大数据环境下来自安全软件的鼎力相助汇编.pptx

沙箱逃逸： 来自安全软件的鼎力相助 安全软件指的是…… ? 名字里带“安全”字样的 ? Internet Security ? Total Security ? Maximum Security ? … ? 有显著安全影响的软件 在AV-Test列出的杀毒软件里… 55% 有漏洞 数据来自 2015 年 12 月 Home User Product Test 中列出的产品 Windows 上的沙箱 ? 早期原型可能来自 HIPS 软件 ? 例如 System Safety Monitor（还有人记得么？） ? 两大流派 ? 基于内核钩子，例如 Sandboxie ? 应用层沙箱，依赖于系统访问控制 Windows 上的应用层沙箱 ? 最早见于 Internet Explorer 7 保护模式 ? David LeBlanc 在 Practical Windows Sandboxing 中 进行了详细介绍 ? 后来被 Google Chrome 使用 ? 现在在 Microsoft Office, Adobe Reader 等软件中 大量使用 沙箱相关的 API 支持 Windows NT ?Token Windows 2000 ?Job Object Windows XP ?Restricted Token ?SAFER Windows Vista ?Integrity Level Windows 8 ?AppContainer ?Process Mitigation Options Windows 10 ?Silo 一个常见的应用层沙箱实现 ? Restricted Token ? 限制对安全对象的访问 ? Job Object ? 限制进程数，Win32k 相关的功能 ? 独立的桌面、窗口站 ? 限制窗口消息、窗口钩子、键盘钩子 ? Low Integrity Level ? 又一层对安全对象的访问限制 ? 给新创建的对象加上标签 ? AppContainer ? 限制对象名称空间 ? 限制网络访问 各种作死姿势 花样作死 “我们需要聊聊”式作死 ? 高权限组件和低权限组件 ? 它们需要交流信息 ? 但却不知道正确的方式 ? 作死 BitDefender Total Security ? 几乎所有内核对象都设置了 ALL APPLICATION PACKAGES ACE ? 命名管道 \\.\pipe\VSSERV 没有任何安全措施 struct message { int unknown[3]; int control_code; int total_length; int unknown[2]; int path_length; char path[1]; } ? 发送控制码 0x17a5 即可以当前用户身份启动任意进程 ? CVE-2015-8693 ? BitDefender 送给我们一年的激活码（多谢！） Comodo Internet Security ? \Comodo\GeekBuddy\launcher.exe ? launcher.exe 路径 参数 ? 高权限 launcher_service 的 RPC 客户端 ? 有数字签名验证 ? 一个程序即可绕过 ? \Comodo\GeekBuddy\unit.exe ? 从命令行路径加载 DLL ? CVE-2015-8690 Total Defense Internet Security ? 本地 COM 服务器 ccprovsp.exe ? 可通过 CoCreateInstance {AACF4A1C- BC69-4359-9518-DF3F77E462BF} 启动 ? IID {5CF74415-61B8-4EF3-95E0- 23576BEB31FC} ? 控制码 0B7C2CB3-E910-4672-9BDF- 7E636333DC47 ? 传入控制码和文件路径即可以 SYSTEM 用户身份 启动任意进程 ? CVE-2015-8695 “这个我也会”式作死 ? 绕过系统默认的安全机制 ? 自己实现各种安全检查 ? 作死 Internet Explorer “权限提升策略” ? 控制 EPM 沙箱的权限提升 ? {HKLM,HKCU}\SOFTWARE\Microsoft\Inte rnet Explorer\Low Rights\ElevationPolicy ? {GUID} ? AppName ? AppPath ? Policy ? 0 – 禁用 ? 1 – 低 ? 2 – 中，带提示 ? 3 – 中，静默 Avas