Güvenlik açıklarını nükleer silahlardan daha korkunç bulabilen otomatik bir madencilik aracı inşa ettiler.
Yıllar önce, iki atom bombası patladı ve korkunç bir mantar bulutunun içindeki nükleer silahların gücüne hayran kaldılar.
Düşmanın görülemediği gizemli siber dünyada nükleer silaha benzer bir silah var.
Birkaç ay önce, ABD Ulusal Güvenlik Ajansı'nın askeri cephaneliğinden "Ebedi Mavi" sızdırılmış, güçlü silah bir grup hırsızın eline düşmüş ve kaba gasp olarak kullanılmıştır. Ama o zaman, belki de tüm dünyadaki insanlar bu silahın korkunç doğasını bir kez daha derinden anladılar.
Bu bir kaçamak silahıdır.
Çevrimiçi dünyadaki karanlık güçler boşlukları tespit ettiler ve güvenlik görevlileri de boşlukların değerini gördü. Ancak, güvenlik araştırmacılarının gözünde, önce boşluğu bulmak ve doldurmak bir zaferdir.
Ancak, web sitesine girmeye başlamaktan güvenlik açıklarını keşfetmeye ve ardından bunları satıcılara sunmaya kadar tüm süreç, güvenlik araştırmacılarının çok fazla zamanını ve enerjisini tüketecek ve hatta testi tekrarlamak için birkaç gün ve gece bilgisayar başında beklemek zorunda kalacak. Dahası, güvenlik açığı madenciliği teknolojisi yüksek ve düşük seviyelere, yeteneğe, zamana, deneyime sahiptir ... hepsi seviyelerdir.
Son zamanlarda, biri Leifeng.com editörlerine, programın yürütülmesi sırasında tetiklenen güvenlik açıklarını yakalayabilen bir Windows güvenlik açığı otomatik madencilik sistemi olan Digtool'u geliştirdiklerini söyledi.
Huh? Windows sisteminin güvenlik açığı madenciliği için, Microsoft kaynak kodunu sağlamadığından, manuel madencilik tersine analiz gerektirir. Bu güvenlik açığı aracı nasıl uygulanır? Google project zero'nun da benzer araçlar geliştirdiğini duydum, aksine ne kadar etkili?
Bu aracın geliştiricilerinden biri ve 360 Ice Blade Lab'ın başkanı Pan Jianfeng, Leifeng.com ile yaptığı röportajı kabul etti.
"Gold Digger" Digtool "Statikli Fren"
Bingblade Lab tarafından sağlanan bilgilerde, Digtool'un iş akışının altın için kum kazmaya benzediğinden bahsediliyor: İlk olarak, Digtool, kum kazma sürecinin ilk adımını gerçekleştiren bellek erişimi gibi davranış günlüklerini kaydedebilir; dahası, Digtoolun Analiz modülü analiz yapacaktır.Altı ana güvenlik açığı davranış özelliği karşılandığında, bir "altına hücum" gerçekleşir, bu da bir güvenlik açığının bulunduğu anlamına gelir.
Gerçekte, Digtool bir robot değildir ve bir sipariş verdikten sonra, otomatik olarak özenle "altın kaydırmaya" başlayacaktır.
En azından önce başlatmanız gerekiyor.
"Sessizlikle Frenle" adında bir strateji vardı, genellikle bunu söyleriz: Zorlanmış gibi davranmanı izleyeceğim ve sonra tüm gerçek netleşecek.
Digtool, yalnızca sistem dinamik görev yürütme sürecindeyken tüm şüpheli kusurları tespit eden hassas bir av köpeği gibi olacaktır.
Daha önce açıklanan Digtool iş akışı aslında iki adıma bölünmüştür.
İlk kısım, yol algılama modülünü ifade eder. Program çalıştığında çok sayıda yol oluşturulduğundan, bazı yollar normaldir ve yalnızca bazı yollar yanlış olacaktır. Bu yolu tespit edemezseniz, bu boşluğu hiç bulamazsınız çünkü diğer yolların sonuçları normaldir.
Digtool'un bu süreçteki en büyük etkisi, mümkün olduğunca çok yolu yönlendirmektir.
