacSecJP
Seguir
PacSec2017
Leia menos
Leia mais
Internet
Denunciar
Compartilhar
Denunciar
Compartilhar
1 de 37
Baixar agora
Baixar para ler offline
Recomendados
システムレジスタの不足と2つのシンプルなアンチフォレンジック攻撃 - AVTokyo 2009
システムレジスタの不足と2つのシンプルなアンチフォレンジック攻撃 - AVTokyo 2009
Tsukasa Oi
Kali LinuxとMetasploitable2で遊ぼう
Kali LinuxとMetasploitable2で遊ぼう
monochrojazz
Python2.x の input 関数にRCE 脆弱性がある話
Python2.x の input 関数にRCE 脆弱性がある話
xryuseix
Cpu idle expedition
Cpu idle expedition
cota2n
SELinux_Updates_PoC_20170516
SELinux_Updates_PoC_20170516
Kazuki Omo
ret2libcとpopretで初等的BOF攻撃
ret2libcとpopretで初等的BOF攻撃
monochrojazz
UEFI向け自作OSの紹介
UEFI向け自作OSの紹介
Yuma Ohgami
x86_64向け自作OSの紹介
x86_64向け自作OSの紹介
Yuma Ohgami
Recomendados
システムレジスタの不足と2つのシンプルなアンチフォレンジック攻撃 - AVTokyo 2009
システムレジスタの不足と2つのシンプルなアンチフォレンジック攻撃 - AVTokyo 2009
Tsukasa Oi
Kali LinuxとMetasploitable2で遊ぼう
Kali LinuxとMetasploitable2で遊ぼう
monochrojazz
Python2.x の input 関数にRCE 脆弱性がある話
Python2.x の input 関数にRCE 脆弱性がある話
xryuseix
Cpu idle expedition
Cpu idle expedition
cota2n
SELinux_Updates_PoC_20170516
SELinux_Updates_PoC_20170516
Kazuki Omo
ret2libcとpopretで初等的BOF攻撃
ret2libcとpopretで初等的BOF攻撃
monochrojazz
UEFI向け自作OSの紹介
UEFI向け自作OSの紹介
Yuma Ohgami
x86_64向け自作OSの紹介
x86_64向け自作OSの紹介
Yuma Ohgami
Yuki chen from_out_of_memory_to_remote_code_execution_pac_sec2017_final-j
Yuki chen from_out_of_memory_to_remote_code_execution_pac_sec2017_final-j
PacSecJP
Ryder robertson pac-sec skeleton 2017_jp
Ryder robertson pac-sec skeleton 2017_jp
PacSecJP
Rouault imbert view_alpc_rpc_pacsec_jp
Rouault imbert view_alpc_rpc_pacsec_jp
PacSecJP
Ryder robertson security-considerations_in_the_supply_chain_2017.11.02
Ryder robertson security-considerations_in_the_supply_chain_2017.11.02
PacSecJP
Kavya racharla ndh-naropanth_fin_jp-final
Kavya racharla ndh-naropanth_fin_jp-final
PacSecJP
Rouault imbert alpc_rpc_pacsec
Rouault imbert alpc_rpc_pacsec
PacSecJP
Anıl kurmuş pacsec3
Anıl kurmuş pacsec3
PacSecJP
Di shen pacsec_jp-final
Di shen pacsec_jp-final
PacSecJP
Ahn pacsec2017 key-recovery_attacks_against_commercial_white-box_cryptography...
Ahn pacsec2017 key-recovery_attacks_against_commercial_white-box_cryptography...
PacSecJP
Shusei tomonaga pac_sec_20171026_jp
Shusei tomonaga pac_sec_20171026_jp
PacSecJP
Yuki chen from_out_of_memory_to_remote_code_execution_pac_sec2017_final
Yuki chen from_out_of_memory_to_remote_code_execution_pac_sec2017_final
PacSecJP
Yunusov babin 7sins-pres_atm_v4(2)_jp
Yunusov babin 7sins-pres_atm_v4(2)_jp
PacSecJP
Di shen pacsec_final
Di shen pacsec_final
PacSecJP
Ahn pacsec2017 key-recovery_attacks_against_commercial_white-box_cryptography...
Ahn pacsec2017 key-recovery_attacks_against_commercial_white-box_cryptography...
