一种多通道件加载漏洞检测方法.docxVIP

一种多通道件加载漏洞检测方法 dll（组件）是一组包含公共代码和数据的函数。其他程序使用组件所需的接口调用所需的函数。在Windows操作系统中,除核心模块外,应用程序可调用相对独立的组件模块,不仅便于程序功能的扩展、更新、排错,而且能实现代码重用以及功能模块的按需加载,减少物理内存的占用量。因此,应用程序自身往往带有许多特定的DLL组件,自身没有组件的应用程序也会加载操作系统预设的系统组件。一旦应用程序需要加载一个DLL组件,操作系统必须知道该组件所在的存储位置。Windows提供了2种方式说明待加载DLL组件的位置: 组件完整路径(带文件名的绝对路径)和组件文件名(相对路径)。前者按照指定路径寻找该加载的DLL, 而后者没有指定该DLL所在位置。为此,操作系统提供了预设的搜索目录列表,按序逐一搜索给定的DLL文件名,一旦搜索成功就加载该位置的DLL。如果攻击者把伪造的DLL放入该位置前的任意目录(位于搜索目录列表)中,则产生DLL劫持攻击。 Windows开启了安全搜索模式(standard search order, SSO)和备用搜索模式(LOAD_WITH_ALTERED_SEARCH_PATH), 以减少被劫持的概率,微软和应用软件厂商也通过补丁技术给DLL添加完整路径。同时,编程人员杜绝使用相对路径的组件加载也可以减少被劫持的概率。但是,组件劫持漏洞不断被发现,如MS11-071、 MS11-076、 MS11-085、 MS12-012、 MS12-014等。除操作系统本身存在DLL劫持漏洞外,第三方应用软件自身携带的DLL同样存在该漏洞,如AutoCAD 2007、 Google Earth、 Winamp、 Skype等。这种漏洞从本地利用延伸到可以远程利用,如MS12-014。同时,利用该漏洞的劫持攻击能够绕过现有对堆栈保护的安全机制,如DEP, StackGuard以及地址随机化等,其威胁程度日趋严重。而且操作系统软件和应用软件还存在许多未知DLL加载漏洞,挖掘这些漏洞可以达到防范于未然,提早预备防护措施。利用可信计算平台作为可信计算基,可以完成实体信任的传递和组件完整性验证。虚拟化技术也为二进制代码的完整性验证提供了支持,可以检测出隐秘的组件。Dymo提供了内存代码的度量,防止外部代码在合法代码中的执行。如果伪造的DLL是未知的组件,该技术可以阻止该组件的加载。但未知组件的信任识别依然是一个难题。因此,研究DLL组件动态加载漏洞的检测具有重要的实际应用价值。 Kwon等提出了程序动态分析和程序静态分析挖掘DLL加载漏洞的方法。动态分析采用Pin的动态代码插桩技术(dynamic binary instrument, DBI)截获9个函数获取程序的加载信息,然后离线检测漏洞。该方法属于动态程序分析,在用户态截获的函数较多,导致性能开销过高,同时受限于程序执行的单一行为迹。静态分析采用IDA和逆向切片技术分析可能存在的程序漏洞,检出的漏洞数明显高于动态分析。该方法解决了动态分析代码覆盖不足的问题,检测结果更准确,但参数解析失败、反汇编失败等因素会产生漏报。DLLHijackAuditKit提供了利用ProcMon工具动态检测组件加载漏洞的工具集,需要手工操作。程序分析方法的分析时间比较长,难以在主机系统在线部署和动态检测。同时,一旦主机系统的程序更新,需要对更新后的代码进行分析,才能检测新的漏洞。 根据动态链接库加载时的路径搜索行为,本文提出一种在线检测动态链接库加载漏洞的方法,以实现离线检测DLL劫持攻击,从而缓解程序分析方法中的单一行为迹问题。同时,结合组件加载的上下文,该方法实现监测点的最小化,以减少对系统干扰,缓解系统部署难的问题。 1 对该组件的攻击进行检测 DLL加载分为隐式加载和显式加载。应用程序在初始化阶段,会根据导入表(IAT)加载所需的DLL以及这些DLL导入的其他DLL, 这属于隐式加载。显式加载是指应用程序内部代码显式调用LoadLibrary或LoadLibraryEx加载一个指定的DLL。隐式加载时, DLL一般都通过文件名来搜索并加载; 显式加载时,既可以指定DLL的完整路径,也可以只指定DLL文件名来加载。然而,不管是隐式加载还是显式加载,其实质都是调用LoadLibrary实现, LoadLibraryEx在LoadLibrary内部被调用。 通过逆向分析LoadLibrary函数,发现其DLL加载过程可以分为3个阶段: 搜索、映射和初始化。LoadLibrary根据传入的DLL完整路径或DLL文件名来搜索待加载DLL, 将其映射到进程的内存空间,再调用DLL入口函数完成对DLL初始化。 操作系统根据传入的DLL文件名或文件完整路径来查找DLL的物理位置,从而获得DLL