intel：spectre&Meltdown侧信道攻击（三）—— raw hammer

　　今天介绍raw hammer攻击的原理；这次有点“标题党”了。事实上，raw hammer是基于DRAM内存的攻击；所以理论上，只要是用了DRAM内存的设备，不论是什么cpu（intel、amd，或则x86、arm架构），也不论是什么操作系统（windows、linux、ios、arm等），都可能受到攻击；常见的raw hanmmer攻击效果：

• 　　提权+宕机，却无需利用软件层面的任何漏洞
• 打破进程间隔离、user-kernel隔离、VM间隔离以及VM-VMM间隔离，对内存地址的内容进行读+写，却无需访问该内存地址

　　1、DRAM 原理

　　  

　　如右上图：

　　（1）内存最基本的存储单元是cell。cell里面最核心的两个模块：电容和晶体管；电容充满电，cell就是1；电容放完电，cell就是0；晶体管用来控制电容充放电；DRAM的D代表dynamic，中文叫动态，说的就是这个；

　　（2）DRAM的每一组存储单元行与列组成的矩阵称之为bank，如图中示例row 0 –row 4组成的矩阵为一个bank；

　　（3）每一个DRAM芯片都包含多个bank, 每一个bank都有自己的一块row-buffer，这个row-buffer其实是一排灵敏放大器(Sense Amplifier)。在每次访问内存时，一个存储单元行会被激活，将整个row的数据保存在row-buffer之中，同时cell放电，然后将row-buffer的上下文写入原来的存储单元行之中，cell充电；即使是读内存，也会导致cell充放电！

　 （4）每个cell不停的充放电，组成010101的二进制串，这就是最底层数据存储的基本原理；磁盘上的任何文件在内存都会被编码成010101的二进制串；

　　 2、row hanmmer原理

　　 (1) 近年来，消费者IT设备的要求越来越高；设备厂商在不改变内存电路板面积大小的前提下，为了让其能够存储更多的数据，只能将cell的设计越做越多，排列越来越近，密度大幅度增加。虽然制作工艺有所提升，但还是会存在一种假设，那就是相邻的cell在运行中可能会受到干扰，如果频繁“轰炸”某两行（行话称之为row），就可能会造成中间一排腹背受敌、上下夹击，从而出现比特位翻转，也就是0变成1，1变成0..........

　　 业内把这种上下敲击的疯狂操作，称为double-sided Rowhammer test，而导致比特位翻转的这个攻击方式就叫做Rowhammer攻击；Row是行，Hammer是反复敲击，如此简洁明了，一针见血；如下图：第1、3行是aggressor行，这两行中间夹了victim行；两行aggressor不停地充放电，中间victim行大概率会0~1反转；

　　上面的图再细化一下：比如下面9个cell，只有中间是0，周围全是1，由于cell之间间隔很小，中间的0大概率会反转成1。如果周围全是0，只有中间是1，那么中间的1大概率会反转成0；

　  　

　　为了避免这种反转带来的数据错误，x86计算机使用内存控制器定期刷新电容电量，即指定一个电量阈值0<X<1，对比当前电容量进行刷新操作；X>C时方点，cell=0；C>X时充电，cell=1；内存控制器的刷新时间一般为64ms，所以基于rwo hammer的攻击要求在内存刷新的64ms间隔内，加速内存cell的自放电效应，突破内存刷新的判断阈值，翻转内存cell的存储bit，最终bit 1变为0，bit 0变为1；

　　(2) 知道了物理地址，怎么确认该地址映射到那行row、哪列colume、哪个bank了？

　　 百度安全实验室发明基于timing channel的方法（https://cloud.tencent.com/developer/article/1620354 ），大概的思路是：从物理地址高位开始，选择某个bit不同的两个地址分别读取数据；如果这两个地址属于同一个bank、同一个row，那么第一个地址在row buffer会有缓存，第二个地址读的时间会较快，时间差异较大；如果在不同的bank，或在同一bank但不同row，那么读第二个物理地址数据的时候row buffer没有，前后两次读取时间差距不大，由此确认该bit是否是row bit；用类似的思路进一步确认colume bit、bank bit，其最终测试结果如下：

　　

　　Config表示如下参数：#channel，#DIMM/channel，#rank/DIMM，#bank/rank；

　　bank address function：比如No.8，bank 地址有4bit组成，一共有2^4=16个bank；每位是括号的这两个bit异或得到的，比如第1位就是物理地址中的6和13位异或的结果；

　　由上表可知：不同类型的cpu、不同内存大小都有各自的row bit、colume bit、bank bit，情况比较复杂；官方暂未开放DRAMDig工具下载使用，也未开源，实际效果暂时无法评测；

　　3、row hammer利用方法

• 　缓存刷新

　　  在64ms的窗口期间，反复读取x、y两行内存地址的数据到寄存器，然后通过cflush清空缓存（保证cpu下次从内存读），再通过mfence指令保证cflush指令执行完毕；如果x、y两行地址中间夹了一行V（X\Y\V必须在同一个bank中），那么V的数据大概率会被反转；试想：如果V中的某些位是权限控制位了？比如goole project zero自称成功反转了PTE的某一位，成功获得了内核权限；

code1a:
  mov (X), %eax  // Read from address X
  mov (Y), %ebx  // Read from address Y
  clflush (X)  // Flush cache for address X
  clflush (Y)  // Flush cache for address Y
　mfence
jmp code1a

