技术报告-基于动态污点跟踪的敏感文件泄露检测方法.ppt

《技术报告-基于动态污点跟踪的敏感文件泄露检测方法.ppt》由会员分享，可在线阅读，更多相关《技术报告-基于动态污点跟踪的敏感文件泄露检测方法.ppt（13页珍藏版）》请在淘文阁 - 分享文档赚钱的网站上搜索。

1、,基于动态污点跟踪的敏感文件泄露检测方法,李伟明, ;贺玄; 王永剑.,演示流程,研究背景系统框架 实 现实验评估 总 结,研究背景,敏感信息泄露严重 2013年12月,土耳其最高选举委员会网站遭俄罗斯黑客攻击,选民数据库中5400万土耳其居民信息被盗；2014年4月7日,OpenSSL官网公布了Heartbleed(心脏出血)漏洞(CVE-2014-0160),该漏洞允许任何人读取系统的运行内存,可能获得服务器的证书私钥、用户名和密码等敏感信息,许多互联网巨头公司深受其害；2014年12月25日,乌云-漏洞报告平台发布报告称,大量12306用户数据在互联网上传播售卖,包括用户登录账号、密码、

2、信用卡信息、身份证及电话等敏感信息。,研究背景,敏感信息泄露检测技术主要有静态分析和动态分析两种方式静态分析：Coverity Scan系统. 利用人工提取的危险特征来识别软件潜在的危险漏洞,这些特征由大量的先验测试产生. 用于离线检测应用程序潜在的漏洞,不能实时监控应用程序的执行程序的状态。动态分析：主要采用动态污点跟踪技术分析应用程序的潜在漏洞或者可能引起的敏感信息泄露. 可以用于实时的在线检测.也 可以跟踪应用程序的数据流。 本研究借鉴了TaintEraser1的文件污点跟踪的思想，是基于pin（动态二进制插装平台）实现，面向程序的数据流，用于网络服务器应用信息泄露的检测方法。,1 Zh

3、u D, Jung J, Song D, et al. TaintEraser: protecting sensitive data leaks using application-level taint trackingJ. Acm Sigops Operating Systems Review, 2011, 45(1):142-154.,系统框架,敏感文件指的是信息不能被泄露的文件,例如Linux系统中的passwd文件和shadow文件。其来源一种是由系统用户指定的敏感文件,另一种是写入了敏感数据的文件。,敏感文件检测方法,检测流程图,敏感文件检测方法,污点源标记,污点传播,污点检测,污

4、点源标记,struct TaintedFileEvent TAINTED_EVENT_TYPE type; /污点传播类型 int threadID; /线程号 ADDRINT funcAddr; /被插桩函数地址 string funcName; /被插桩函数名 ADDRINT retAddr; /被插桩函数的返回地址 char* buff; /缓冲区 int buffSize; /缓冲区大小 int retValue; /函数返回值 FILE_TYPE fileType; /文件类型 unsigned inode; /文件的i-node number string fileName; /文

5、件名 ;,建立敏感文件的i-node number集合,离线存储用户指定,敏感文件检测方法,污点源标记,污点传播,污点检测,污点传播,敏感文件检测方法,污点源标记,污点传播,污点检测,污点检测,containtFileTaint(buffer, len) for i 0 to len-1 do mem taint_table_hash_lookup(taint_table, buffer+i) 查找地址节点if mem not null then index (buffer +i) % 4 taintListmem.taintheadindex 污点集合指针if taintList not n

6、ull then 该地址的污点集合不为空 Log(*sensitive file info leak*n) 记录告警 break,实验评估,Smbd默认配置目录遍历漏洞,Samba是跨平台进行文件共享和打印共享服务的程序.利用其 默认配置存在的目录遍历漏洞.远程用户可以在smbclient端使用一个对称命令,创建一个包含.目录遍历符的对称序列,影响目录遍历以及访问任意文件.,实验结果,攻击主机渗透靶机的Smbd默认配置目录遍历漏洞,利用漏洞窃取敏感文件过程及结果,检测到敏感文件passwd泄露,检测到敏感文件test_ip130.txt泄露,误报排除实验,(1)检测系统不将passwd文件敏感

7、文件，再次窃取passwd文件；(2)窃取靶机上一个非敏感的普通文件. 结果表明,检测系统不会记录非敏感文件的泄露事件,对非敏感文件泄露的误报为0. 总结以上关于敏感文件泄露检测实验,结果表明检测系统能够有效地检测用户指定的以及默认的敏感文件泄露过程,且实验过程中没有发生误报和漏报.,总结,基于动态污点跟踪的敏感文件泄露检测方法,在测试Smbd默认配置目录遍历漏洞时,够有效地监控系统敏感文件和用户指定的敏感文件,检测Smbd的泄露行为;同时也表明离线记录文件污点信息的方法可以弥补污点无法离开内存传播的不足,可以有效地记录文件间的污点传播. 改进之处：文件敏感文件泄露检测方面,首先需要更加细粒度地记录污点在文件内容中的偏移位置,其次需要细化文件污点信息存储的粒度;动态污点跟踪方面,动态污点跟踪的效率和稳定性还需进一步的提高.,Thank you !,