먼저 내가 하고 싶은 일, 내가 할 수 있는 일, 그리고 마지막으로 내 문제를 설명하겠습니다.
목표: C를 사용하여 플러시+플러시 캐시 공격 구현
C에서 새로 고침+새로 고침 캐시 공격을 구현하려고 합니다(https://gruss.cc/files/flushflush.pdf). 기본적으로 공유 라이브러리를 사용할 때 두 개의 서로 다른 프로세스가 동일한 메모리 페이지를 공유할 수 있다는 사실을 활용합니다. 이로 인해 캐시가 "공유 사용"됩니다.
func지속적으로 실행되고 때로는 공유 라이브러리에서 가져온 기능을 실행하는 피해자 프로세스가 있다고 가정해 보겠습니다 .
동시에, 피해자와 동일한 시스템에서 실행 중인 스파이 프로세스가 있다고 가정해 보겠습니다. 이 프로세스의 목표는 피해자가 언제 호출하는지 모니터링하는 것입니다 func. 스파이는 동일한 공유 라이브러리에도 액세스할 수 있습니다. 스파이 프로세스의 의사 코드는 다음과 같습니다.
i=0;
for (i = 0; i < trace_length ; i++)
{
trace[i] = flush_time( address of function "func");
i++;
}
어디flush_time(<address>)CPU가 가리키는 메모리를 새로 고치는 데 걸리는 시간을 반환하는 함수입니다.address모든 캐시 수준에서. Intel 프로세서에서는 조립 지침을 통해 이를 수행할 수 있습니다 clflush. clflush캐시에 해당 주소가 없을 때 실행 속도가 더 빨라지는 것을 확인할 수 있습니다 . 따라서 메모리 주소를 플러시하는 데 필요한 타이밍은 캐시 내 메모리 주소의 존재(또는 부재)로 직접 변환됩니다.
스파이 프로세스는 시간 경과에 따른 flash_time 결과를 포함하는 추적 벡터를 반환합니다. 이전 관찰에 따르면 이 추적은 피해자가 함수를 호출할 때 더 높은 타이밍을 나타냅니다 func. 따라서 스파이는 피해자가 언제 전화했는지 추론하게 된다 func.
내가 할 수 있었던 일: 공격 대상을 GSL 공유 라이브러리로 만들기
공유 라이브러리가 있는 위의 공격을 구현했습니다.GSL. 모니터링할 기능을 임의로 선택했습니다 gsl_stats_mean( 에 정의됨 gsl_statistics_double) .func
이 경우 피해자 프로그램이 호출할 때의 시차를 명확하게 볼 수 있기 때문에 감시가 완벽하게 작동합니다.gsl_stats_mean
내 문제: 홈브류 공유 라이브러리에서는 공격이 작동하지 않습니다.
이제 나만의 공유 라이브러리를 만들어 스파이/피해자 테스트에 사용하고 싶습니다. my 및 files가 있는 .폴더를 나타낸다고 가정합니다. 폴더에 두 개의 파일을 만들었으며 각각 설명과 선언이 포함되어 있습니다. 이전과 마찬가지로 내 스파이의 목표는 피해자의 사용을 탐지하는 것입니다.spy.cvictim.cmyl.cmyl.h./src/mylfuncfunc
spy.c둘 다 victim.c포함 라인을 포함합니다.
#include "src/myl/myl.h"
공유 라이브러리 생성은 다음 명령을 사용하여 수행됩니다.
gcc -c -fPIC src/myl/myl.c -o bin/shared/myl.o #creation of object in ./bin/shared
gcc -shared bin/shared/myl.o -o bin/shared/libmyl.so #creation of the shared library in ./bin/shared
gcc -c spy.c -o spy.o #creation of spy's process object file
gcc -c victim.c -o victim.o #creation of victim's process object file
gcc spy.o -Lbin/shared -lmyl -o spy #creation of spy's executable
gcc victim.o -Lbin/shared -lmyl -o victim #creation of victim's executable
그런 다음 다음 줄을 사용하여 피해자와 스파이를 실행합니다.
