Linux下用gdb檢測內核rootkit的方法
本文涉及的技術原理都不是新的,對研究人員沒什么特別大的價值,不過對工程人員應急相應來說不失為一種新的方法.
【理解攻擊向量】
前面兩段廢話直接掠過...實在浪費感情-_-!
內核rookit通常以系統調用為攻擊目標,主要出于兩個原因:
a.在內核態劫持系統調用能以較小的代價控制整個系統,不必修太多東西;
b.應用層大多數函數是一個或多個系統調用不同形式的封裝,更改系統調用意味著其上層所有的
函數都會被欺騙;
在kernel-2.4.27中大約有230多個系統調用,而kernel-2.6.9中大約有290多個系統調用,系統調用的個數取決于內核版本.完整的系統調用列表可以在 /usr/include/asm/unistd.h頭文件中獲得.另外需要注意的是入侵者并不更改所有的系統調用,而只是替換其中一些比較有用的.這些系統調用如表一所示,他們可以被系統管理員及入侵檢測系統(OS kernel級IDS)監視,可以用man命令得到每個系統調用的完整描述。
System call nameShort descriptionID
-------------------------------------------------------------------------------------------
sys_readused for reading from files 3
sys_writeused for writing to files 4
sys_openused to create or open files 5
sys_getdents/sys_getdents64used to list a content of directories(also /proc) 141/220
sys_socketcallused for managing sockets102
sys_query_moduleused for querying loaded modules 167
sys_setuid/sys_getuidused for managing UIDs 23/24
sys_execveused for executing binary files 11
sys_chdirused to change the directory 12
sys_fork/sys_cloneused to create a child process 2/120
sys_ioctlused to control devices 54
sys_killused to send signal to processes 37
我們注意上表的系統調用號,這些ID都是針對kernel-2.4.18-3的。
本文所有的例子都在Redhat7.3 kernel-2.4.18-3上通過測試,我們也可以在其他版本包括最新的2.6.x上用相似的步驟研究,不同之處可能在于2.6的一些內部結構,比如系統調用表的地址原來內含在系統調用處理例程system_call中,現在改成在syscall_call函數中。
【更改系統調用表】
當前的系統調用地址保存在系統調用表中,位于操作系統為內核保留的內存空間(虛擬地址最高1GB),系統調用入口地址的存放順序同/usr/include/asm/unistd.h中的排列順序,按系統調用號遞增。鑒于原文廢話很多,我就跳著翻譯或者概括起來翻譯,有興趣的可以找本Linux內核的書看看(e.g:ULK2)
在0x80軟中斷發生之前,對應的系統調用號被壓入eax寄存器,例如sys_write被調用時,其對應的系統調用ID:4會被壓入eax
入侵者使用的第一種方法是:更改系統調用表中的系統調用地址,這樣系統調用發生時會跳轉到攻擊者自己編寫的函數去執行。通過觀察系統調用表中的系統調用入口地址,使用gdb我們可以比較容易檢測到這種攻擊行為。
原始的系統調用地址在內核編譯階段被指定,不會更改,通過比較原始的系統調用地址和當前內核態中的系統調用地址我們就可以發現系統調用有沒有被更改。原始的系統調用地址在編譯階段被寫入兩個文件:a.System.map該文件包含所有的符號地址,系統調用也包含在內b.系統初始化時首先被讀入內存的內核映像文件vmlinux-2.4.xvmlinux-2.4.x文件通常以壓縮的格式存放在/boot目錄下,所以在比較之前必須解壓這個文件,另一個問題是:我們的比較的前提是假設system.map及vmlinuz image都沒有被入侵者更改,所以更安全的做法是在系統干凈時已經創建這兩個文件的可信任的拷貝,并創建文件的md5 hash。
原文中也列舉了一個內核模塊[gcc -c scprint.c -I/usr/src/`uname -r`/include/ ]使用該模塊打印系統調用地址,并自動寫入syslog,這樣可以進行實時的比較。
在大多數被裝載內核后門情況中,內核在系統初始化之后才被更改,更改發生在加載了rootkit的module或者被植入直接讀寫/dev/kmem的on-the-fly kernel patch之后。而通常情況下rootkit并不更改vmlinuz和system.map這兩個文件,所以打印這兩個文件中的符號地址就可以知道系統原始的系統調用地址,系統當前運行中的系統調用地址(可能被更改)可以同過/proc下的kcore文件得到,比較兩者就知道結果。
1.首先找出系統調用表地址:
[root@rh8 boot]# cat System.map-2.4.18-13 | grep sys_call_table c0302c30 D sys_call_table
2.使用nm命令可以打印出未被strip過的image文件中所有的符號地址:
[root@rh8 boot]# nm vmlinux-2.4.18-13 | grep sys_call_table
c0302c30 D sys_call_table
使用gdb可以打印出所有的系統調用入口地址,這些對應的地址在內核源代碼的entry.S文件中定義,例如:
entry 0 (0xc01261a0)是sys_ni_syscall系統調用
entry 1 (0xc011e1d0)是sys_exit系統調用
entry 2 (0xc01078a0)是sys_fork系統調用
#gdb /boot/vmlinux-2.4.*
(gdb) x/255 0xc0302c30
0xc0302c30 :0xc01261a0 0xc011e1d0 0xc01078a0 0xc013fb70
0xc0302c40 : 0xc013fcb0 0xc013f0e0 0xc013f230 0xc011e5b0
0xc0302c50 : 0xc013f180 0xc014cb10 0xc014c670 0xc0107940
0xc0302c60 : 0xc013e620 0xc011f020 0xc014bcd0 0xc013e9a0
...
