Open bsauce opened 6 months ago
https://bsauce.github.io/2024/05/22/AlphaEXP/
【bsauce读论文】2023-USENIX-AlphaEXP:识别Linux内核中的可利用对象基本信息 原文标题:AlphaEXP: An Expert System for Identifying Security-Sensitive Kernel Objects 原文作者:Ruipeng Wang, Kaixiang Chen, Chao Zhang, Zulie Pan, Qianyu Li, Siliang Qin, Shenglin Xu, Min Zhang, Yang Li 作者单位:National University of Defense Technology, Tsinghua University 关键词:Linux内核, 漏洞可利用性, 自动化评估, AlphaEXP 原文链接:https://www.usenix.org/conference/usenixsecurity23/presentation/wang-ruipeng 开源代码:1. 论文要点论文简介:本文提出AlphaEXP(基于KINT [48], Syzkaller [19], Soufflé [28]实现),首先构造知识图谱来表示内核对象、内核功能和用户输入的关系,然后根据给定漏洞探索可能的攻击路径,标记可利用的对象,最后评估攻击路径的可行性,并对可利用的对象进行分类。实验:对84个人工构造的漏洞和19个真实CVE进行测试,成功对大部分漏洞生成了攻击路径,找到50个对象可用于构造写原语,81个对象可用于构造读原语,112个对象可构造控制流劫持,并将这些对象分为12个等级。2. 背景2-1. 案例分析漏洞点:第13行,当用户可控的skey->keylen (第11行)超过缓冲区skey->key的长度(该缓冲区的分配大小也由用户决定,第9行),就会触发OOB溢出。漏洞利用:见图 (d),先构造漏洞对象tipc_aead_key和msg_msg相邻,溢出篡改 msg_msg->m_ts,构造越界读来泄露tty_struct结构的函数地址和堆地址;然后构造漏洞对象tipc_aead_key和tty_struct相邻,溢出篡改tty_struct->ops劫持控制流。挑战:如何识别出类似msg_msg和tty_struct这些可利用对象并分类。2-2. 漏洞利用步骤利用过程分为两个阶段,Capability Upgrade (CU) 和 Capability Stitching (CS)。首先将初始的漏洞能力转化为更强的能力,最常见的有两种,一是读能力和任意代码执行(ACE),二是读能力和任意地址写(AAW),可以绕过KASLR并提权。然后将多种能力组合起来,实现提权。3. AlphaEXP威胁模型:开启SMEP, SMAP [14], KPTI [15], KASLR [17]。只生成攻击路径,而非EXP,不考虑堆布局技术。AlphaEXP整体架构:包含三个部分,知识图谱构建(收集内核对象信息),攻击路径生成(推断哪些对象可以用于利用),可利用对象分类(根据利用条件和能力的影响)。实现:知识图谱构建是基于 KINT[48] 和 Syzkaller;攻击路径生成是基于Soufflé [28]。3-1. 知识图谱构建目标:能反映内核对象、内核功能和输入的关系。组成: object信息:包含位置信息和成员信息。 位置信息:所属Cache; 成员信息:Pointer(可作为释放函数的参数)、Integer(可作为分配函数的参数)。 内核功能: R_W / Call:读/写和对敏感对象执行常见操作,有利于利用; Release / Allocate:有利于利用。 用户操作:能触发相应内核功能的用户操作。静态知识收集:LLVM静态分析,收集对象和内核功能函数的关系。先收集内核对象的结构和size;再收集内核功能,例如copy_from_user(), copy_to_user(), kmalloc(), kfree(),对应读/写/分配/释放;最后识别哪些对象的成员会影响内核功能函数的参数,数据流分析 use-def链。同时,还识别间接调用,例如call i64 %1(i8 %2, i8 %2)的函数指针是否来自某个对象,有利于控制流劫持。动态知识收集:fuzz技术,识别用户操作如何触发内核功能函数。先在内核功能函数处插桩,然后采用fuzz生成能触发内核功能的测试用例。3-2. 攻击路径生成(1)攻击动作选择:选取用户操作。