LD_LIBRARY_PATH=$(pwd)/bin/shared ./victim
LD_LIBRARY_PATH=$(pwd)/bin/shared ./spy
그러나 GSL 기능을 사용할 때와는 달리 캐시에는 더 이상 어떤 활동도 표시되지 않습니다. 나는 이것이 내 스파이 프로세스와 피해자 프로세스가 내 공유 라이브러리의 동일한 메모리 페이지를 공유하지 않는다는 것을 의미한다고 생각합니다(그러나 이는 GSL을 사용할 때의 경우입니다). 이런 방식으로 컴파일하면 GSL 함수를 감시하는 것이 여전히 작동한다는 점에 유의하세요.
내 주요 질문은: 여러 프로세스가 동시에 실행될 때 집에서 컴파일한 공유 라이브러리가 메모리 페이징을 공유하도록 하려면 어떻게 해야 합니까? 이는 GSL, gmp, 기본 라이브러리 등과 같이 내가 설치한 "올바른" 라이브러리의 경우인 것 같지만 내가 직접 만든 라이브러리는 그렇지 않습니다.
답변이 간단하다면 미리 감사드리며 사과드립니다.
편집: 스파이와 피해자 LD_DEBUG=libs출력. files참고: 피해자는 pg2, 스파이는 호출됩니다 pg1(죄송합니다).
먼저 피해자의 라이브러리, 다음으로 피해자의 파일( pg2)입니다. 그런 다음 스파이의 라이브러리, 스파이의 파일( pg1):
LD_DEBUG=libs LD_LIBRARY_PATH=$(pwd)/bin/shared ./pg2
31714: find library=libmyl.so [0]; searching
31714: search path=/home/romain/Documents/work/test/page_sharing/bin/shared/tls/x86_64:/home/romain/Documents/work/test/page_sharing/bin/shared/tls:/home/romain/Documents/work/test/page_sharing/bin/shared/x86_64:/home/romain/Documents/work/test/page_sharing/bin/shared (LD_LIBRARY_PATH)
31714: trying file=/home/romain/Documents/work/test/page_sharing/bin/shared/tls/x86_64/libmyl.so
31714: trying file=/home/romain/Documents/work/test/page_sharing/bin/shared/tls/libmyl.so
31714: trying file=/home/romain/Documents/work/test/page_sharing/bin/shared/x86_64/libmyl.so
31714: trying file=/home/romain/Documents/work/test/page_sharing/bin/shared/libmyl.so
31714:
31714: find library=libc.so.6 [0]; searching
31714: search path=/home/romain/Documents/work/test/page_sharing/bin/shared (LD_LIBRARY_PATH)
31714: trying file=/home/romain/Documents/work/test/page_sharing/bin/shared/libc.so.6
31714: search cache=/etc/ld.so.cache
31714: trying file=/lib/x86_64-linux-gnu/libc.so.6
31714:
31714:
31714: calling init: /lib/x86_64-linux-gnu/libc.so.6
31714:
31714:
31714: calling init: /home/romain/Documents/work/test/page_sharing/bin/shared/libmyl.so
31714:
31714:
31714: initialize program: ./pg2
31714:
31714:
31714: transferring control: ./pg2
31714:
LD_DEBUG=files LD_LIBRARY_PATH=$(pwd)/bin/shared ./pg2
31901:
31901: file=libmyl.so [0]; needed by ./pg2 [0]
31901: file=libmyl.so [0]; generating link map
31901: dynamic: 0x00007f5a3b34be48 base: 0x00007f5a3b14b000 size: 0x0000000000201028
31901: entry: 0x00007f5a3b14b580 phdr: 0x00007f5a3b14b040 phnum: 7
31901:
31901:
31901: file=libc.so.6 [0]; needed by ./pg2 [0]
31901: file=libc.so.6 [0]; generating link map
31901: dynamic: 0x00007f5a3b144ba0 base: 0x00007f5a3ad81000 size: 0x00000000003c99a0
31901: entry: 0x00007f5a3ada1950 phdr: 0x00007f5a3ad81040 phnum: 10
31901:
31901:
31901: calling init: /lib/x86_64-linux-gnu/libc.so.6
31901:
31901:
31901: calling init: /home/romain/Documents/work/test/page_sharing/bin/shared/libmyl.so
31901:
31901:
31901: initialize program: ./pg2
31901:
31901:
31901: transferring control: ./pg2
31901:
LD_DEBUG=libs LD_LIBRARY_PATH=$(pwd)/bin/shared ./pg1
31938: find library=libmyl.so [0]; searching
31938: search path=/home/romain/Documents/work/test/page_sharing/bin/shared/tls/x86_64:/home/romain/Documents/work/test/page_sharing/bin/shared/tls:/home/romain/Documents/work/test/page_sharing/bin/shared/x86_64:/home/romain/Documents/work/test/page_sharing/bin/shared (LD_LIBRARY_PATH)
31938: trying file=/home/romain/Documents/work/test/page_sharing/bin/shared/tls/x86_64/libmyl.so
31938: trying file=/home/romain/Documents/work/test/page_sharing/bin/shared/tls/libmyl.so
31938: trying file=/home/romain/Documents/work/test/page_sharing/bin/shared/x86_64/libmyl.so
31938: trying file=/home/romain/Documents/work/test/page_sharing/bin/shared/libmyl.so
31938:
31938: find library=libgsl.so.23 [0]; searching
31938: search path=/home/romain/Documents/work/test/page_sharing/bin/shared (LD_LIBRARY_PATH)
31938: trying file=/home/romain/Documents/work/test/page_sharing/bin/shared/libgsl.so.23
31938: search cache=/etc/ld.so.cache
31938: trying file=/usr/local/lib/libgsl.so.23
31938:
31938: find library=libgslcblas.so.0 [0]; searching
31938: search path=/home/romain/Documents/work/test/page_sharing/bin/shared (LD_LIBRARY_PATH)
31938: trying file=/home/romain/Documents/work/test/page_sharing/bin/shared/libgslcblas.so.0
31938: search cache=/etc/ld.so.cache
31938: trying file=/usr/local/lib/libgslcblas.so.0
31938:
31938: find library=libc.so.6 [0]; searching
31938: search path=/home/romain/Documents/work/test/page_sharing/bin/shared (LD_LIBRARY_PATH)
31938: trying file=/home/romain/Documents/work/test/page_sharing/bin/shared/libc.so.6
31938: search cache=/etc/ld.so.cache
31938: trying file=/lib/x86_64-linux-gnu/libc.so.6
31938:
31938: find library=libm.so.6 [0]; searching
31938: search path=/home/romain/Documents/work/test/page_sharing/bin/shared (LD_LIBRARY_PATH)
31938: trying file=/home/romain/Documents/work/test/page_sharing/bin/shared/libm.so.6
31938: search cache=/etc/ld.so.cache
31938: trying file=/lib/x86_64-linux-gnu/libm.so.6
31938:
31938:
31938: calling init: /lib/x86_64-linux-gnu/libc.so.6
31938:
31938:
31938: calling init: /lib/x86_64-linux-gnu/libm.so.6
31938:
31938:
31938: calling init: /usr/local/lib/libgslcblas.so.0
31938:
31938:
31938: calling init: /usr/local/lib/libgsl.so.23
31938:
31938:
31938: calling init: /home/romain/Documents/work/test/page_sharing/bin/shared/libmyl.so
31938:
31938:
31938: initialize program: ./pg1
31938:
31938:
31938: transferring control: ./pg1
31938:
0: 322 # just some output of my spying program
1: 323 # just some output of my spying program
31938:
31938: calling fini: ./pg1 [0]
31938:
31938:
31938: calling fini: /home/romain/Documents/work/test/page_sharing/bin/shared/libmyl.so [0]
