Bypass

Картинка того, что будут со мной делать, из интернетов.

О чем будут посты (да, одним я не ограничусь):

- как я дошла до жизни такой

- где, зачем и почему

- трудности/особенности выбора именно такого решения

- что входит, что не входит, чего ждать

- дневничок по мере прохождения разными процедурами

- что можно/что нельзя до, после и вовремя

- постоперационные заметки с результатами (ну, тут на год хватит, но обещаюсь выдавать отчеты по мере поступления)

Погнали!

Ну, начать стоит с того, что Хейд никогда особо худенькой не была. В лучшие свои годы (атопический дерматит прошел, сиськи торчат, волосы вьются, и ноги хотят ходить на каблуках) при росте 162 вес держался на отметке 55-60. Но это были золотые для любого миллениала: начало 2000-х, а значит героиновый шик 90-х был уже позади, ореховые попы Кардашьянов еще впереди, а главным секс-символом и эталоном для девочек всех возрастов на территории бывшего СССР стала аргентинка с русским сердцем Наташа, так её, Орейро. Следовательно, никто никого не шеймил, бабушки готовили пирожки на "прям щас", а не с надеждой "вдруг одумается, скелетина", а подростки всех мастей радостно наедали после костей 90-х фигуры в уже появившихся Крошках Картошках.

Но потом случился мой 2009, в который мне решилось, что пора менять дислокацию. И "этот город - самый лучший город на земле", наверняка, таковым и является, когда твоя фамилия Хавтан, но с моими мордовскими корнями однозначно пора валить. И я свалила. В Чехию. Там и сейчас проживаю. Это важно для темы поста с точки зрения моего опыта. В других странах, с другими социальными и медицинскими системами все может быть иначе. Так что держим это в голове, п'нятненько?

Девять лет тихой, сытой жизни (из которых 4 во внезапном замужем), не сделали из меня лань, я планомерно поправлялась, поправлялась и допоправлялась до центнера (вот эти ваши вепрева колена и пива, да (на самом деле не только)). Меня это не особо угнетало, комплексов у меня нет, нагрузок хватало (люблю ходить пешком, в день отмахать 20к шагов - как нефиг делать), пиво вкусное и вроде все ок. А потом как-то разом дошло.

Итак, почему я вообще этим занялась. В один прекрасный день я обнаружила у себя проблемы с дыхалкой - я живу в двухэтажном доме и, покурив внизу на террасе и поднявшись к компу на второй этаж, я вдруг заметила у себя одышку. Причем такую нехилую. И я села думать, и, подумав, нашла целый список говна, которое со мной уже есть, но я его старательно не замечала. По пунктам:

- Проблемы с дыханием (одышка и начальная степень апноэ с храпом, ох, сама просыпаюсь от этого)

- Давление. Ну, тут вообще весело: пошла я как-то на работе на обед и по местной традиции взяла себе какие-то кнедлики с белым соусом, а соус стал красным - это у меня от давления кровь носом пошла. А потом уже мне мой терапевт намерил 190/120, которые я даже не чувствую (да, щас я на таблетках с этой фигней).

- Мобильность в принципе. Да, я по-прежнему с удовольствием много хожу пешком, но вот эти приключения формата "это холм, чехи считают это горой, давай туда наверх залезем, всего 1,5 км высоты, а наверху есть кабак - пива попьем" - стали уже тяжеловаты.

- Секса тоже стало меньше - ибо не хочется тупо. То есть подрочить - норм, а "толкаться пузиками" 30-40 минут лень.

- При этом супруг мой все чаще стал говорить о передаче родовой пушки 15 века, да вот наследника-то пока и нет.

- И прочее по мелочам.

