0
  • 聊天消息
  • 系统消息
  • 评论与回复
登录后你可以
  • 下载海量资料
  • 学习在线课程
  • 观看技术视频
  • 写文章/发帖/加入社区
创作中心

完善资料让更多小伙伴认识你,还能领取20积分哦,立即完善>

3天内不再提示

分享一个使用BPF事件捕获rootkit的案例

Linux阅码场 来源:人人都是极客 作者:许庆伟 2022-07-13 09:03 次阅读

如今,云原生平台越来越多的使用了基于eBPF的安全探测技术。这项技术通过创建安全的Hook钩子探针来监测内部函数和获取重要数据,从而支持对应用程序的运行时做监测和分析。Tracee是用于Linux的运行时安全和取证的开源项目,它基于eBPF实现,所以在安全监测方面效果更加优化。

在本文中,我们将探索控制eBPF事件的方法,并研究一个使用BPF事件捕获rootkit的案例。Rootkit是一种存在于内核中复杂类型的恶意漏洞攻击,并将介绍Tracee用于检测Syscall 钩子的新特性,它实现了在内核中使用eBPF事件的独特方式。

eBPF: 不只是用来跟踪

eBPF是一种Linux内核技术,它允许在不更改内核源代码或添加新模块的前提下,在Linux内核中运行沙盒程序。因此,eBPF可以支持安全的Hook到事件上,而不会造成内核崩溃的风险。

具体来说,eBPF程序使用内核机制(如kprobes、kretprobes、Linux安全模块(LSM) Hooks、uprobes和traceponits)来创建和设置钩子,并加以验证代码不会使内核崩溃。eBPF有一个Verifier验证器,其目标是确保eBPF程序安全运行(而不是通过加载内核模块来与内核交互,如果操作不当,会导致系统崩溃)。

攻击者为何喜欢Hook内核函数?

目前使用rootkit的复杂攻击往往是针对内核空间,这是因为攻击者试图避免被安全防御方案,以及监控用户空间事件或分析基本系统日志的取证工具检所测到。此外,在内核空间中嵌入恶意软件也会使得安全研究员和响应团队更难找到它。恶意软件越接近于底层,检测起来就越困难。

下面,我们将看看TNT团队的例子,并查看他们是如何利用Diamorphine 这个rootkit,以及Tracee如何检测到它。

内核中的函数操作

攻击者为了自身利益最大化,会寻找内核级别的目标函数。常用的一种方法是函数钩子,旨在通过操纵内核中的函数来隐藏恶意活动。这样做的原因是内核函数执行的是来自用户空间的任务。如果它们被破坏,攻击者即可控制所有用户空间程序的行为。

当攻击者试图Hook系统调用(syscall)函数时,这就是函数钩子的一个很好示例。这些高级内核函数用于执行来自用户空间的任务,Hook住它们主要目的是隐藏恶意行为。例如,攻击者将getdents系统调用Hook起来,以隐藏用于列出文件命令(如ps、top和ls)的恶意文件和进程。

通常,通过读取系统调用表并获取系统调用函数的地址来Hook他们。一旦获得系统调用函数地址,攻击者将保存原始地址,并试图用包含恶意代码的新函数覆盖它。

攻击者如何Hook内核函数?

现在,让我们研究一下攻击者如何在真实环境下的网络攻击中劫持内核函数。

为了Hook内核函数,必须首先获得想要钩住的对象访问权。例如,它可以是保存所有系统调用函数地址的系统调用表。然后,保存函数的原始地址并覆盖它。在某些情况下,由于当前位置的内存权限,还需要获取CPU中控制寄存器的权限。

接下来是TNT团队使用Diamorphine隐藏加密的活动,这作为他们攻击的一部分可以很好的解释这样的方法:

92d4cd9e-0240-11ed-ba43-dac502259ad0.png

使用内存边界技术检测Syscall钩子

现在我们已经确定了攻击者的动机以及他们如何修改内核行为,问题是,我们该如何检测这种活动? 明确的目标是找到一种方法,以区分内核中的原始内部函数(或与核心内核关联的syscall)和新的内核模块代码(或换句话说,被攻击后的函数)。

我们可以通过内核的core_text边界检测来实现这一点。内核中的内存被分为几个部分。其中一个是core_text段,它保存内核中的原始函数。此部分注册在特定的内存映射区域中,该区域不受更改或操作的影响。此外,如果我们加载一个新的内核模块--也就是说,编写一个新函数或覆盖原始函数——这个新函数将写入另一个专门为新函数保留的内存区域。可以在下面的虚拟内存映射中看到这一点。注意,分配给原始内核代码的地址范围(文本部分,又名“核心内核文本”)和分配给新内核模块的地址范围是不同的。