首先是随机选取一个,但是遵循两个原则,一是考虑对象所属的kmem-cache是否合适,二是已具备的能力(例如已具备任意读)就不再选取。(2)推断:推断用户操作的有效性。基于Datalog[8]进行自动推断。模式和规则参见Table 1。 模式:3种 知识图:来自知识图谱,例如对象所属cache。 内存状态:用于推断用户操作导致的内存状态,重点关注指针和内存的关系(例如PointTo / PointerType / PointerStatus)。注意,DestroyPointer用于区分不同的内存释放方式,确定是否有漏洞。 非预期能力:根据当前状态推断是否具备非预期能力(读/写/执行)。 规则:2种 内存:基于内核内存分配,有助于推断攻击路径。 能力:基于利用经验。例如,如果具备写功能的指针被污染,则可以构造任意地址写。 (3)调度:确定推断结果是否符合预期,确定攻击动作是否加入到攻击路径。经过前面两步分析,已经生成了攻击子路径,接下来需不断评估子路径,直到找到能够生成利用的路径。3-3. 可利用对象分类分类:根据利用条件和利用影响进行分类。 利用条件:主要看三个因素,重要度由高到低。 一是所属kmem-cache,有的对象大小固定(例如sembuf),有的对象分配大小用户可控(例如drm_property_blob)可用于不同大小的漏洞对象; 二是所需入口能力,例如,利用tty_struct对象需覆写其第41个成员,而利用seq_operations对象则只需覆写其第1个成员; 三是所适用漏洞类型,例如,setxattr()函数的分配和写入是连续的,不适用于OOB,只适用于UAF。 利用影响:读 / 写 / 执行能力。写能力最重要,执行能力次之,最后是读能力。例如,msg_msg同时具备读/写能力,所以利用影响更大。4. 实验实验结果:可利用对象识别与分类。识别出50个对象可用于构造写原语,81个对象可用于构造读原语,112个对象可构造控制流劫持,并将这些对象分为12个等级。12个等级是根据利用条件(Cache / 入口能力-Cap / 漏洞类型-T)和利用影响(W / R / 执行-X 能力)的组合来决定,例如,Cache&Cap&T-WR 表示该对象对cache、入口能力和漏洞类型没有要求,非预期能力是读/写。详细分类结果参见Table 6。
https://bsauce.github.io/2024/05/22/AlphaEXP/
【bsauce读论文】2023-USENIX-AlphaEXP:识别Linux内核中的可利用对象基本信息 原文标题:AlphaEXP: An Expert System for Identifying Security-Sensitive Kernel Objects 原文作者:Ruipeng Wang, Kaixiang Chen, Chao Zhang, Zulie Pan, Qianyu Li, Siliang Qin, Shenglin Xu, Min Zhang, Yang Li 作者单位:National University of Defense Technology, Tsinghua University 关键词:Linux内核, 漏洞可利用性, 自动化评估, AlphaEXP 原文链接:https://www.usenix.org/conference/usenixsecurity23/presentation/wang-ruipeng 开源代码:1. 论文要点论文简介:本文提出AlphaEXP(基于KINT [48], Syzkaller [19], Soufflé [28]实现),首先构造知识图谱来表示内核对象、内核功能和用户输入的关系,然后根据给定漏洞探索可能的攻击路径,标记可利用的对象,最后评估攻击路径的可行性,并对可利用的对象进行分类。实验:对84个人工构造的漏洞和19个真实CVE进行测试,成功对大部分漏洞生成了攻击路径,找到50个对象可用于构造写原语,81个对象可用于构造读原语,112个对象可构造控制流劫持,并将这些对象分为12个等级。2. 背景2-1. 案例分析漏洞点:第13行,当用户可控的skey->keylen (第11行)超过缓冲区skey->key的长度(该缓冲区的分配大小也由用户决定,第9行),就会触发OOB溢出。漏洞利用:见图 (d),先构造漏洞对象tipc_aead_key和msg_msg相邻,溢出篡改 msg_msg->m_ts,构造越界读来泄露tty_struct结构的函数地址和堆地址;然后构造漏洞对象tipc_aead_key和tty_struct相邻,溢出篡改tty_struct->ops劫持控制流。