И я пошла в интернет. Ибо сразу скажу - я не человек спорта, ходьба с собачкой и ленивые велопрогулки раз в месяц - мой максимум, и опять же я не человек диет. Слава всем богам, я не люблю сладкое, не прусь по мучному, вполне себе люблю шпинат и брокколи, но еще больше я люблю готовить и готовлю слишком хорошо. То есть - запечь 4 кг гуся на выходные - легко, плов/пельмешки/холодец - да как два пальца, ну, вы поняли, что я травить нас буду. Так что да, я пошла в интернет, и интернет мне сказал: "в Чешской республике резекции/шунтирования желудка по медицинским показаниям покрываются обязательной медицинской страховкой" или с юридического на нормальный "ты можешь получить это на халяву". И я взяла телефон, и я набрала номер, и я преодолела себя и поговорила с человеком на том конце провода, и я записалась на бесплатную консультацию у хирурга, чтобы понять надо ли оно мне, а если надо, то "чо, правда халява?".

На этом первую серию я, простите, закончу. В следующей серии (завтра):

- Что мне сказал хирург

- ХАЛЯВА ИЛИ НЕТ???

- Что такое это ваше шунтирование, чем отличается от резекции и в чем суть (кроме песка)?

- Что мне предстоит сделать, чтоб можно было начать

- Потенциальные последствия

- Муки выбора (4 за, 1 против, 1 воздержался)

- Решение и дальнейшие шаги.

PS баянометр выдает сиськи, поняш и лоли. OH SHI--

Данный класс представляет собой описание метода ActionScript и содержит указатель на тело функции в памяти по смещению $+4.

В объекте VTable по смещению $+D4 находится описание метода ByteArray::toString(). Имея возможность произвольно читать и писать в память, атакующий способен изменить указатель функции на тело функции (MethodEnv + 4) и благополучно перехватить поток исполнения приложения, выполнив ByteArray::toString().

Такое становится возможным по причине того, что метод данного класса будет вызываться из JIT-кода:

Как видно на скриншоте выше, неявный вызов происходит без предварительной проверки вызываемого адреса, поскольку данная функция была сгенерирована динамически.

Данный метод обхода CFG был исправлен с выходом Adobe Flash Player версии 18.0.0.160 (KB3065820, Июнь 2015). Исправление заключается в следующем: если JIT-функция содержит неявный вызов, то JIT-компилятор вставит вызов процедуры проверки непосредственно перед неявным вызовом.

Любой адрес в пределах тела динамической функции является валидным

Предыдущий метод обхода был возможен из-за недочета в функции, которая производит неявный вызов. А данный метод возможен из-за недочета в функции, которую неявно вызывют.

Исследователи Юрий Дроздов и Людмила Дроздова из Center of Vulnerability Research представили данный метод обхода CFG на конференции Defcon Russia.

Статья:

http://cvr-data.b*l*o*g*spot.ru/2015/07/advanced-cfg-bypass-on-adobe-flash.html

Их метод основан на том факте, что при выделении исполняемой памяти ядро выставляет единичный бит в битовой карте CFG для всей выделенной памяти. Посмотрим, к чему может привести такое поведение.

Предположим, что существует некая JIT-функция по адресу 0x69BC9080, в теле которой находится следующий код:

Что именно делает эта функция, нас не интересует, нужно лишь обратить внимание на 2 байта FF D0 инструкции по адресу 0x69BC90F0. Что будет, если начало функции вдруг сдвинется в середину данной инструкции? Вот что:

FF D0 — не что иное, как call eax! Вот так безобидная на первый взгляд функция превратилась в прекрасную цель для атакующего — неявный вызов без проверки Control Flow Guard. Нужно лишь разобраться с двумя вопросами: как добиться нужной последовательности байтов и как записать в регистр необходимый адрес.

Сгенерировать необходимую последовательность можно, просто экспериментируя с ActionScript-кодом. Стоит лишь учитывать тот факт, что Nanojit (JIT-компилятор AVM) обфусцирует генерируемый код, поэтому легкого пути не будет. Посмотрим, во что превратит Nanojit данную функцию:

public static function useless_func():uint

{

return 0xD5EC;

}

Совсем не то, что мы ожидали. Опытным путем можно прийти, например, к такому варианту кода:

public static function useless_func():void

{

useless_func2(0x11, 0, 1, 2, 3, 4, 5, 6, 7, 8, 9, 10, 11, 12, 13, 14, 15, 16, 17, 18, 19, 20, 21, 22, 23, 24, 25, 26);

}

public static function useless_func2(arg1:uint, arg2:uint, arg3:uint, a, b, c, d, e, f, g, h, i, j, k, l, m, n, p, q, r, s, t, u, v, w, x, y, z):void

{

}

Тело первой функции будет содержать следующие инструкции:

Интересующие нас байты FF 11 являются инструкцией call [ecx]:

Неявный вызов получили, теперь нужно занести в регистр ecx контролируемый адрес. Выясним, что хранится в данном регистре в момент вызова функции useless_func().

