浅析缓冲区溢出漏洞的研究与发展
作者:景娟娟张建利闫小瑞
来源:《电子世界》2013年第14期
【摘要】缓冲区溢出(buffer overflow)是一种非常普遍、非常危险的漏洞,在各个操作系统、应用软件中广泛的存在。目前,缓冲区溢出漏洞已经成为一个针对软件的严重安全威胁。在溢出后攻击者通常可以获取到目标主机的最高权限,从而对目标主机发起各种各样的攻击。本文主要分析了缓冲区溢出漏洞的概念、原理,从几个方面分析和研究了目前常见的集中针对缓冲区溢出漏洞的检测的方法。最后对缓冲区溢出的未来研究热点进行阐述。
【关键词】缓冲区溢出;堆栈溢出;边界检查;异常分析
1.引言
缓冲区溢出漏洞在近些年来已经成为影响系统安全的最常见的漏洞之一,根据微软公司2010年发布的106项危险漏洞,有2/3以上的危险漏洞与缓冲区溢出漏洞有关。在目前已经确认的软件漏洞中,缓冲区溢出漏洞约占到20%[1]。在ICAT 2003-9-12号公布的10大漏洞排名中居于榜首的仍然是缓冲区溢出漏洞;从CERT公布的截止2005年为止的统计数据中可以看书,缓冲区溢出攻击的问题正在扩大化。
一次成功的缓冲区溢出攻击可以篡改控制流相关的数据,如返回地址值、调用函数的EBP、函数指针和GOT表等,以此改变进程的控制流,从而使系统执行攻击者所提供的恶意代码,造成严重的安全危机。因此,对于缓冲区溢出攻击的及时检测与防御具有较强的现实意义。
2.缓冲区溢出攻击的原理
缓冲区溢出攻击是指攻击者利用程序中存在的漏洞,向缓冲区中存入超过设计时定义的数据量,从而覆盖缓冲区相邻存储单元中的数据,使得程序在执行跳转执行攻击者所指定的代码。缓冲区溢出攻击需要由三部分组成:
(1)代码植入:将攻击代码(shellcode)植入到目标程序中。
(2)溢出攻击:通过输入特殊的字符串作为参数来达到缓冲区溢出,而且溢出后的返回地址指向攻击代码的起始地址。
(3)系统劫持:通过运行攻击代码劫持并且控制系统。
总的来说,缓冲区溢出攻击可以分为两种模式:一是通过对缓冲区的溢出直接篡改EBP 和EIP等关键数据;二是通过缓冲区的溢出修改指针变量等,间接篡改EBP和EIP等关键数据。下面介绍几种典型的缓冲区溢出攻击的案例。
2.1 篡改函数的返回地址
篡改函数返回地址的原理是攻击者利用程序漏洞在缓冲区加入恶意代码,使得缓冲区溢出并且篡改高地址的函数返回地址,使其指向缓冲区中加入的任意代码起始地址,从而使得程序执行完并返回时定位到恶意代码中并执行。
2.2 篡改调用函数的EBP值
篡改调用函数的EBP值指的是攻击者通过在栈中伪造调用函数的EBP及返回地址的栈帧,修改调用函数的EBP使其指向缓冲区中伪造的栈帧。当函数正常返回时,首先弹出EBP,再将其值赋予栈指针ESP,使得ESP指向EBP处,然后弹起函数的返回地址值。当程序受到攻击时,EBP被篡改,ESP将指向缓冲区中伪造的栈帧,弹出的函数返回地址将是伪造的栈帧中的数据,即攻击者设定的地址。最终达到重定位控制的意图,执行攻击所制定的代码。
2.3 通过指针间接篡改函数的返回地址
若攻击者不能直接篡改函数的返回地址和EBP,那么可以利用此种攻击模式来篡改栈中的内容。这种攻击模式需要满足下面三个条件:(1)在栈帧中,调用函数的EBP与可溢出的缓冲区之间存在指针变量。(2)函数中有对指针变量赋值的语句。(3)存在可以覆盖指针的操作,例如strcpy()。
3.缓冲区溢出攻击的检测
目前针对缓冲区溢出攻击的检测方面,国内外已经有了相对丰富的研究内容。国外的研究主要从防御的角度进行,国内主要针对缓冲区溢出的检测作为突破口进行研究。总的来说,收集了国内外的相关研究内容,对缓冲区溢出的检测研究工作可以分为以下几个大类:
3.1 基于目标代码的检测分析
基于目标代码的分析主要是通过一系列的工具进行的。这种检测方法主要是通过反汇编工具对目标代码进行反汇编,然后通过文章[2]所介绍的Fuzz工具对目标代码进行黑盒分析。但是此类工具无法给出准确的执行时间,往往会使得执行时间过长而造成效率的低下。并且此方法并没有进一步的后续研究。
3.2 基于源代码的检测分析