基于动态污点跟踪的敏感文件泄露检测方法.ppt

基于动态污点跟踪的敏感文件泄露 检测方法 李伟明, lwm@hust.edu.cn; 贺玄; 王永剑. 演示流程 研究背景 系统框架 实 现 实验评估 总 结 研究背景 敏感信息泄露严重 2013年12月,土耳其最高选举委员会网站遭俄罗斯黑客攻击,选民数据库中5400万土耳其居民信息被盗； 2014年4月7日,OpenSSL官网公布了Heartbleed(心脏出血)漏洞(CVE-2014-0160),该漏洞允许任何人读取系统的运行内存,可能获得服务器的证书私钥、用户名和密码等敏感信息,许多互联网巨头公司深受其害； 2014年12月25日,乌云-漏洞报告平台发布报告称,大量12306用户数据在互联网上传播售卖,包括用户登录账号、密码、信用卡信息、身份证及电话等敏感信息。 研究背景 敏感信息泄露检测技术主要有静态分析和动态分析两种方式 静态分析：Coverity Scan系统. 利用人工提取的危险特征来识别软件潜在的危险漏洞,这些特征由大量的先验测试产生. 用于离线检测应用程序潜在的漏洞,不能实时监控应用程序的执行程序的状态。 动态分析：主要采用动态污点跟踪技术分析应用程序的潜在漏洞或者可能引起的敏感信息泄露. 可以用于实时的在线检测.也 可以跟踪应用程序的数据流。 本研究借鉴了TaintEraser[1]的文件污点跟踪的思想，是基于pin（动态二进制插装平台）实现，面向程序的数据流，用于网络服务器应用信息泄露的检测方法。 [1] Zhu D, Jung J, Song D, et al. TaintEraser: protecting sensitive data leaks using application-level taint tracking[J]. Acm Sigops Operating Systems Review, 2011, 45(1):142-154. 系统框架 敏感文件指的是信息不能被泄露的文件,例如Linux系统中的passwd文件和shadow文件。其来源一种是由系统用户指定的敏感文件,另一种是写入了敏感数据的文件。 敏感文件检测方法 检测流程图 敏感文件检测方法 污点源标记 污点传播 污点检测 污点源标记 struct TaintedFileEvent{ TAINTED_EVENT_TYPE type; //污点传播类型 int threadID; //线程号 ADDRINT funcAddr; //被插桩函数地址 string funcName; //被插桩函数名 ADDRINT retAddr; //被插桩函数的返回地址 char* buff; //缓冲区 int buffSize; //缓冲区大小 int retValue; //函数返回值 FILE_TYPE fileType; //文件类型 unsigned inode; //文件的i-node number string fileName; //文件名 }; 建立敏感文件的 i-node number集合 离线存储 用户指定 敏感文件检测方法 污点源标记 污点传播 污点检测 污点传播 敏感文件检测方法 污点源标记 污点传播 污点检测 污点检测 containtFileTaint(buffer, len) for i ← 0 to len-1 do mem ← taint_table_hash_lookup(taint_table, buffer+i) △查找地址节点 if mem not null then index ← (buffer +i) % 4 taintList←mem.tainthead[index] △污点集合指针 if taintList not null then △该地址的污点集合不为空 Log(***sensitive file info leak***\n) △记录告警 break 实验评估 Smbd默认配置目录遍历漏洞 Samba是跨平台进行文件共享和打印共享服务的程序.利用其 默认配置存在的目录遍历漏洞.远程用户可以在smbclient端使用一个对称命令,创建一个包含..目录遍历符的对称序列,影响目录遍历以及访问任意文件. 实验结果 攻击主