• 　缓存驱逐(cache eviction)

　　　上面的缓存刷新方法需要反复调用cflush指令，如果把cflush禁止（比如google 沙箱）后该怎么办了？

　　　先介绍一下L3 cache：L3 Cache又被称为Last Level Cache（LLC），L1是通过虚拟地址来索引的，而L3是通过物理地址进行索引的，下面以典型的Intel core i7 4790处理器为例介绍L3的结构。i7 4790 L3 Cache由2048个cache set组成，每个cache set又分为4个slice（slice和cpu core数量相同，意义对应，比如这里有4个slice，那么cpu有4个core），每个slice由16个cache line组成，因此缓存关联度为16（英语称为16 way associative）；每个cache line 有64byte，因此缓存总容量为： 64×16×4×2048=8MiB；（https://bbs.pediy.com/thread-256190.htm 有详细的介绍）

　　     

　　　从物理地址映射关系来看，L3的基本存储单元是64字节的缓存行，物理地址0~5表示cache line内偏移，6~16位表示set index，一共有2048个set，6~31位经过一个未公开的哈希函数被映射为slice id，17~31位为tag位用来标记slice里面的缓存行；

　　   slice和core的数量一一对应，但core可通过ring bus读写每个slice；换句话说：slice并不是某个core独有的，是所有core共享的；如果core读取的slice编号不同，需要通过ring bus传输（准从interl quickpath interconnect协议），耗时会增加1~2 hops；

　　详细的物理地址cache mapping方式：（1）根据0~5bit定位到cache line内部的byte偏移，名为offset； (2) 根据6~16（不同cpu的cache size、way等不同，这里会有略微差异）定位cache set，名为index；以本人intel core-i7 8750为例, 用cpu-z查是coffee lake架构，L3=9M，12way, cahe line=64byte（0~5位是offset）; cache line总数=9M/64byte=147456个；cache set数量=cache line总数/way = 12288，需要17bit, 所以物理地址的6~23bit是index（2）根据tag和set index定位slice id（index未公开hash算法）；（4）根据tag定位cache sets里面的某个cache line（遍历某个set，取出每个line的tag挨个对比，和物理地址的tag一样就是cache hit）；这个cache mapping的很重要，后续好多基于时间差的侧信道攻击（prime+probe、flush+reload、flush+flush、evict+reload等等）都要用到这个cache mapping的思路；

　  　

　　　当L3 Cache发生cache miss时需要从内存中调取数据进入L3的某个slice，而此时如果slice已满则会导致某个缓存被写回（write back）内存，进而腾出空间给新进入的缓存行，这个替换策略就是缓存替换算法。Intel的第二代SandyBridge架构使用的是LRU替换策略，然而从第三代IvyBridge架构开始引入了自适应缓存替换策略（Adaptive Replacement Policies），该策略可以动态调整缓存替换算法使得L3的动态负载性能最优化。 由以上分析可知，物理地址被映射到某个set的某个slice，如果能够找到其他16个映射到相同slice的物理地址，使用适当的遍历策略访问这16个地址就可以将这些物理地址驱逐出整个缓存，这种方法可以达到与clflush指令的相同效果，我们将这16个地址（一共64byte，刚好是一个cache line）组成的集合称为最小驱逐集（Eviction Set）；由此引申出了新的攻击方法：cache eviction；https://github.com/IAIK/rowhammerjs 这里有利用eviction的js代码（相比 clflush 指令更具一般性，它适用于任意系统架构、编程语言及运行环境），感兴趣的可以自行尝试；

• 　内存重复数据删除

　　物理内存总是有限的，不可能无限制分配和使用。为了节约物理内存，操作系统会合并多个相同的物理页，只保留一份，其余的删除（32位的windows，每个进程有4GB的虚拟地址空间，高2GB的内核空间在各个进程都是共享的。一旦修改内核数据，会先拷贝一份，然后修改拷贝的这个页，这就是所谓的copy-on-write），以节约大量物理内存；该原理衍射了新的攻击：flip fan shui — 利用内存重复数据删除实施受控的row hammer攻击；

如下图，在云主机中，一般会有多个虚拟机在同时运行。attacker伪造一个victim内存空间一样的页面，底层的操作系统会合并，那么attacker和victim都指向了同一页面；attacker再通过row hammer修改victim的内存数据；

• 　内存伏击

　　如下：空白方格代表空闲页面，灰色方格代表已分配给页缓存的页面，图 5(a)表示刚开始内存的使用情况，内存中还有部分空闲页面，图 5(b)将 所有的空闲页面分配给页缓存，同时将目标页 B 从内存中驱逐出去，图 5(c)是将目标页 B 重新 加载到内存中，这时目标页 B 会被加载到不同 位置的物理内存中，重复图 5(b)和图 5(c)，直到目标页B被加载到能够发生位反转的物理内存位置 X 上；利用该技术，可实现云端的DDoS 攻击和本地的提权攻击；

　　

参考：https://cloud.tencent.com/developer/article/1620354 逆向DRAM地址映射

https://bbs.pediy.com/thread-256190.htm Intel处理器L3 Cache侧信道分析研究

　　    https://www.youtube.com/watch?v=rGaF15-ko5w   Rowhammer attacks explained simply