PacSecJP
Yunusov babin 7 sins pres atm v2
Yunusov babin 7 sins pres atm v2
PacSecJP
Shusei tomonaga pac_sec_20171026
Shusei tomonaga pac_sec_20171026
PacSecJP
Kavya racharla ndh-naropanth_fin
Kavya racharla ndh-naropanth_fin
PacSecJP
Lucas apa pacsec slides
Lucas apa pacsec slides
PacSecJP
Lucas apa pacsec_slides_jp-final
Lucas apa pacsec_slides_jp-final
PacSecJP
Marc schoenefeld grandma‘s old handbag_draft2
Marc schoenefeld grandma‘s old handbag_draft2
PacSecJP
Marc schoenefeld grandma‘s old handbag_draft2_ja
Marc schoenefeld grandma‘s old handbag_draft2_ja
PacSecJP
Kasza smashing the_jars_j-corrected
Kasza smashing the_jars_j-corrected
PacSecJP
Mais conteúdo relacionado
Destaque
Yuki chen from_out_of_memory_to_remote_code_execution_pac_sec2017_final-j
Yuki chen from_out_of_memory_to_remote_code_execution_pac_sec2017_final-j
PacSecJP
Ryder robertson pac-sec skeleton 2017_jp
Ryder robertson pac-sec skeleton 2017_jp
PacSecJP
Rouault imbert view_alpc_rpc_pacsec_jp
Rouault imbert view_alpc_rpc_pacsec_jp
PacSecJP
Ryder robertson security-considerations_in_the_supply_chain_2017.11.02
Ryder robertson security-considerations_in_the_supply_chain_2017.11.02
PacSecJP
Kavya racharla ndh-naropanth_fin_jp-final
Kavya racharla ndh-naropanth_fin_jp-final
PacSecJP
Rouault imbert alpc_rpc_pacsec
Rouault imbert alpc_rpc_pacsec
PacSecJP
Anıl kurmuş pacsec3
Anıl kurmuş pacsec3
PacSecJP
Di shen pacsec_jp-final
Di shen pacsec_jp-final
PacSecJP
Ahn pacsec2017 key-recovery_attacks_against_commercial_white-box_cryptography...
Ahn pacsec2017 key-recovery_attacks_against_commercial_white-box_cryptography...
PacSecJP
Shusei tomonaga pac_sec_20171026_jp
Shusei tomonaga pac_sec_20171026_jp
PacSecJP
Yuki chen from_out_of_memory_to_remote_code_execution_pac_sec2017_final
Yuki chen from_out_of_memory_to_remote_code_execution_pac_sec2017_final
PacSecJP
Yunusov babin 7sins-pres_atm_v4(2)_jp
Yunusov babin 7sins-pres_atm_v4(2)_jp
PacSecJP
Di shen pacsec_final
Di shen pacsec_final
PacSecJP
Ahn pacsec2017 key-recovery_attacks_against_commercial_white-box_cryptography...
Ahn pacsec2017 key-recovery_attacks_against_commercial_white-box_cryptography...
PacSecJP
Yunusov babin 7 sins pres atm v2
Yunusov babin 7 sins pres atm v2
PacSecJP
Shusei tomonaga pac_sec_20171026
Shusei tomonaga pac_sec_20171026
PacSecJP
Kavya racharla ndh-naropanth_fin
Kavya racharla ndh-naropanth_fin
PacSecJP
Lucas apa pacsec slides
Lucas apa pacsec slides
PacSecJP
Lucas apa pacsec_slides_jp-final
Lucas apa pacsec_slides_jp-final
PacSecJP
Marc schoenefeld grandma‘s old handbag_draft2
Marc schoenefeld grandma‘s old handbag_draft2
PacSecJP
Destaque
(20)
Yuki chen from_out_of_memory_to_remote_code_execution_pac_sec2017_final-j
Yuki chen from_out_of_memory_to_remote_code_execution_pac_sec2017_final-j
Ryder robertson pac-sec skeleton 2017_jp
Ryder robertson pac-sec skeleton 2017_jp
Rouault imbert view_alpc_rpc_pacsec_jp
Rouault imbert view_alpc_rpc_pacsec_jp
Ryder robertson security-considerations_in_the_supply_chain_2017.11.02
Ryder robertson security-considerations_in_the_supply_chain_2017.11.02
Kavya racharla ndh-naropanth_fin_jp-final
Kavya racharla ndh-naropanth_fin_jp-final
Rouault imbert alpc_rpc_pacsec
Rouault imbert alpc_rpc_pacsec
Anıl kurmuş pacsec3
Anıl kurmuş pacsec3
Di shen pacsec_jp-final
Di shen pacsec_jp-final
Ahn pacsec2017 key-recovery_attacks_against_commercial_white-box_cryptography...