92fbcd90-0240-11ed-ba43-dac502259ad0.png

因此,当前的目标是获取一个系统调用地址,然后将其与内核core_text边界进行比较,正如我们所看到的,core_text边界表示原始内核源的范围。

使用Tracee检测Syscall钩子

现在,我们已经了解了恶意软件如何以及为什么以内核函数为目标,以及如何检测被钩住的内核函数,接下需要知道如何使用eBPF来提取函数的地址。使用Tracee可以确定函数是否被钩住,即使钩子是在Tracee执行之前放置的。

首先创建一个在用户空间中触发的BPF程序,并在内核空间中捕获相应BPF事件。如果内核程序需要来自用户空间的信息,可以通过BPF映射来进行传递。

例如在Tracee中创建一个事件,该事件将从系统调用表中获取系统调用地址,接下来确认系统调用是否被内核模块钩住了。如果它被钩住了,继续将创建一个派生事件(由内核另一个事件而创建的事件),它将提示系统调用钩住的情况,如下:

931ea2e8-0240-11ed-ba43-dac502259ad0.png

先使用libbpfgo的helper来获取系统调用表地址,并将其添加到事件内核符号依赖项中。

注意,detect_hooked_sycalls事件是派生事件。这意味着在我们接收到系统调用的地址并检查它们之后,我们将创建一个新的detect_hooked_sycalls事件。

93321468-0240-11ed-ba43-dac502259ad0.png

然后,我们将它与系统调用号一起传递,以便使用BPFMap检查内核空间。

934924dc-0240-11ed-ba43-dac502259ad0.png

为了检查内核空间中的那些系统调用,基于security_file_ioctl上的kprobe创建一个事件,它是ioctl系统调用的一个内部函数。这样我们就可以通过使用用户空间的特定参数触发系统调用来控制程序流,接下来用一个特定的命令触发ioctl:

935f35b0-0240-11ed-ba43-dac502259ad0.png

此时,在内核空间中开始检查ioctl命令是否相同,以及调用该系统调用的进程是否为Tracee。这样就可以验证只有当用户要求Tracee检查时才会发生检测的需求。

93845eda-0240-11ed-ba43-dac502259ad0.png

检测代码很简单,遍历系统调用映射,通过使用READ_KERN()来获取系统调用表的地址如下:

9392fc2e-0240-11ed-ba43-dac502259ad0.png

然后在用户空间中,我们将这些地址与libbpfgo helpers进行比较:

93a88378-0240-11ed-ba43-dac502259ad0.png

狩猎时间: 用eBPF检测Diamorphine rootkit

现在,开始运行Tracee,来看看它将如何检测出Diamorphine rootkit。

使用insmod函数加载Diamorphine (.ko)的内核对象文件。目标是看看Tracee的探测结果。通常,在加载一个内核模块的情况下启动Tracee,如果选择了detect_hooked_sycall事件,Tracee将发送一个hooked_sycalls事件,以确保系统没有被破坏:

93b901da-0240-11ed-ba43-dac502259ad0.png

Tracee检测到getdents和getdents64这些挂起的系统调用。TNT团队使用它们来隐藏大量加密活动导致的CPU负载过高,以及通常用于从用户空间发送命令来杀死进程的kill函数。在这种情况下,rootkit使用kill -63作为用户空间和内核空间之间的通信通道。同样,如果再次运行Diamorphine和Tracee使用json输出,参数将显示Diamorphine的恶意钩子:

93cac258-0240-11ed-ba43-dac502259ad0.png

如果运行Tracee-rules,我们可以看到detect_hooked_sycall事件的新签名:

93e596b4-0240-11ed-ba43-dac502259ad0.png

结论

现代攻击者的目标是包括内核层的操作系统各个层级,此外,由于开源项目(如Diamorphine)的流行,攻击性网络工具变得越来越容易获得。因此,安全研究员需要提高自身的防御能力知识,开发出合适的检测方法。


审核编辑:刘清

声明:本文内容及配图由入驻作者撰写或者入驻合作网站授权转载。文章观点仅代表作者本人,不代表电子发烧友网立场。文章及其配图仅供工程师学习之用,如有内容侵权或者其他违规问题,请联系本站处理。 举报投诉
  • Linux系统
    +关注

    关注

    4

    文章

    559

    浏览量

    26844
  • rootkit
    +关注

    关注

    0

    文章

    8

    浏览量

    2669
  • BPF
    BPF
    +关注

    关注

    0

    文章

    24

    浏览量

    3831

原文标题:利用eBPF探测Rootkit漏洞

文章出处:【微信号:LinuxDev,微信公众号:Linux阅码场】欢迎添加关注!文章转载请注明出处。

收藏 人收藏

    评论

    相关推荐

    在使用定时器捕获两路PWM的频率时,中断函数应该如何配置呢?