31938:
31938:
31938: calling fini: /usr/local/lib/libgsl.so.23 [0]
31938:
31938:
31938: calling fini: /usr/local/lib/libgslcblas.so.0 [0]
31938:
31938:
31938: calling fini: /lib/x86_64-linux-gnu/libm.so.6 [0]
31938:
LD_DEBUG=files LD_LIBRARY_PATH=$(pwd)/bin/shared ./pg1
31940:
31940: file=libmyl.so [0]; needed by ./pg1 [0]
31940: file=libmyl.so [0]; generating link map
31940: dynamic: 0x00007fb3d8794e48 base: 0x00007fb3d8594000 size: 0x0000000000201028
31940: entry: 0x00007fb3d8594580 phdr: 0x00007fb3d8594040 phnum: 7
31940:
31940:
31940: file=libgsl.so.23 [0]; needed by ./pg1 [0]
31940: file=libgsl.so.23 [0]; generating link map
31940: dynamic: 0x00007fb3d8582ac8 base: 0x00007fb3d8126000 size: 0x000000000046da60
31940: entry: 0x00007fb3d8180e30 phdr: 0x00007fb3d8126040 phnum: 7
31940:
31940:
31940: file=libgslcblas.so.0 [0]; needed by ./pg1 [0]
31940: file=libgslcblas.so.0 [0]; generating link map
31940: dynamic: 0x00007fb3d8124df0 base: 0x00007fb3d7ee8000 size: 0x000000000023d050
31940: entry: 0x00007fb3d7eea120 phdr: 0x00007fb3d7ee8040 phnum: 7
31940:
31940:
31940: file=libc.so.6 [0]; needed by ./pg1 [0]
31940: file=libc.so.6 [0]; generating link map
31940: dynamic: 0x00007fb3d7ee1ba0 base: 0x00007fb3d7b1e000 size: 0x00000000003c99a0
31940: entry: 0x00007fb3d7b3e950 phdr: 0x00007fb3d7b1e040 phnum: 10
31940:
31940:
31940: file=libm.so.6 [0]; needed by /usr/local/lib/libgsl.so.23 [0]
31940: file=libm.so.6 [0]; generating link map
31940: dynamic: 0x00007fb3d7b1cd88 base: 0x00007fb3d7815000 size: 0x00000000003080f8
31940: entry: 0x00007fb3d781a600 phdr: 0x00007fb3d7815040 phnum: 7
31940:
31940:
31940: calling init: /lib/x86_64-linux-gnu/libc.so.6
31940:
31940:
31940: calling init: /lib/x86_64-linux-gnu/libm.so.6
31940:
31940:
31940: calling init: /usr/local/lib/libgslcblas.so.0
31940:
31940:
31940: calling init: /usr/local/lib/libgsl.so.23
31940:
31940:
31940: calling init: /home/romain/Documents/work/test/page_sharing/bin/shared/libmyl.so
31940:
31940:
31940: initialize program: ./pg1
31940:
31940:
31940: transferring control: ./pg1
31940:
0: 325 # just some output of my spying program
1: 327 # just some output of my spying program
31940:
31940: calling fini: ./pg1 [0]
31940:
31940:
31940: calling fini: /home/romain/Documents/work/test/page_sharing/bin/shared/libmyl.so [0]
31940:
31940:
31940: calling fini: /usr/local/lib/libgsl.so.23 [0]
31940:
31940:
31940: calling fini: /usr/local/lib/libgslcblas.so.0 [0]
31940:
31940:
31940: calling fini: /lib/x86_64-linux-gnu/libm.so.6 [0]
31940:
답변1
동적 링커/로더의 디버그 출력은 및 프로그램이 모두 올바른 입력 파일을 로드했음을 ld확인하므로 다음 단계는 커널이 메모리에 로드된 물리적 페이지를 실제로 설정했는지 확인하는 것입니다 .victimspylibmyl.sovictimspy
Linux에서는 커널 버전 2.6.25부터 다음을 통과할 수 있습니다.pagemap사용자 공간 프로그램이 커널의 파일을 읽어 페이지 테이블 및 관련 정보를 검사할 수 있도록 하는 커널의 인터페이스입니다 /proc.
