Cудьба shell-кода на системах с неисполняемым стеком

Крис Касперски

Не ошибается то, что не работает

(c) Windows

Отчаявшись справиться со своими же собственными ошибками, компания Microsoft совместно с Intel и AMD реализовала технологию DEP, призванную покончить с удаленными атаками раз и навсегда, но этого не произошло, и защиту удалось обойти.

Несмотря на все усилия, вырытые рвы и воздвигнутые защитные сооружения, интенсивность удаленных атак не снижается, и отражать их становится все труднее. Хакеры научились маскировать вредоносные процессы под LINUX/BSD и NT, разобрались с брандмауэрами и освоились с распределенными системами – сотни тысяч зараженных машин, управляемых через IRC, – это настоящая армия, очень мощная и разрушительная. Интересы отдельных пользователей, пострадавших от атаки, отходят на задний план, уступая место вопросам безопасности всей инфраструктуры в целом. А инфраструктура – это уже серьезно.

Анализ показывает, что подавляющее большинство атак используют ошибки переполнения, фундаментальную природу которых мы уже обсуждали (см. «Ошибки переполнения буфера извне и изнутри как обобщенный опыт реальных атак»). Львиная доля таких ошибок находится в Internet Explorer, что, в частности, и явилось причиной перехода NASA на FireFox (http://www.securitylab.ru/news/242844.php?R1=RSS&R2=allnews), что можно только приветствовать. Однако FireFox (как и все остальные браузеры) не свободен от ошибок, и в нем присутствует большое количество критических уязвимостей, позволяющих злоумышленнику выполнить свой код (далее по тексту называемый shell-кодом). Вот только одна из таких дыр: http://www.securitylab.ru/vulnerability/240254.php.

Рисунок 1. Схематичное изображение стека. Стрелка показывает направление, в котором растет стек.

Локальный буфер «растет» в противоположном направлении и при определенных обстоятельствах может затирать адрес возврата

Никакое программное обеспечение небезопасно! Даже если своевременно устанавливать свежие заплатки, всегда существует риск, что хакер найдет новую дыру, о которой еще никто не знает, и с успехом воспользуется ею. Кстати говоря, разработка атакующих программ за последние несколько лет поднялась с колен чистого энтузиазма и встала на коммерческий поток с большими вложениями. Стоимость гарантированно работающего эксплоита зачастую доходит до $2 000. Можно только догадываться, кому и зачем это нужно…