给我1K内存VS难以打破的安全系统.pdf

给我1K内存VS难以打破的安全系统 宫华 36W白帽大佬，斗象科技高级安全分析师 我们所说的难以打破的安全系统 受保护的计算机系统 启用磁盘加密的手机 不开源的硬件系统 其它商业软件与封闭系统 难以打破的安全系统 内存攻击法 （传统） • 栈溢出 • 堆溢出 • 整数溢出 • 格式化字符串 • 双重释放 • 释放重引用 • 数组访问越界 • 内核相关 • 类型混淆 • 沙盒逃逸 • 等 二进制漏洞 ！ • 思考 如果我们能够获得 目标系统的1K内存 ，我们可以做什么？ 获取敏感数据 ！ 修改磁盘内存映射文件 ！ 获取系统root权限 ！ 进行病毒样本分析 ！ 内存取证分析 ！ 内存操作的危害 • Do everything you want! 获取内存数据的方法 • 二进制漏洞 （版本不通用） • CPU硬件漏洞TotalMeltdown （难得一见） • 操作系统后 门 （略） • 冷启动攻击 （操作难道较大） • 虚拟化 （通用） • 操作系统/进程转储文件 （常见） • DMA （较通用） • JTAG （较通用） 冷启动攻击 冷启动攻击 • 攻击者有物理访问 • 冷启动攻击是一种新型的旁路攻击(sidechanelatack) 。 • 利用冷启动攻击，攻击者可以对其进行物理访问的正在运行的 计算机执行冷启动操作 以绕 过其软硬件防护机制，获取正在运 行的计算机的内存快照，并进一步从快照中提取 出密钥 等敏感 信息。 • 冷启动攻击Cold-Boot Attack  内存条上的数据信息，断电之后仍然存在  数分钟~数小时 [低温] • Lest We Remember: Cold Boot Attacks on Encryption Keys • USENIX Security 2008 • 攻击者直接取下内存条，读取数据 • 在手机上，攻击同样存在 • FROST: Forensic Recovery of Scrambled Telephones, ACNS 2013 冷启动攻击 虚拟化攻击 虚拟化内存获取与修改 • 环境 • Windows 7 x64 • Vmware Fusion （专业版 11.5.0 • 010Editor (v9.0.2) • 同样方法适用于其它常见虚拟化平台 虚拟化内存获取与修改 虚拟机挂起 内存查看 内存修改 重新打开磁盘文件 虚拟机恢复运行 虚拟化内存获取与修改 磁盘文件不变 重启后失效 虚拟化内存获取与修改 Java程序敏感数据泄漏 虚拟化内存获取与修改 VeraCrypt分析 ：没有明文ascii密码 虚拟