두 프로세스가 메모리를 공유하는지 여부를 확인하기 위해 페이지 매핑을 사용하는 일반적인 프로세스는 다음과 같습니다.
- 두 프로세스를 모두 읽어
/proc/<pid>/maps메모리 공간의 어느 부분이 어떤 개체에 매핑되는지 확인합니다. - 관심 있는 지도를 선택하세요. 이 경우에는
libmyl.so지도가 매핑된 페이지를 선택하세요. - 열려 있는
/proc/<pid>/pagemap. 이는pagemap페이지당 하나씩 64비트 페이지 매핑 설명자로 구성됩니다. 페이지 주소와 설명자 주소 간의 매핑은pagemap다음과 같습니다.페이지 주소/페이지 크기*설명자 크기. 검사하려는 페이지의 설명자를 찾으세요. - .txt 파일에서 각 페이지의 64비트 설명자를 부호 없는 정수로 읽습니다
pagemap. libmyl.so페이지 간 페이지 설명자의 비트 0-54에 있는 페이지 프레임 번호(PFN)를 비교합니다 . PFN이 일치하면 두 프로세스 모두 동일한 물리적 페이지를 공유합니다.victimspy
다음 샘플 코드는 pagemap프로세스 내에서 액세스하고 인쇄하는 방법을 보여줍니다. 그것은 사용한다dl_iterate_phdr()프로세스의 메모리 공간에 로드된 각 공유 라이브러리의 가상 주소를 결정한 다음 에서 해당 주소를 찾아 인쇄 pagemap합니다 /proc/<pid>/pagemap.
#define _GNU_SOURCE
#include <stdio.h>
#include <stdlib.h>
#include <unistd.h>
#include <string.h>
#include <inttypes.h>
#include <sys/stat.h>
#include <fcntl.h>
#include <link.h>
#include <errno.h>
#include <error.h>
#define E_CANNOT_OPEN_PAGEMAP 1
#define E_CANNOT_READ_PAGEMAP 2
typedef struct __attribute__ ((__packed__)) {
union {
uint64_t pmd;
uint64_t page_frame_number : 55;
struct {
uint64_t swap_type: 5;
uint64_t swap_offset: 50;
uint64_t soft_dirty: 1;
uint64_t exclusive: 1;
uint64_t zero: 4;
uint64_t file_page: 1;
uint64_t swapped: 1;
uint64_t present: 1;
};
};
} pmd_t;
static int print_pagemap_for_phdr(struct dl_phdr_info *info,
size_t size, void *data)
{
struct stat statbuf;
size_t pagesize = sysconf(_SC_PAGESIZE);
char pagemap_path[BUFSIZ];
int pagemap;
uint64_t start_addr, end_addr;
if (!strcmp(info->dlpi_name, "")) {
return 0;
}
stat(info->dlpi_name, &statbuf);
start_addr = info->dlpi_addr;
end_addr = (info->dlpi_addr + statbuf.st_size + pagesize) & ~(pagesize-1);
printf("\n%10p-%10p %s\n\n",
(void *)start_addr,
(void *)end_addr,
info->dlpi_name);
snprintf(pagemap_path, sizeof pagemap_path, "/proc/%d/pagemap", getpid());
if ((pagemap = open(pagemap_path, O_RDONLY)) < 0) {
error(E_CANNOT_OPEN_PAGEMAP, errno,
"cannot open pagemap: %s", pagemap_path);
}
printf("%10s %8s %7s %5s %8s %7s %7s\n",
"", "", "soft-", "", "file /", "", "");
printf("%10s %8s %7s %5s %11s %7s %7s\n",
"address", "pfn", "dirty", "excl.",
"shared anon", "swapped", "present");
for (unsigned long i = start_addr; i < end_addr; i += pagesize) {
pmd_t pmd;
if (pread(pagemap, &pmd.pmd, sizeof pmd.pmd, (i / pagesize) * sizeof pmd) != sizeof pmd) {
error(E_CANNOT_READ_PAGEMAP, errno,
"cannot read pagemap: %s", pagemap_path);
}
if (pmd.pmd != 0) {
printf("0x%10" PRIx64 " %06" PRIx64 " %3d %5d %8d %9d %7d\n", i,
(unsigned long)pmd.page_frame_number,
pmd.soft_dirty,
pmd.exclusive,
pmd.file_page,
pmd.swapped,
pmd.present);
}
}
close(pagemap);
return 0;
}
int main()
{
dl_iterate_phdr(print_pagemap_for_phdr, NULL);
exit(EXIT_SUCCESS);
}
프로그램의 출력은 다음과 유사해야 합니다.