挑战:如何识别出类似msg_msg和tty_struct这些可利用对象并分类。2-2. 漏洞利用步骤利用过程分为两个阶段,Capability Upgrade (CU) 和 Capability Stitching (CS)。首先将初始的漏洞能力转化为更强的能力,最常见的有两种,一是读能力和任意代码执行(ACE),二是读能力和任意地址写(AAW),可以绕过KASLR并提权。然后将多种能力组合起来,实现提权。3. AlphaEXP威胁模型:开启SMEP, SMAP [14], KPTI [15], KASLR [17]。只生成攻击路径,而非EXP,不考虑堆布局技术。AlphaEXP整体架构:包含三个部分,知识图谱构建(收集内核对象信息),攻击路径生成(推断哪些对象可以用于利用),可利用对象分类(根据利用条件和能力的影响)。实现:知识图谱构建是基于 KINT[48] 和 Syzkaller;攻击路径生成是基于Soufflé [28]。3-1. 知识图谱构建目标:能反映内核对象、内核功能和输入的关系。组成: object信息:包含位置信息和成员信息。 位置信息:所属Cache; 成员信息:Pointer(可作为释放函数的参数)、Integer(可作为分配函数的参数)。 内核功能: R_W / Call:读/写和对敏感对象执行常见操作,有利于利用; Release / Allocate:有利于利用。 用户操作:能触发相应内核功能的用户操作。静态知识收集:LLVM静态分析,收集对象和内核功能函数的关系。先收集内核对象的结构和size;再收集内核功能,例如copy_from_user(), copy_to_user(), kmalloc(), kfree(),对应读/写/分配/释放;最后识别哪些对象的成员会影响内核功能函数的参数,数据流分析 use-def链。同时,还识别间接调用,例如call i64 %1(i8 %2, i8 %2)的函数指针是否来自某个对象,有利于控制流劫持。动态知识收集:fuzz技术,识别用户操作如何触发内核功能函数。先在内核功能函数处插桩,然后采用fuzz生成能触发内核功能的测试用例。3-2. 攻击路径生成(1)攻击动作选择:选取用户操作。首先是随机选取一个,但是遵循两个原则,一是考虑对象所属的kmem-cache是否合适,二是已具备的能力(例如已具备任意读)就不再选取。(2)推断:推断用户操作的有效性。基于Datalog[8]进行自动推断。模式和规则参见Table 1。 模式:3种 知识图:来自知识图谱,例如对象所属cache。 内存状态:用于推断用户操作导致的内存状态,重点关注指针和内存的关系(例如PointTo / PointerType / PointerStatus)。注意,DestroyPointer用于区分不同的内存释放方式,确定是否有漏洞。 非预期能力:根据当前状态推断是否具备非预期能力(读/写/执行)。 规则:2种 内存:基于内核内存分配,有助于推断攻击路径。 能力:基于利用经验。例如,如果具备写功能的指针被污染,则可以构造任意地址写。 (3)调度:确定推断结果是否符合预期,确定攻击动作是否加入到攻击路径。经过前面两步分析,已经生成了攻击子路径,接下来需不断评估子路径,直到找到能够生成利用的路径。3-3. 可利用对象分类分类:根据利用条件和利用影响进行分类。 利用条件:主要看三个因素,重要度由高到低。 一是所属kmem-cache,有的对象大小固定(例如sembuf),有的对象分配大小用户可控(例如drm_property_blob)可用于不同大小的漏洞对象; 二是所需入口能力,例如,利用tty_struct对象需覆写其第41个成员,而利用seq_operations对象则只需覆写其第1个成员; 三是所适用漏洞类型,例如,setxattr()函数的分配和写入是连续的,不适用于OOB,只适用于UAF。 利用影响:读 / 写 / 执行能力。写能力最重要,执行能力次之,最后是读能力。例如,msg_msg同时具备读/写能力,所以利用影响更大。4. 实验实验结果:可利用对象识别与分类。识别出50个对象可用于构造写原语,81个对象可用于构造读原语,112个对象可构造控制流劫持,并将这些对象分为12个等级。12个等级是根据利用条件(Cache / 入口能力-Cap / 漏洞类型-T)和利用影响(W / R / 执行-X 能力)的组合来决定,例如,Cache&Cap&T-WR 表示该对象对cache、入口能力和漏洞类型没有要求,非预期能力是读/写。详细分类结果参见Table 6。