В момент вызова функции, в регистре ecx находится объект класса MethodEnv. Первый DWORD данного класса является указателем на виртуальную таблицу функций (ту, которую генерирует компилятор C++). Эта таблица в момент вызова метода useless_func() не используется, поэтому ничего не мешает атакующему непосредственно перед вызовом метода заменить указатель на свой.

Реализация данного алгоритма будет следующей:

var class_addr:uint = read_addr(UselessClass);

var vtable:uint = read_dword(class_addr + 8);

var methodenv:uint = read_dword(vtable + 0x54); // $+54 = useless_func

var func_ptr:uint = read_dword(methodenv + 4);

write_dword(methodenv + 4, func_ptr + offset_to_call_ecx);

write_dword(methodenv, rop_gadget); // ecx <- pointer to rop gadgets

UselessClass.useless_func(); // call [ecx]

Таким образом, нам удалось перехватить поток исполнения приложения и перейти, в данном случае, к выполнению ROP-гаджета.

Этот метод обхода CFG был исправлен в версии 18.0.0.194 (KB3074219, Июнь 2015). Исправление заключается в использовании нового флага

PAGE_TARGETS_INVALID/PAGE_TARGETS_NO_UPDATE (0x40000000) для функций VirtualAlloc и VirtualProtect в связке с новой функцией WinAPI — SetProcessValidCallTargets.

Флаг PAGE_TARGETS_INVALID при выделении исполняемой памяти выставляет нулевой бит для всего участка памяти, а флаг PAGE_TARGETS_NO_UPDATE при изменении типа памяти на исполняемую предотвращает изменение битовой карты для целевого участка памяти.

Данное исправление можно наблюдать в функции AVMPI_makeCodeMemoryExecutable в исходном коде ядра AVM (AVMPI/MMgcPortWin.cpp):

Вызов функции SetProcessValidCallTargets реализован в AVMPI_makeTargetValid (AVMPI/MMgcPortWin.cpp):

Из этого можно сделать вывод, что правильная последовательность действий при размещении в памяти динамически генерируемого кода в условиях работы CFG должна быть следующей:

VirtualAlloc(PAGE_READWRITE)

Запись кода в выделенный участок

VirtualProtect(PAGE_EXECUTE_READ | PAGE_TARGETS_NO_UPDATE)

SetProcessValidCallTargets()

И, конечно же, не стоит забывать про неявные вызовы внутри динамического кода.

Проверка Control Flow Guard заключается в валидации вызываемого адреса, но валидными адресами являются не только начала пользовательских функций. Все функции WinAPI, как и любые другие функции из таблицы импорта, являются валидными адресатами для неявного вызова. Атакующему ничего не мешает перевести поток исполнения напрямую в библиотечную функцию, минуя тем самым выполнение шеллкода (shellcode) или ROP-гаджетов. Хорошим кандидатом для такой цели является WinAPI функция kernel32!WinExec.

Данная идея впервые была озвучена исследователем Yuki Chen из Qihoo 360 Vulcan Team на конференции SyScan (Сингапур, 2015) в презентации, посвященной эксплуатации уязвимости в Internet Explorer 11 с обходом новых механизмов защиты. Также на конференции BlackHat (США, 2015) исследователь Francisco Falcón описал реализацию данного метода применительно к Adobe Flash Player.

В своей реализации Francisco Falcón оперировал методом toString() объекта класса Vector, но мы попробуем реализовать данный метод, пользуясь наработками из предыдущего.