Ahn pacsec2017 key-recovery_attacks_against_commercial_white-box_cryptography...
Shusei tomonaga pac_sec_20171026_jp
Shusei tomonaga pac_sec_20171026_jp
Yuki chen from_out_of_memory_to_remote_code_execution_pac_sec2017_final
Yuki chen from_out_of_memory_to_remote_code_execution_pac_sec2017_final
Yunusov babin 7sins-pres_atm_v4(2)_jp
Yunusov babin 7sins-pres_atm_v4(2)_jp
Di shen pacsec_final
Di shen pacsec_final
Ahn pacsec2017 key-recovery_attacks_against_commercial_white-box_cryptography...
Ahn pacsec2017 key-recovery_attacks_against_commercial_white-box_cryptography...
Yunusov babin 7 sins pres atm v2
Yunusov babin 7 sins pres atm v2
Shusei tomonaga pac_sec_20171026
Shusei tomonaga pac_sec_20171026
Kavya racharla ndh-naropanth_fin
Kavya racharla ndh-naropanth_fin
Lucas apa pacsec slides
Lucas apa pacsec slides
Lucas apa pacsec_slides_jp-final
Lucas apa pacsec_slides_jp-final
Marc schoenefeld grandma‘s old handbag_draft2
Marc schoenefeld grandma‘s old handbag_draft2
Mais de PacSecJP
Marc schoenefeld grandma‘s old handbag_draft2_ja
Marc schoenefeld grandma‘s old handbag_draft2_ja
PacSecJP
Kasza smashing the_jars_j-corrected
Kasza smashing the_jars_j-corrected
PacSecJP
Jurczyk windows metafile_pacsec_jp3
Jurczyk windows metafile_pacsec_jp3
PacSecJP
Jurczyk windows metafile_pacsec_v2
Jurczyk windows metafile_pacsec_v2
PacSecJP
Wenyuan xu Minrui yan can you trust autonomous vehicles_slides_liu_final
Wenyuan xu Minrui yan can you trust autonomous vehicles_slides_liu_final
PacSecJP
Wenyuan xu Minrui Yan can you trust autonomous vehicles_slides_liu_final-ja
Wenyuan xu Minrui Yan can you trust autonomous vehicles_slides_liu_final-ja
PacSecJP
Nishimura i os版firefoxの脆弱性を見つけ出す_jp
Nishimura i os版firefoxの脆弱性を見つけ出す_jp
PacSecJP
Nishimura finding vulnerabilities-in-firefox-for-i-os-(nishimunea)
Nishimura finding vulnerabilities-in-firefox-for-i-os-(nishimunea)
PacSecJP
Moony li pacsec-1.5_j4-truefinal
Moony li pacsec-1.5_j4-truefinal
PacSecJP
Moony li pacsec-1.8
Moony li pacsec-1.8
PacSecJP
Mais de PacSecJP
(10)
Marc schoenefeld grandma‘s old handbag_draft2_ja
Marc schoenefeld grandma‘s old handbag_draft2_ja
Kasza smashing the_jars_j-corrected
Kasza smashing the_jars_j-corrected
Jurczyk windows metafile_pacsec_jp3
Jurczyk windows metafile_pacsec_jp3
Jurczyk windows metafile_pacsec_v2
Jurczyk windows metafile_pacsec_v2
Wenyuan xu Minrui yan can you trust autonomous vehicles_slides_liu_final
Wenyuan xu Minrui yan can you trust autonomous vehicles_slides_liu_final
Wenyuan xu Minrui Yan can you trust autonomous vehicles_slides_liu_final-ja
Wenyuan xu Minrui Yan can you trust autonomous vehicles_slides_liu_final-ja
Nishimura i os版firefoxの脆弱性を見つけ出す_jp
Nishimura i os版firefoxの脆弱性を見つけ出す_jp
Nishimura finding vulnerabilities-in-firefox-for-i-os-(nishimunea)
Nishimura finding vulnerabilities-in-firefox-for-i-os-(nishimunea)
Moony li pacsec-1.5_j4-truefinal
Moony li pacsec-1.5_j4-truefinal
Moony li pacsec-1.8
Moony li pacsec-1.8
Anıl kurmuş pacsec3-ja
1.
ファイルシステムの攻撃ベクター バックドア、Row Hammerのような攻撃、その他 Anil Kurmus with Nikolas
Ioannou, Matthias Neugschwandtner, Nikolaos Papandreou and Thomas Parnell IBM Research - Zurich
2.
