欺骗防御新方法：rMTD

3423411614c

如果运行的操作系统和应用中存在漏洞，那攻击者大概率会找到一个利用它的方法。唯一确定的解决隐患方式就是从程序库中修复问题。但是，在安全补丁发布前，系统依然有被攻陷的风险。许多人不得不接受这种情况。

不过，事情可能出现了转机：轮换移动目标防御技术(rotational Moving Target Defense, rMTD)。




rMTD是一种让已有的漏洞难以被利用的理念。这个理念可以用多种不同技术实现：可以是静态的，在应用编译的时候植入，又被称为“编译时应用自我防护(Compile Time Application Self Protection, CASP)”;也可以是在运行时动态使用，称为“运行时应用自我防护(Runtime Application Self Protection, RASP)”。CASP和RASP并不互斥，完全可以结合到一起。

CASP通过在编译的时候修改应用产生的汇编代码，从而确保没有任何两个汇编会产生完全相同的汇编指令组。攻击者一般会基于从一个生成的静态编译中获得的已知汇编布局，进行他们的攻击。一旦他们构建了自己的攻击方式，就会针对系统中有同样二进制码的位置进行操作。他们会利用应用或者操作系统的静态编译特性，劫持系统。

如果要类比的话，就像一个小偷获得了你的保险箱的复制品，并有足够的时间来发现如何破解它。唯一的区别是，对于黑客攻击人员而言，他们相比保险箱，会更容易获得软件的复制品，同时相关漏洞已知并且已经被发布。而通过CASP防护，同一个保险箱(也就是应用)会在遮掩(二进制布局)下看上去不一样。

RASP则是在应用运行的时候创建无序状态。二进制布局会在每次应用运行的时候动态变化。攻击者无法再对应用的堆栈布局，或者函数和库的地址做出猜想。类比的话，就是在高速公路上狂奔的同时，车子在切换引擎并重新设置车内组件。

CASP和RASP会通过一系列的技术实现，以下是一些总结：

CASP技术
1. 汇编代码修改
将程序库中原有的汇编指令组替换成一个完全不同，但是逻辑上一致的指令组。ABI(Application Binary Interface，应用二进制接口)是和程序库进行函数调用的接口。对于汇编指令的修改不会影响到ABI。应用和二进制之间的接口保持不变。

攻击者会检查汇编指令组的布局，然后规划攻击。他们的工具能让他们检查编译后的代码以及产生的汇编指令，从而能够去寻找代码漏洞(比如缓冲区溢出、缓冲区反向溢出、整型溢出、双自由调用等)。一旦一个漏洞被发现，攻击者会根据二进制的汇编布局来对修改附近的汇编指令进行攻击。通过修改对攻击者而言未知的汇编代码，就能无效攻击，因为二进制的汇编布局被修改了。

2. 随机化每个程序库中每个函数的起始地址
每个程序库或者模组都会显示应用能调用的函数。默认情况下，每个函数的起始地址在编译的时候都会被固定。

攻击者可以检查编译后的二进制内容，然后轻易得到每个函数的地址，而不需要对源代码进行检查。这个信息之后就会被用于攻击。当堆栈被劫持的时候，攻击代码能够指定攻击者想调用的程序库中的地址，从而打开一个shell。

3. 数据结构防护
二进制中的数据结构记忆布局会在编译的时候随机化，数据字段会实时被动态加密，防止它们被改写或者读取。

数据结构经常会包含缓冲，比如字符串缓冲或者数组缓冲。这些都会成为实现缓冲区溢出攻击的目标。为了能够通过定义在数据结构中的缓冲对堆栈进行劫持，攻击者必须找到在数据结构中缓冲区的位置。通过在编译时随机化数据结构布局，就能让攻击者无法再在数据结构中定位缓冲区的位置。

RASP技术
1. 随机化动态程序库地址
在运行时，程序库的地址会随机化。所有涉及到程序库里的引用都会被更新显示新的地址。这个方式会让攻击者更难在劫持进程的时候，从应用内调用外部程序库。

2. 随机化动态函数地址
程序库中定义的每个函数的地址都在编译的时候给予了一个静态地址。除了随机化程序库的地址外，每个函数的地址也会在执行的状态下，在一个应用调用它的时候发生改变。

3. 动态stack canary
相比于一个容易绕过的固定随机值的静态stack canary，动态的canary可以随着时间动态随机化。通过动态随机化stack canary，攻击者没有足够的时间在它变化前猜对其数值。

4. 影子堆栈
影子堆栈是指在编译中生成的堆栈的复制，但是影子堆栈中至储存返回地址。返回地址在影子堆栈中被加密，这样就不会被攻击者所修改。在应用从堆栈读取返回地址跳转到前一个执行状态前，返回地址会被加密并且会和影子堆栈中的数值进行对比。如果两者匹配，执行就会跳转到返回地址指向的下一个指令;如果两者不匹配，那就可能是被攻击者修改了地址，那就出现了应用故障，造成应用崩溃，然后事件会被记录。

5. PLT
PLT(Procedure Linkage Table，程序链接表)是一个定位其他程序库中函数的搜索表。外部程序库的函数地址在进程执行过程中随机存储在PLT中，而非静态的。

这样就可以防止攻击者从一个已知的程序库里调用函数来生成一个终端。比如攻击者可以通过发现PLT中的strcpy()函数并调用实现攻击;但是如果通过动态改变定义在外部程序库的函数位置，攻击者就无法在通过发现外部函数的地址实现return0to-PLT攻击。

rMTD可能是下一代防范0day攻击的前线能力，能使计算机和系统对攻击者有更强的抵御能力。随着这项技术更加成熟并在行业内得到广泛使用，它可能像防毒软件一样普及。

点评


安全所在的阶段越早，最后的安全效果也就越明显。在应用、系统的代码层面就嵌入安全能力，可以让安全防线进一步前置，从而拓宽防御的纵深，使得攻击者的攻击难度增大。这两年，国内的RASP产品在逐渐发展，因为RASP产品更多适用于应用在运行时的防护，是传统的网站应用防护中的新武器;而CASP则更多需要在开发早期就投入使用，无论是市场的信任度，还是技术的稳定性都还需要一定时间来提升。但是，rMTD确实是未来开发安全值得重视的方向。