Title
Sentinel
Authors
Nicolás Economou
In
Ekoparty 2013
Date published
2013-09-26
Keywords
EMET protection exploits

Abstract

En estos días, donde el STACK y el HEAP ya no son ejecutables por default, la forma mas comun de tomar el control en la explotacion de bugs binarios es utilizando una tecnica muy famosa conocida como ROP (Return-oriented programming). Al mismo tiempo, cuando un programa es escrito, compilado y linkeado, se genera una relacion entre las funciones padres y las funciones hijas que puede representarse con un grafo llamado CALLGRAPH. Este grafo representa qué "funcion padre" llama a qué "funcion hija", pero al mismo tiempo representa hacia donde debe retornar la "funcion hija" cuando termina de ejecutarse. Cuando un exploit está tomando el control de una aplicacion usando ROP, generalmente la relacion "funcion padre" - "funcion hija" se ve alterada. Es este presentacion les voy a mostrar el desarrollo de una tool llamada "Sentinel" que tiene la capacidad de proteger a binarios compilados principalmente para Intel de ciertos ataques usando una tecnica similar al canary ( o cookie ) tomando el analisis del binario y haciendo hot patching sobre los prologos y epilogos de las funciones del binario a proteger. Se haran varias demos con exploits reales para bugs reales y se haran algunas comparativas con EMET de Microsoft ...

Attachments

Sentinel.pdf - Slides