この講演 (ext3上で)2つの攻撃シナリオに利用できるファイル システムのトリックを紹介します: 1. バイナリ/con gの改変なしの永続化2.
ストレージメディアに対するRow Hammer攻撃のような権限昇格
3.
アウトライン1. ext3上での間接的なブロック操作2. バックドアの永続化3.
Row Hammer攻撃のような権限昇格
4.
ext3 入門 ... および類似の間接的ブロックベースのファイルシ ステム
5.
iノード
6.
間接的ブロック
7.
間接的なブロック操作 これはポインタであり、破壊する可能性がある!
8.
応用 #1
9.
永続的なバックドア 再起動時にルートアクセスを維持するバックドアを システムファイル、バイナリ、設定ファイルの改変 なしに埋め込む
10.
脅威モデル 攻撃者がrawディスクアクセス(ルートアクセス)可能 と過程
11.
アイディア「バックドア」ファイルを作成iノードを更新: 間接ブロックがiノードテーブルを指す永続性を確保!
12.
リブート時「バックドア」ファイル内に書き込み他のファイルのiノードを更新:例えばshell などsuid-rootしたshellの作成によりrootを取得完了!
13.
Live demo
14.
応用 #2
15.
フラッシュメモリ入門
16.
フラッシュの弱点書き込み/消去の寿命経時による電荷の減少セル間の干渉読み取り障害 全て実証済みで明確化されている
17.
セル間のインターフェース
18.
緩和策スクランブラーブロック割り当て/削除の平滑化エラー訂正符号(ECC) SSD内に実装
19.
フラッシュ ストレージ レイ ヤー1. フラッシュチップ2. フラッシュコントローラ3.
SSDコントローラ4. OS (ファイルシステム/ドライバ) 5. ユーザー
20.
フラッシュにおけるRow Hammerのような攻撃の経路 1. フラッシュチップ: セル間インターフェース2.
フラッシュコントローラ: スクランブラーおよびECCのバイパス3. SSDコントローラ: 消去の平滑化およびブロックの配置アルゴリズム4. OS: ファイルシステムのキャッシュおよびエラー検出のバイパス5. ユーザー: 権限昇格のペイロード
21.
これまでの内容1. [フラッシュチップ: セル間インターフェース] 2.
フラッシュコントローラ: [スクランブラー] およびECCのバイパス3. SSDコントローラ: 消去の平滑化およびブロックの配置アルゴリズム4. OS: ファイルシステムのキャッシュおよびエラー検出のバイパス5. ユーザー: 権限昇格のペイロード
22.
我々の素晴らしい研究1. フラッシュチップ: セル間インターフェース2.
フラッシュコントローラ: スクランブラーおよびECCのバイパス3. SSDコントローラ: 消去の平滑化およびブロックの配置アルゴリズム4. OS: ファイルシステムのキャッシュおよびエラー検出のバイパス5. ユーザー: 権限昇格のペイロード
23.
フラッシュ ECC長いコードワード(例: 1KB超) 高い誤り訂正能力(例:50ビット超)
24.
コードワード
25.
コードワード
26.
コードワード
27.
コードワード これを実現するのは非常に難しい!
28.
ファイルシステムへの攻撃 前提: 攻撃者が選択したブロックを破壊可能ランダムなコンテンツ(弱い) ext3 ファイルシステム
29.
ファイルシステム攻撃 メインのアイデア: 間接参照ブロックの破壊を引き起こすあるポインタがinodeテーブルを指すいい機会root SUIDビットを設定してinodeを上書きrootにSUIDされたシェルの実行により権限昇格
30.
iノード、間接参照ブロック
31.
間接参照ブロックの破損
32.
iノードエントリの上書き
33.
攻撃のデモ https://www.youtube.com/watch?v=Mnzp1p9Nvw0
34.
改善された攻撃代わりに二重の間接参照ブロックを使用ファイルシステムの完全な読み書きを実現99% 成功
35.
制限と緩和ext3以外に適用可能か不明データの完全性チェックにより攻撃が防がれる(ZFS) 詳細はペーパーにて
36.
まとめ 1/2選択されたブロックでのランダムなデータ破損は権限昇格を引き起こす特にext3では高確率SSDにはRow Hammerのような攻撃の道筋があるただしまだ実証されていないこれはパズルの1ピース、ファイルシステムの部分である
37.
まとめ 2/2このテクニックは他の分野においても応用可能である: バイナリ/設定ファイルの変更なしに永続化XTS 暗号化に対するアクティブな攻撃? (将来の取り組み) 我々はfsポインタを操作することで攻撃を実現できた!
Baixar agora