среда, 25 июля 2012 г.

Anti-Rop

Microsoft аннонсировала $250,000 за наиболее "эксплойто-подавляющую" технику.

Уже известны три финалиста, которые акцентировали свое внимание на anti-rop технологии, придуманными ими же.

Первый из них, Jared DeMott, придумал технику, названную им "/ROP", которая проверяет целевой адрес каждой return инструкции и затем сравнивает её с легитимным списком.

Второй исследователь Ivan Fratric, придумал похожую технику, названную им как "ROPGuard", он решил проверять каждый критический вызов ф-ции, чтобы определить легитимен ли он. Атакующий должен будет вызывать так или иначе эти ф-ции из rop кода, что делает их идеальным местом для проверки.

Третий исследователь Vasilis Pappas, назвал свою задумку "kBouncer". Когда идет выполнение rop кода, control-flow выглядит необычно и атаку можно легко обнаружить. kBouncer основывается на фиче мониторинга производительности, которая существует в новейших Intel процессорах(Last Branch Recording).

Все три фичи заявляются ресерчерами как минимально воздействующими на производительность, а также легко реализуемыми.

Микрософт врятли будет выкидывать деньги просто так, поэтому логично предположить, что одна из предложенных технологий (или все три?)  в каком то виде будут реализованы либо в windows 8, либо в next service pack windows 7.

Поживем-увидим.

3 комментария:

  1. Уже что то даже реализовано в новом EMET v3.5 Tech Preview

    http://blogs.technet.com/b/srd/archive/2012/07/24/emet-3-5-tech-preview-leverages-security-mitigations-from-the-bluehat-prize.aspx

    ОтветитьУдалить
  2. Угу, в нем ROPGuard реализован

    ОтветитьУдалить
  3. их кстати уже запавнили :)
    https://repret.wordpress.com/2012/08/08/bypassing-emet-3-5s-rop-mitigations/

    ОтветитьУдалить