論文の概要: Beyond Control: Exploring Novel File System Objects for Data-Only Attacks on Linux Systems

• arxiv url: http://arxiv.org/abs/2401.17618v1
• Date: Wed, 31 Jan 2024 06:16:00 GMT
• ステータス: 処理完了
• システム内更新日: 2024-03-25 12:08:11.100368
• Title: Beyond Control: Exploring Novel File System Objects for Data-Only Attacks on Linux Systems
• Title（参考訳）: Beyond Control: Linuxシステムにおけるデータオンリーアタックのための新しいファイルシステムオブジェクトの探索
• Authors: Jinmeng Zhou, Jiayi Hu, Ziyue Pan, Jiaxun Zhu, Guoren Li, Wenbo Shen, Yulei Sui, Zhiyun Qian,
• Abstract要約: 我々はLinuxカーネルのファイルサブシステム内で、悪用可能な非制御データを半自動で検出し、評価する。 我々は18の現実世界のCVEを用いて、様々なエクスプロイト戦略を用いてファイルシステムオブジェクトのエクスプロイラビリティを評価する。 我々はカーネルに対してCVEのサブセットを使用して10のエンドツーエンドエクスプロイトを開発する。
• 参考スコア（独自算出の注目度）: 20.876645622061393
• License: http://arxiv.org/licenses/nonexclusive-distrib/1.0/
• Abstract: The widespread deployment of control-flow integrity has propelled non-control data attacks into the mainstream. In the domain of OS kernel exploits, by corrupting critical non-control data, local attackers can directly gain root access or privilege escalation without hijacking the control flow. As a result, OS kernels have been restricting the availability of such non-control data. This forces attackers to continue to search for more exploitable non-control data in OS kernels. However, discovering unknown non-control data can be daunting because they are often tied heavily to semantics and lack universal patterns. We make two contributions in this paper: (1) discover critical non-control objects in the file subsystem and (2) analyze their exploitability. This work represents the first study, with minimal domain knowledge, to semi-automatically discover and evaluate exploitable non-control data within the file subsystem of the Linux kernel. Our solution utilizes a custom analysis and testing framework that statically and dynamically identifies promising candidate objects. Furthermore, we categorize these discovered objects into types that are suitable for various exploit strategies, including a novel strategy necessary to overcome the defense that isolates many of these objects. These objects have the advantage of being exploitable without requiring KASLR, thus making the exploits simpler and more reliable. We use 18 real-world CVEs to evaluate the exploitability of the file system objects using various exploit strategies. We develop 10 end-to-end exploits using a subset of CVEs against the kernel with all state-of-the-art mitigations enabled.
• Abstract（参考訳）: 制御フローの整合性の広範な展開は、制御不能なデータ攻撃を主流に押し込んだ。 OSカーネルのドメインでは、重要な非制御データを破損させることで、ローカルアタッカーは制御フローをハイジャックすることなく、直接ルートアクセスまたは特権エスカレーションを得ることができる。 結果として、OSカーネルはそのような非制御データの利用を制限してきた。 これにより、攻撃者はOSカーネル内でより悪用可能な非制御データを探し続けることを余儀なくされる。 しかし、未知の非制御データの発見は、しばしば意味論に強く結びついており、普遍的なパターンが欠如しているため、非常に困難である。 本稿では,(1)ファイルサブシステムにおける重要な非制御オブジェクトの発見と,(2)攻撃性の分析を行う。 この研究は、最小限のドメイン知識を持つ最初の研究であり、Linuxカーネルのファイルサブシステム内で、利用可能な非制御データを半自動で発見し、評価する。 我々のソリューションは、将来有望な候補オブジェクトを静的かつ動的に識別するカスタム分析およびテストフレームワークを利用する。 さらに,これらの発見対象を,これらの対象の多くを隔離する防衛を克服するために必要な新しい戦略を含む,様々な攻撃戦略に適したタイプに分類する。 これらのオブジェクトは KASLR を必要とせずに利用することができるという利点があるため、エクスプロイトはよりシンプルで信頼性が高い。 我々は18の現実世界のCVEを用いて、様々なエクスプロイト戦略を用いてファイルシステムオブジェクトのエクスプロイラビリティを評価する。 我々はカーネルに対してCVEのサブセットを使用して10のエンドツーエンドエクスプロイトを開発する。