Hayatın gerçek anlamını ancak binlerce kitap okuyarak, binlerce kilometre seyahat ederek ve "on bin" yol arayarak elde edebiliriz. Digtool, A noktasından B noktasına olası yolu denemeye devam ediyor, tıpkı kayayı dağın tepesine kadar iten kişinin, kayanın düşmesi ve ardından dağın tepesine çıkması gibi. Sadece olağan yolu kullanmıyorum.
Boşluklar kendi içlerinde nadir olduğu için, 10.000 yol içinde başarıya ulaşmanın bir yolunu bulmak çok mümkün, oh hayır, bu bir boşluk.
Bu anlamda Digtool, yaşam felsefesini (kırılganlıkları) derinden anlar.
İkincisi, hata yakalama: Bu özel yolda koşmak başarının yarısıdır ve hatayı yakalamak başarının diğer yarısıdır.
Pan Jianfeng, yazılım açıklarının güvenlikle ilgili hatalar veya programların kusurları olduğuna dikkat çekti.Zafiyete açık programların, UAF ile programlar yürütüldüğünde serbest bırakılan belleğe erişme davranışı gibi dinamik çalışma sırasında çeşitli anormal davranışlar üreteceğini; Çekirdeğin bilgi ifşa güvenlik açığının çekirdek programı bölümü, uygulama katmanının bilmemesi gereken adresleri uygulama katmanı adres alanına yazma davranışına neden olur. Digtool, arkasındaki güvenlik açıklarını keşfetmek için bu anormal davranışları yakalayabilir.
Bu noktada, Digtool'un bir boşluk kazmada başarılı olduğu düşünülmektedir.
Beyaz şapkalar geçici olarak işsiz kalmayacak
Digtool şu anda altı tür güvenlik açığını araştırmakta iyidir ve Windows sistemlerini hedeflemektedir.
İlk kategori, OOB sınır dışı erişim güvenlik açığıdır.
İkinci kategori, UAF yayımlandıktan sonra güvenlik açıklarının kullanılmasıdır.
Üçüncü kategori olan TOCTTOU, kullanım süresi kontrolü güvenlik açığıdır, Bu, kullanıcının güvenilmeyen parametrelerinin kullanıcı tarafından kontrol edilme ve sistem tarafından kullanılma (çekirdek gibi) arasında değiştirilebildiği güvenlik açığıyla ilgilidir. Aynı zamanda bir yarış durumu türüdür, ancak Çift Yakalama algılama yöntemi ile verimli bir şekilde tespit edilebilir, bu nedenle yalnızca listelenir.
Örnek olarak bir program alın, kullanıcı seviyesinde bir bellek A gelir ve sistem içerideki bir işaretçiye erişir ve onu okur.Gerçekten de yasal bir göstericidir.Bu işaretçiye daha sonra kullanılacağı zaman, doğrudan kullanıcıdan erişilir. Kontrol edin, sonra çıkarın ve daha sonra kullanın Bu süreçte, diğer kullanıcılar işaretçiyi değiştirebilir ve bir boşluk oluşacaktır.
Pan Jianfeng, "Geçmişte, Windows benzer güvenlik açıklarına sahipti. Project Zero'daki araştırmacılar, Microsoft'a bu tür düzinelerce güvenlik açığı bildirdi." Dedi.
Dördüncü kategoride parametreler kontrol edilmez.
Beşinci kategori bilgi sızıntısıdır. Çeşitli işletim sistemi platformlarının güvenlik açığı azaltma mekanizmalarının güçlendirilmesiyle, güvenlik açıklarının başarılı bir şekilde kullanılması giderek artan bir şekilde temel bilgilerin açıklanmasına bağlıdır. Örneğin, çekirdek bilgisi sızıntıları için, daha önce en son Win10'da mevcut olan neredeyse tüm bilgi sızıntıları engellendi ve eksik balıkların bir kısmının yakında onarılması bekleniyor. Bu nedenle, başlangıçta önemsiz görünen bu türden boşluklar giderek daha önemli hale geliyor.
Altıncı kategori, yarış durumu güvenlik açıkları, burada paylaşılan belleğe çok iş parçacıklı erişim anlamına gelir ve nihai sonuç, iş parçacığının tam zamanlamasının neden olduğu hataya bağlıdır.
Ancak, bu altı tür güvenlik açığı için Digtool ayrıca "yanlış alarmlar" da bildirecektir.