    在使用定时器捕获两路PWM的频率时,中断函数应该如何配置呢?? 我采用如下的方式去获取,但得到的PWM信号的占空比其中有路为200,
    发表于 03-22 06:39

    一个通道如何捕获PWM的频率和占空比?

    一,前言正常情况是双通道捕获PWM波,这种方法简单且准确,但是它占用的资源太多了,因为它使用定时器的两个通道,且这两个通道映射在一个通道上,同时配置一路捕获为触发定时器复位,所以只能使用2个通道
    的头像 发表于 12-30 08:00 316次阅读
    一个通道如何<b class='flag-5'>捕获</b>PWM的频率和占空比?

    内核观测技术BPF详解

    BPF简介 BPF,全称是Berkeley Packet Filter(伯克利数据包过滤器)的缩写。其诞生于1992年,最初的目的是提升网络包过滤工具的性能。后面,随着这个工具重新实现BPF的内核
    的头像 发表于 11-10 10:34 453次阅读

    stm32f429捕获初始化里面有滤波设置干嘛用的?

    stm32f429捕获初始化里面有滤波设置干嘛用的,为什么测量脉宽还要滤波
    发表于 11-08 06:10

    STM32基础知识:定时器输入捕获功能

    工作原理:在输入捕获模式下,当捕获单元捕捉到外部信号的有效边沿(上升沿/下降 沿/双边沿)时,将计数器的当前值锁存到捕获/比较寄存器TIMx_CCR, 供用户读取。
    的头像 发表于 10-25 15:19 749次阅读
    STM32基础知识:定时器输入<b class='flag-5'>捕获</b>功能

    一个定时器能不能既有输出比较又有输入捕获

    一个定时器,比如TIM1能不能设置通道1位定时器比较,通道2位定时器输入捕获
    发表于 10-24 08:10

    一个定时器可以双通道或者多通道同时进行输入捕获吗?

    一个定时器可以双通道或者多通道同时进行输入捕获
    发表于 10-17 08:13

    Emulex HBA捕获

    电子发烧友网站提供《Emulex HBA捕获.pdf》资料免费下载
    发表于 08-14 09:27 0次下载
    Emulex HBA<b class='flag-5'>捕获</b>

    如何利用ebpf检测rootkit项目取证呢?

    Rootkit木马是一种系统内核级病毒木马,其进入内核模块后能获取到操作系统高级权限
    的头像 发表于 08-01 11:08 454次阅读
    如何利用ebpf检测<b class='flag-5'>rootkit</b>项目取证呢?

    Emulex HBA捕获实用程序

    电子发烧友网站提供《Emulex HBA捕获实用程序.pdf》资料免费下载
    发表于 07-27 10:52 0次下载
    Emulex HBA<b class='flag-5'>捕获</b>实用程序

    Linux内核革命性技术之BPF的前世今生

    从指令集角度,BPF 起初的架构比较简单,只有一个32位宽度累加器A,一个32位宽度寄存器X,以及16x32bit 数组内存空间。但BPF 实现了加载、存储、跳转、运算四类指令。
    发表于 07-26 12:28 679次阅读
    Linux内核革命性技术之<b class='flag-5'>BPF</b>的前世今生

    STM32定时器(三)输入捕获

    STM32的定时器是支持信号输入捕获的,何为输入捕获?主要做什么应用?
    的头像 发表于 07-21 14:58 2556次阅读
    STM32定时器(三)输入<b class='flag-5'>捕获</b>

    BPF如何在Unix内核实现网络数据包过滤

    BPF发展到现在名称升级为eBPF:「extended Berkeley Packet Filter」。它演进成为了一套通用执行引擎,提供可基于系统或程序事件高效安全执行特定代码的通用能力,通用能力的使用者不再局限于内核开发者。
    发表于 06-11 15:24 509次阅读
    <b class='flag-5'>BPF</b>如何在Unix内核实现网络数据包过滤

    虹科分享|便携式数据包捕获解决方案的发展

    如今,便携式捕获设备的发展甚至比便携式数据包中的网络线路还远。如今,它们可以用作长期捕获解决方案,并且可以远程访问。例如,如果您将ProfiShark 1G与NAS结合使用,它的长期捕获功能将帮助
    的头像 发表于 05-06 14:51 333次阅读
    虹科分享|便携式数据包<b class='flag-5'>捕获</b>解决方案的发展

    防御Rootkit攻击并避免恶意恶意软件

    一种特别阴险的恶意软件形式是通过rootkit(或bootkit)攻击注入系统的固件,因为它在操作系统启动之前加载并且可以隐藏普通的反恶意软件。Rootkit 也很难检测和删除。防御 rootkit 攻击的一种方法是使系统能够使
    的头像 发表于 04-24 09:57 1379次阅读
    防御<b class='flag-5'>Rootkit</b>攻击并避免恶意恶意软件