関連論文リスト

• The Reversing Machine: Reconstructing Memory Assumptions [2.66610643553864]
  悪意のあるカーネルレベルのドライバは、OSレベルのアンチウイルスメカニズムを簡単にバイパスすることができる。 textitThe Reversing Machine (TRM) は,リバースエンジニアリングのための新しいハイパーバイザベースのメモリイントロスペクション設計である。 我々は、TRMがそれぞれの脅威を検知できることを示し、24の最先端のAVソリューションのうち、最も高度な脅威を検出できるのはTRMのみであることを示した。
  論文  参考訳（メタデータ） (2024-05-01T03:48:22Z)
• Securing Monolithic Kernels using Compartmentalization [0.9236074230806581]
  カーネルの非必須部分の単一欠陥により、オペレーティングシステム全体が攻撃者の制御下に入る可能性がある。 カーネル硬化技術は特定のタイプの脆弱性を防ぐかもしれないが、根本的な弱点に対処することができない。 我々は,コミュニティが今後の作業と比較し,議論することのできる分類法を提案する。
  論文  参考訳（メタデータ） (2024-04-12T04:55:13Z)
• GuardFS: a File System for Integrated Detection and Mitigation of Linux-based Ransomware [8.576433180938004]
  GuardFSは、ランサムウェアの検出と緩和を統合するファイルシステムベースのアプローチである。 bespokeオーバーレイファイルシステムを使用して、ファイルにアクセスする前にデータを抽出する。 このデータに基づいてトレーニングされたモデルは、ファイルシステムへのアクセスを難なくし、遅延し、追跡する3つの新しい防御構成によって使用される。
  論文  参考訳（メタデータ） (2024-01-31T15:33:29Z)
• OutCenTR: A novel semi-supervised framework for predicting exploits of vulnerabilities in high-dimensional datasets [0.0]
  私たちは、悪用される可能性のある脆弱性を予測するために、外れ値検出技術を使用しています。 本稿では,ベースライン外乱検出モデルを強化する次元削減手法であるOutCenTRを提案する。 実験の結果,F1スコアの5倍の精度向上が得られた。
  論文  参考訳（メタデータ） (2023-04-03T00:34:41Z)
• DRSM: De-Randomized Smoothing on Malware Classifier Providing Certified Robustness [58.23214712926585]
  我々は,マルウェア検出領域の非ランダム化スムース化技術を再設計し,DRSM(De-Randomized Smoothed MalConv)を開発した。 具体的には,実行可能ファイルの局所構造を最大に保ちながら,逆数バイトの影響を確実に抑制するウィンドウアブレーション方式を提案する。 私たちは、マルウェア実行ファイルの静的検出という領域で、認証された堅牢性を提供する最初の人です。
  論文  参考訳（メタデータ） (2023-03-20T17:25:22Z)
• Few-Shot Backdoor Attacks on Visual Object Tracking [80.13936562708426]
  視覚オブジェクト追跡(VOT)は、自律運転やインテリジェント監視システムなど、ミッションクリティカルなアプリケーションで広く採用されている。 学習過程の調整により,隠れたバックドアをVOTモデルに容易に埋め込むことができることを示す。 我々の攻撃は潜在的な防御に耐性があることを示し、潜在的なバックドア攻撃に対するVOTモデルの脆弱性を強調します。
  論文  参考訳（メタデータ） (2022-01-31T12:38:58Z)
• VELVET: a noVel Ensemble Learning approach to automatically locate VulnErable sTatements [62.93814803258067]
  本稿では,ソースコード中の脆弱な文を見つけるための新しいアンサンブル学習手法であるVELVETを提案する。 我々のモデルは、グラフベースとシーケンスベースニューラルネットワークを組み合わせて、プログラムグラフの局所的およびグローバル的コンテキストを捕捉する。 VELVETは、合成データと実世界のデータに対して、それぞれ99.6%と43.6%の精度を達成している。
  論文  参考訳（メタデータ） (2021-12-20T22:45:27Z)
• No Need to Know Physics: Resilience of Process-based Model-free Anomaly Detection for Industrial Control Systems [95.54151664013011]
  本稿では,システムの物理的特性に反する逆スプーフ信号を生成するための新しい枠組みを提案する。 トップセキュリティカンファレンスで公表された4つの異常検知器を分析した。
  論文  参考訳（メタデータ） (2020-12-07T11:02:44Z)
• Dos and Don'ts of Machine Learning in Computer Security [74.1816306998445]
  大きな可能性にもかかわらず、セキュリティにおける機械学習は、パフォーマンスを損なう微妙な落とし穴を引き起こす傾向がある。 我々は,学習ベースのセキュリティシステムの設計,実装,評価において共通の落とし穴を特定する。 我々は,落とし穴の回避や軽減を支援するために,研究者を支援するための実用的な勧告を提案する。
  論文  参考訳（メタデータ） (2020-10-19T13:09:31Z)
• Adversarial EXEmples: A Survey and Experimental Evaluation of Practical Attacks on Machine Learning for Windows Malware Detection [67.53296659361598]
  EXEmplesは、比較的少ない入力バイトを摂動することで、機械学習に基づく検出をバイパスすることができる。 我々は、機械学習モデルに対する過去の攻撃を包含し、一般化するだけでなく、3つの新たな攻撃を含む統一フレームワークを開発する。 これらの攻撃はFull DOS、Extended、Shiftと呼ばれ、DOSヘッダをそれぞれ操作し、拡張し、第1セクションの内容を変更することで、敵のペイロードを注入する。
  論文  参考訳（メタデータ） (2020-08-17T07:16:57Z)

関連論文リストは本サイト内にある論文のタイトル・アブストラクトから自動的に作成しています。

指定された論文の情報です。
本サイトの運営者は本サイト（すべての情報・翻訳含む）の品質を保証せず、本サイト（すべての情報・翻訳含む）を使用して発生したあらゆる結果について一切の責任を負いません。