我們也可以通過系統調用名打印出系統調用的地址:
(gdb) x/x sys_ni_syscall
0xc01261a0 : 0xffffdab8
((gdb) x/x sys_fork
0xc01078a0 : 0x8b10ec83
要打印出當前運行系統中的系統調用地址我們必須給gdb加兩個參數:
a.第一個參數是內核映像文件vmliux-2.4.x
b.第二個參數是/proc/kcore二進制文件
#gdb /boot/vmlinux-2.4.* /proc/kcore
(gdb) x/255x 0xc0302c30
0xc0302c30 :0xc01261a00xc011e1d00xc01078a00xc88ab11a <<--
0xc0302c40 : 0xc013fcb00xc013f0e00xc013f2300xc011e5b0
0xc0302c50 : 0xc013f1800xc014cb100xc014c6700xc0107940
0xc0302c60 : 0xc013e6200xc011f0200xc014bcd00xc013e9a0
...
我們注意到第一行最后的0xc88ab11a這個地址明顯不正常,這是系統調用號為3的系統調用,即sys_read (系統調用從0開始)
我們說它不正常的顯著標志是它的地址高于0xc8xxxxxx,Linux默認4GB線性地址,其中最高1GB0x00000000-0xffffffff為內核保留,當一個模塊被插入內核時,vmalloc函數為其分配一段地址空間,這個地址通常從0xc8800000開始...到這里已經很明顯了吧?
#p#【系統調用劫持】
劫持系統調用與上一種方法不同之處在于:它并不直接修改系統調用表中的入口地址,即指向每個系統調用的跳轉指針,而是在想要hook的系統調用之前加一段跳轉代碼,使執行流重定向到入侵者自己的內核態函數,這些被hook的系統調用前部通常有call,jmp之類的匯編指令。
要檢測這種攻擊,同樣使用gdb加vmlinux-2.4.*及/proc/kcore兩個參數,然后反匯編系統調用:
#gdb /boot/vmlinux-2.4.* /proc/kcore
(gdb) disass sys_read
Dump of assembler code for function sys_read:
0xc013fb70 : mov $0xc88ab0a6,%ecx
0xc013fb73 : jmp *%ecx <<--
0xc013fb77 : mov %esi,0x1c(%esp,1)
0xc013fb7b : mov %edi,0x20(%esp,1)
0xc013fb7f : mov $0xfffffff7,%edi
...
我們注意“mov $0xc88ab0a6,%ecx -- jmp *%ecx”這兩條指令,他跳轉到了其他的地方去執行了
然后再來看一下被hook之前的系統調用指令:
#gdb /boot/vmlinx-2.4.*
(gdb) disass sys_read
Dump of assembler code for function sys_read:
0xc013fb70 :sub $0x28,%esp
0xc013fb73 : mov 0x2c(%esp,1),%eax
0xc013fb77 : mov %esi,0x1c(%esp,1)
0xc013fb7b : mov %edi,0x20(%esp,1)
0xc013fb7f : mov $0xfffffff7,%edi
...
看到了吧,不一樣的。
【編輯推薦】
