看了一篇 IT 之家關(guān)于 AMD 處理器受 RowHammer 內(nèi)存攻擊影響的報(bào)道�����,心血來潮了解了一下 RowHammer 攻擊的原理�,把了解到的知識(shí)記錄下來�����。
RowHammer 攻擊是一種相對(duì)較新的攻擊方式,它利用了現(xiàn)代動(dòng)態(tài)隨機(jī)存取存儲(chǔ)器(DRAM)的物理缺陷�����,這種攻擊方式不同于傳統(tǒng)的軟件漏洞利用��,它直接針對(duì)硬件的弱點(diǎn)�����。這種攻擊利用了 DRAM 在運(yùn)行過程中產(chǎn)生的意外電荷泄漏效應(yīng)��,可能導(dǎo)致存儲(chǔ)器單元泄露電荷并造成比特翻轉(zhuǎn)��。這個(gè)問題主要是由于現(xiàn)在 DRAM 存儲(chǔ)單元高密度排列造成的�。通過在一定模式下的高頻率反復(fù)內(nèi)存訪問,攻擊者可以在其原本無權(quán)訪問的內(nèi)存區(qū)域引發(fā)存儲(chǔ)值的變化��。這種攻擊可以導(dǎo)致權(quán)限提升�、數(shù)據(jù)泄漏和拒絕服務(wù)等安全問題。
要理解 RowHammer 攻擊����,首先需要了解 DRAM 的工作原理���。DRAM 通過存儲(chǔ)電荷在電容中來保存信息,每個(gè)電容與一個(gè)訪問晶體管相連�����,共同構(gòu)成一個(gè)存儲(chǔ)單元(Cell�,如下圖所示)。電容充滿電�����,存儲(chǔ)單元就是 1����,電容放完電,存儲(chǔ)單元就是 0�����,晶體管用來控制電容充放電�。
這些存儲(chǔ)單元被組織成多行多列���,形成一個(gè)二維陣列(Bank�����,如下圖所示)��。當(dāng)讀取或?qū)懭雰?nèi)存數(shù)據(jù)時(shí)��,一個(gè)存儲(chǔ)單元行會(huì)被激活��,整行的數(shù)據(jù)會(huì)被加載到行緩沖器(row-buffer)中�����,同時(shí)存儲(chǔ)單元中的電容放電�,在行緩沖器內(nèi)完成數(shù)據(jù)的讀寫操作。在操作完成后��,行緩沖器內(nèi)的數(shù)據(jù)會(huì)寫入原來的存儲(chǔ)單元行之中����,同時(shí)存儲(chǔ)單元中的電容充電。所以�,不論是讀還是寫數(shù)據(jù),存儲(chǔ)單元都會(huì)充放電�����。
在內(nèi)存如“白菜”價(jià)的今天,不改變內(nèi)存電路板面積大小的前提下��,為了能存儲(chǔ)更多的數(shù)據(jù)�,只能將存儲(chǔ)單元排列的越來越近,密度大幅度增加����。雖然芯片的制程有所提升,但每個(gè)電容之間的隔離不是完全的���。當(dāng)一個(gè)行被頻繁激活時(shí)����,相鄰行的電容可能會(huì)受到電磁干擾�,導(dǎo)致存儲(chǔ)的比特從 1 翻轉(zhuǎn)為 0,或者相反�。這種比特翻轉(zhuǎn)可以被惡意利用,攻擊者可以通過精心設(shè)計(jì)的內(nèi)存訪問模式來控制比特翻轉(zhuǎn)的位置和結(jié)果���。通過高頻率地讀取 DRAM 中的某一行���,可以影響到相鄰行中的數(shù)據(jù),這種現(xiàn)象被稱為 RowHammer��,因?yàn)樗拖裼缅N子反復(fù)敲擊內(nèi)存行一樣�。如下圖所示,第 1�、3 行是攻擊行,這兩行中間是被攻擊行�,攻擊行不停地充放電,中間行大概率會(huì)出現(xiàn)比特翻轉(zhuǎn)��。
即使理解了 RowHammer 攻擊的原理����,如果不知道哪些存儲(chǔ)單元里隱藏著關(guān)鍵數(shù)據(jù),毫無目的的去攻擊也沒有意義�。更何況程序在訪問內(nèi)存數(shù)據(jù)時(shí),并不會(huì)直接使用內(nèi)存中的真實(shí)地址���,而是使用虛擬地址映射的方式進(jìn)行訪問�。這使得找到數(shù)據(jù)的真實(shí)地址變得更加困難�,所以很長(zhǎng)時(shí)間以來,對(duì)于 RowHammer 攻擊的研究只停留在理論階段���,解決這個(gè)問題的關(guān)鍵在于如何實(shí)現(xiàn)逆向 DRAM 地址映射����。由百度安全所研究設(shè)計(jì)的逆向工具 DRAMDig 能夠在平均 7 ~ 8 分鐘時(shí)間,快速�、可靠地逆向出 DRAM 地址映射,解決了這一復(fù)雜的問題�����。感興趣的朋友可以閱讀這篇論文《DRAMDig: A Knowledge-assisted Tool to Uncover DRAM Address Mapping》(DOI: 10.1109/DAC18072.2020.9218599)�。
盡管 RowHammer 攻擊非常強(qiáng)大,但也不是無法防御的�。從硬件層面,新的 DRAM 芯片中實(shí)現(xiàn)了各種緩解措施��,如目標(biāo)行刷新(Target Row Refresh, TRR)�����,或者使用支持 ECC 的 DRAM 內(nèi)存����。軟件層面的解決方案包括增加內(nèi)存訪問的隨機(jī)性,以減少連續(xù)訪問同一行的可能性�。
轉(zhuǎn)自博客園,作者張高興https://www.cnblogs.com/zhanggaoxing/p/18099550
該文章在 2024/3/28 10:18:20 編輯過
400 186 1886