Pan Jianfeng şöyle açıkladı: "Örneğin, OOB veya UAF, rapor edildiği sürece bir güvenlik açığıdır. Yanlış pozitif oranı 0'dır. TOCTTOU ve parametre hatası için birçok yanlış pozitif vardır. Bu nedenle, bu türün manuel olarak taranması gerekir. Farklı güvenlik açıkları türleri vardır. Farklı yanlış alarm oranları. "
Digtool, çok yönlü "insansı savunmasızlık madenciliği makinesi" nden hala oldukça uzak ve beyaz şapka kazma güvenlik açığı "işsizlik" konusunda endişelenmek zorunda değil.
Örneğin, Digtool geçici olarak mantıksal güvenlik açıklarıyla başa çıkamaz. Program mantığı, programcının kendi düşüncesi ve tasarımıdır. Ek bilgi yoksa program, mantığınızın A mı yoksa B mi olduğunu bilmez Size göre B'nin yanlış olması mümkündür, ancak program bunu bilmiyor ve düşünebilir Sadece B yazmak istiyorsun.
Leifeng.com, Digtool'un bu tür mantıksal güvenlik açıklarını bulamayacağının söylenemeyeceğini öğrendi. Programın, programcının düşünme mantığını doğrudan anlaması zordur (düşünme mantığı doğrudan hata algılama aracına yazılmadıkça, ki bu tamamen nadirdir), Ancak, beklenmedik mantık oluştuğunda yan etkiler yoluyla yine de keşfedilebilir.Örneğin, yanlış mantık programın geçersiz belleğe erişmesine neden olursa, araç geçersiz belleğe erişim hatasını yakalayabilir ve gerçek mantık hatasının yerini manuel olarak tersine çevirebilir.
Bu, Digtool'un mantıksal boşluklar açan büyük tanrıyı bir dereceye kadar geçici olarak öldüremeyeceği anlamına gelir, ancak çukur kazan büyük tanrının yakın bir yardımcısı olabilir.
[Yakın asistan, resimde gösterilen kişi değil, beni yanlış anlamayın]
Kesin olarak, belirli koşullar altında Digtool, eğitimi olmayan veya basit eğitimi olmayan kişilerin, sıkı eğitim almış olanlara göre daha özel güvenlik açığı türlerini kısa sürede kazabileceklerini umuyor Pan Jianfeng, bunun aynı zamanda otomatik madenciliğin anlamı olduğuna inanıyor. .
"Bir oyun çalıştırın, bir düzine boşluk kazılır" mı?
Leifeng.com şu anda Digtool'a benzer araçların Project Zero tarafından üretilen bochspwn'ı içerdiğini öğrendi.
bochspwn iki tür güvenlik açığı algılayabilir, biri bilgi sızıntısı, diğeri TOCTTOU, ancak bochspwn çok yavaş çalışır ve yorumlayıcı bir simülatördür.
Bochspwn ile karşılaştırıldığında, Digtool yalnızca ilgilenilmesi gereken iş parçacıkları veya sistem çağrılarında algılamayı etkinleştirebilir ve algılanmazsa sistemin çalışmasını pek etkilemez.Elbette, algılama gerçek sistemden çok daha yavaş olacaktır, ancak yine de bochspwn'dan çok daha hızlıdır. .
"Bir oyunu çalıştırırken, bir düzine boşluk kazıldı" - 360 tarafından sağlanan arka plan bilgilerinde, şöyle yazılmıştır.
Ancak Pan Jianfeng, Bu, oyunun ilk kez çalıştırıldığı yürütme yoludur. Yakalanan çekirdek bilgisi sızıntısı güvenlik açığı. İkinci çalıştırma doğal olarak o kadar iyi bir etkiye sahip olmayacaktır, çünkü yolların çoğu zaten çalıştırılmıştır ve yalnızca yeni bir yol keşfedilmiştir. Yeni güvenlik açıklarını yakalamak mümkündür; ayrıca, farklı türdeki güvenlik açıklarının var olma olasılığı büyük ölçüde değişir.
Digtool daha sonra, güvenlik açığı madenciliği oranını optimize etmeyi ve güvenlik açığı madenciliği türlerini genişletmeyi hedefleyecek ve diğer sistemlerin madenciliğinin işlevselliğini artıracağı göz ardı edilmemiştir.
Not: Ice Blade Lab "Digtool: Çekirdek Güvenlik Açıklarını Algılamak İçin Sanallaştırma Tabanlı Çerçeve" araştırma sonucu USENIX Security tarafından dahil edilmiştir.