Основная сложность данного метода заключается в том, чтобы передать параметры WinExec через стек. Данная функция, согласно справке, принимает 2 параметра: LPCSTR lpCmdLine и UINT uCmdShow.

lpCmdLine — указатель на строку, которую нужно выполнить (должна заканчиваться нулевым байтом).

uCmdShow — режим отображения запускаемого приложения.

Обратимся к скриншоту из предыдущего метода:

В момент вызова нашей функции на стеке оказывается 3 параметра. Третий параметр нас не интересует. Со вторым все отлично, поскольку 0 = SW_HIDE (приложение запустится скрыто). Первым параметром является указатель на объект MethodEnv.

Как мы уже выяснили ранее, первые 4 байта данного объекта являются указателем на виртуальную таблицу функций, и в момент вызова ActionScript-метода она никак не задействуется. Следующие 4 байта указывают на тело функции, и именно их нужно изменить на указатель функции WinExec.

Поскольку порча указателя на тело функции не приведет ни к чему хорошему, в нашем распоряжении имеется лишь первые 4 байта. В данный размер можно, например, уместить строку cmd\0 (командная строка Windows). Данной командой, конечно, не добиться полной компрометации системы, но для демонстрации подойдет.

Модифицируем алгоритм из предыдущего метода и получим следующий код:

var class_addr:uint = read_addr(UselessClass);

var vtable:uint = read_dword(class_addr + 8);

var methodenv:uint = read_dword(vtable + 0x50); // $+50 = useless_func

var winexec:uint = get_proc_addr("kernel32.dll", "WinExec");

write_dword(methodenv + 4, winexec); // useless_func() --> WinExec()

write_dword(methodenv, 0x00646d63); // '\0', 'd', 'm', 'c'

UselessClass.useless_func();

Поиск WinAPI функции в условиях современных Flash-эксплоитов является тривиальной задачей. Данную реализацию мы опустим, но с ней можно всегда ознакомиться, изучив пакет Flash Exploiter из фреймворка Metasploit.

Выполнив приведенный выше алгоритм при эксплуатации уязвимости, можно убедиться в работоспособности данного метода:

Все современные Flash-эксплоиты так или иначе используют метод запуска полезной нагрузки (payload) из утекших исходников эксплоитов компании HackingTeam. Автором данного метода является Виталий Торопов. Его метод основан на вызове WinAPI функции kernel32!VirtualProtect, благодаря чему достигается обход всех механизмов защиты и, в том числе, Control Flow Guard.

Целью данного метода является метод apply() класса Function (core/FunctionClass.cpp)

В исходном коде данного метода происходит нативный вызов core->exec->apply(get_callEnv(), thisArg, (ArrayObject*)AvmCore::atomToScriptObject(argArray));, который можно перехватить, оперируя объектами ActionScript.

Подробное описание данного метода требует отдельной статьи, но с реализацией можно ознакомиться на GitHub. Также есть хороший материал с разбором данного метода в условиях 64-битного Flash в блоге Metasploit.(https://community.rapid7.com/community/metasploit/blog/2015/...)

Заключение

Несмотря на свои недостатки, Control Flow Guard при должном внимании со стороны разработчиков является хорошим дополнением в арсенале борцов с эксплоитами в среде ОС Windows. Компании Microsoft удалось, пусть и не полностью, реализовать концепцию Control Flow Integrity, минимально повлияв на производительность приложений, и сохранив обратную совместимость. Данный механизм еще не достиг предела своих возможностей, и разработчики из Microsoft наверняка в ближайшем будущем смогут усилить защиту приложений.

Хочется надеяться, что все разработчики приложений задумаются над современной защитой от эксплуатации уязвимостей и добавят в свои продукты поддержку CFG.

https://habrahabr.ru/company/dsec/blog/305960/

http://sjc1-te-ftp.trendmicro.com/assets/wp/exploring-contro...

http://www.powerofcommunity.net/poc2014/mj0011.pdf

https://github.com/adobe/avmplus

https://www.blackhat.com/docs/eu-15/materials/eu-15-Falcon-E...