Veri odaklı saldırılar; bilgisayar korsanlarının kontrol dışı verileri yönetmesine ve bir programın davranışını değiştirmesine, genellikle etkilenen sistemlerde ciddi hasara yol açmasına izin verir. Virginia Tech, Clemson Üniversitesi, Pennsylvania Eyalet Üniversitesi ve Aalto Üniversitesi’ndeki araştırmacılar son zamanlarda bu tür saldırlar için daha etkili savunmaların tasarımını bilgilendirebilecek yeni istismar tekniklerini ortaya çıkardı.
Araştırmacı Daphne Yao: “Modern OpenSSL anahtarlarını, son teknoloji güvenlik kontrolleri tarafından tespit edilmeden bir sunucudan özel bir OpenSSL anahtarını çalmaya izin veren veri odaklı programlama (DOP) saldırısı, ilk kez 2016 yılında ortaya çıkarıldı. DOP saldırıları oldukça yenilmez görünse de ne tür bir tespitin DOP’u durdurabileceğini bulmak istedik.”
Şu anda, iki ana bellek bozma saldırı türü vardır: Kontrol Akışı ve Veri Odaklı Saldırılar… Kontrol akışı saldırıları; geri dönüş adresi veya kod göstericisi gibi kontrol verilerini bir programın bellek alanında bozabilir ve sonuçta programın kontrol akışını yönlendirebilir. (Örneğin, komut sırasını bozması gibi..) Veriye yönelik saldırılar ise; kontrol akışının bütünlüğünü ihlal etmeden kontrol dışı verilerini değiştirerek, programın iyi huylu davranışını değiştirmek için tasarlanmıştır. Farklılıklarına rağmen, her iki saldırı türü de bir bilgisayar sistemine ciddi zarar verebilir.
Yao ve meslektaşları tarafından yürütülen çalışmanın ana hedefleri; veri odaklı saldırıları açığa çıkarmak, savunucuların onları daha iyi anlamalarına yardımcı olmak ve DOP’un etkileyebileceği program davranış kategorilerini tanımlamaktı. Ek olarak, araştırmacılar DOP ile normal uygulamalar arasındaki davranış farklılıklarına dair deneysel kanıtlar sunmak istediler.
Aalto Üniversitesi araştırmacıları Hans Liljestrand, Thomas Nyman ve N. Asokan; Intel İşlemci İzlemesi’ni (PT) destekleyen bir makine için önceki araştırmalara dayanan bir DOP açığını çoğalttı. Bu DOP istismarı, DOP ile normal uygulamalar arasındaki farkları deneysel olarak göstermesinde etkili oldu.
Yao: “Sezgimiz, programların karmaşık DOP saldırısı altında bir şekilde farklı davranması gerektiğidir. Bazı operasyonların sıklıkları DOP sırasında değişmiş olmalı. Çalışmamız veri odaklı yeni saldırılar icat etmiyor, ancak kapsamlı ve detaylı bir açıklama sunuyoruz.”
DOP saldırıları gittikçe daha yaygın hale gelmesine rağmen, bugüne kadar çok az çalışma, ayrıntılı olarak ortaya koydukları tehditleri ele almaya çalıştı. Bu saldırılar, genellikle karar alma ve yapılandırma için doğrudan veya dolaylı olarak kullanılan önemli veri değişkenlerini bozar.
Yao: “DOP ve daha yeni blok yönelimli programlama (BOP) da dahil olmak üzere veri odaklı saldırıların tehlikesi, mağdur bir programın kontrol akışına müdahale etmemeleridir. Bu nedenle, popüler kontrol akışı bütünlüğü (CFI) algılamasından kaçınıyor. Saldırı bakış açısına göre, veri odaklı saldırılar; geri dönüş odaklı programlamaya (ROP) göre çok daha avantajlıdır. Çünkü temel ROP saldırıları, kontrol akışı bütünlüğünü büyük ölçüde ihlal eder ve CFI çözümleri ile kolayca tespit edilebilir. ”
Çalışmalarında, Yao ve arkadaşları DOP saldırıları da dahil olmak üzere varsayımlarını, gereksinimlerini ve kabiliyetlerini ana hatlarıyla açıklayan veri odaklı istismarları haritaladılar. Daha sonra, yeni anomaliye dayalı algılama yaklaşımlarının uygulanabilirliğini deneysel olarak değerlendirdiler.
Yao: “DOP saldırısı altındaki bir programın, ikili kontrol transferlerinin sıklığı, fonksiyon başlatma sıklığı, dal korelasyonları ve uyumsuz dallanma davranışları da dahil olmak üzere, birçok yönden büyük ölçüde farklı davranış modelleri gösterdiğini somut deneysel kanıtlarla sağlarız. DOP saldırılarının neden olduğu bu farklılıkların; düşük seviyeli Intel PT’de ortaya çıktığını, yüksek verimli bir öğretim seviyesi kayıt mekanizmasıyla, toplanıp gözlemlenebilen kütüklerin ortaya çıktığını gösterdik. Örneğin, normal izler ve DOP izleri PCA bazlı kümeleme analizleri gibi… ”
Testlerinde, Yao ve meslektaşları DOP saldırılarının; etkilenen bir programın, genellikle PT izlerinde ortaya çıkan kontrol akışı davranışının birçok düzeyinde yan etkilere neden olduğunu gözlemledi. DOP saldırıları bir programın kontrol akışının sırasını değiştirmese de, frekans ve korelasyon özelliklerini değiştirebilir.
Araştırmacılar bu çalışmalarında; veri odaklı saldırıların herhangi bir sıklık ya da korelasyon anomalisi göstermediği tespit edilemeyen vakaların, bir özetini sundular. Gelecekte, bulguları DOP saldırılarına karşı daha etkili savunmaların geliştirilmesine yardımcı olabilir.