$ sudo ./a.out
0x7f935408d000-0x7f9354256000 /lib/x86_64-linux-gnu/libc.so.6
soft- file /
address pfn dirty excl. shared anon swapped present
0x7f935408d000 424416 1 0 1 0 1
0x7f935408e000 424417 1 0 1 0 1
0x7f935408f000 422878 1 0 1 0 1
0x7f9354090000 422879 1 0 1 0 1
0x7f9354091000 43e879 1 0 1 0 1
0x7f9354092000 43e87a 1 0 1 0 1
0x7f9354093000 424790 1 0 1 0 1
...
어디:
address페이지의 가상 주소입니다pfn페이지 프레임 번호입니다soft-dirty다음과 같은 경우 표현하십시오.부드러운 더티 비트페이지 테이블 항목(PTE)에 설정됩니다.excl.페이지가 독점적으로 매핑되는지 여부를 나타냅니다. 즉, 페이지가 이 프로세스에 대해서만 매핑됩니다.file / shared anon페이지가 파일 페이지인지, 아니면 공유 익명 페이지인지를 나타냅니다.swapped페이지가 현재 교체되었는지 여부를 나타냅니다(present0을 의미).present이 페이지가 현재 프로세스 상주 세트에 존재하는지 여부를 나타냅니다(swapped0이 암시됨).
sudo(참고: Linux 4.0부터 CAP_SYS_ADMIN해당 기능을 가진 사용자만 에서 PFN을 얻을 수 있기 때문에 예제 프로그램을 실행했습니다 /proc/<pid>/pagemap. Linux 4.2부터 사용자에게 PFN이 없으면 PFN 필드가 지워집니다 CAP_SYS_ADMIN. 이번 변경은 다른 메모리 관련 취약점을 악용하는 것을 더 어렵게 만들기 위한 것입니다.망치 공격, PFN에 의해 노출된 가상-물리 매핑 정보를 사용합니다. )
예제 프로그램을 여러 번 실행하면 페이지의 가상 주소가 변경되어야 함을 알 수 있습니다.ASLR), 그러나 다른 프로세스에서 사용되는 공유 라이브러리의 PFN은 변경되지 않은 상태로 유지되어야 합니다.
libmyl.soPFN과 프로그램이 일치하면 공격 코드 자체에서 공격이 실패한 이유를 찾기 시작합니다 . PFN이 일치하지 않으면 추가 비트가 페이지가 공유되도록 설정되지 않은 이유에 대한 단서를 제공할 수 있습니다. 비트victimspypagemap다음을 표시:
present file exclusive state:
0 0 0 non-present
1 1 0 file page mapped somewhere else
1 1 1 file page mapped only here
1 0 0 anonymous non-copy-on-write page (shared with parent/child)
1 0 1 anonymous copy-on-write page (or never forked)
(MAP_FILE | MAP_PRIVATE)이러한 맥락에서 해당 영역의 쓰기 중 복사 페이지는 익명입니다.
보너스:달성하기 위해빈도페이지가 매핑되었으며 PFN을 사용하여 에서 페이지를 찾을 수 있습니다 /proc/kpagecount. 이 파일에는 PFN으로 인덱싱된 각 페이지가 매핑된 횟수에 대한 64비트 카운트가 포함되어 있습니다.