Linux Kernel運行時安全檢測之LKRG-原理篇
一、背景介紹
雖然經(jīng)常更新內(nèi)核版本通常被認(rèn)為是一種安全最佳實踐,但由于各種原因,尤其是生產(chǎn)環(huán)境中的服務(wù)器無法這樣操作。這就意味著在機(jī)器運行時,會存在利用已知的漏洞(當(dāng)然,還會有一些未知的漏洞)來進(jìn)行攻擊的情況,所以需要某種方法來檢測和阻止對這些漏洞的利用,這正是Linux Kernel Runtime Guard(Linux內(nèi)核運行時保護(hù)LKRG)誕生目的所在。?
LKRG出自O(shè)penwall項目,該項目因其安全性增強(qiáng)的Linux發(fā)行版而聞名。Openwall的創(chuàng)始人亞歷山大·佩斯利亞克(Alexander Peslyak),在安全領(lǐng)域也很極為出名。他在當(dāng)年1月底宣布LKRG是“我們有史以來最具爭議的項目”。發(fā)布的0.0版本“相當(dāng)草率”,Peslyak在LKRG 0.1發(fā)布公告中說;首席開發(fā)者Adam“pi3”Zabrocki根據(jù)10天的反饋整理內(nèi)容并添加了一些新功能。?
LKRG在Linux內(nèi)核運行時對完整性進(jìn)行檢查,并檢測內(nèi)核的安全漏洞。LKRG是一個內(nèi)核模塊(不是內(nèi)核補(bǔ)丁),所以它可以針對各種主線和發(fā)行版內(nèi)核進(jìn)行構(gòu)建和加載,而不需要打補(bǔ)丁。目前支持的內(nèi)核版本已更新至5.19,并支持x86-64、32位x86、AArch64 (ARM64)和32位ARM這幾類的CPU架構(gòu)。?
二、LKRG技術(shù)原理分析
LKRG對正在運行的Linux內(nèi)核進(jìn)行檢測,并希望能夠及時響應(yīng)對正在運行的進(jìn)程用戶id等憑證未經(jīng)授權(quán)的修改(完整性檢查)。對于進(jìn)程憑據(jù),LKRG嘗試檢測漏洞,并在內(nèi)核根據(jù)未經(jīng)授權(quán)的憑據(jù)授予訪問權(quán)限(例如打開文件)之前采取行動。Juho Junnila的論文題為“Linux Rootkit檢測工具的有效性”,顯示了LKRG可以作為有效的內(nèi)核Rootkit檢測器。LKRG挫敗了許多預(yù)先存在的Linux內(nèi)核漏洞的利用,并且很可能會檢測并防御許多未來沒有特意試圖繞過LKRG的利用(包括未知的漏洞)。雖然LKRG在設(shè)計上是可以繞過的,但這種繞過需要更復(fù)雜和/或更不可靠的漏洞。?
就其核心而言,LKRG是一個可加載的內(nèi)核模塊,它試圖檢測正在運行的內(nèi)核是否存在更改情況,以表明正在對其使用某種類型的漏洞利用。除此之外,它還可以檢查系統(tǒng)上運行的進(jìn)程,以查找對各種憑證的未經(jīng)授權(quán)修改,以防止這些更改授予額外的訪問權(quán)限,這是exploit試圖做的事情。
三、LKRG流程
為了跟蹤正在運行的內(nèi)核,LKRG創(chuàng)建了一個數(shù)據(jù)庫,其中包含關(guān)于系統(tǒng)及其上運行的內(nèi)核的各種類型信息的散列。它跟蹤系統(tǒng)中可用的和活動的cpu,以及它們的中斷描述符表(idt)和特定于模型的寄存器(MSRs)的位置和內(nèi)容。由于插入(或從系統(tǒng)中拔出)的cpu數(shù)量的變化,內(nèi)核可能會修改自己,所以LKRG必須準(zhǔn)備好根據(jù)這些事件重新計算一些哈希值。
LKRG除了跟蹤內(nèi)核.text、.rodata和異常向量表之外,也會跟蹤每個加載的內(nèi)核模塊,包括它的struct模塊指針、名稱、.text的大小和哈希值等信息,以及模塊特定的信息。為了檢測修改,需要定期驗證存儲的值。這是通過許多機(jī)制實現(xiàn)的:
- 首先是定時檢查計時器,檢測周期可以通過sysctl接口設(shè)置;
- 當(dāng)檢測到模塊加載或cpu熱插拔活動,并且可以通過另一個sysctl手動觸發(fā)時,它也會運行該檢查;
- 系統(tǒng)中的其他事件(例如CPU空閑、網(wǎng)絡(luò)活動、USB更改等)將觸發(fā)驗證,盡管只有一定百分比的時間來降低性能影響。例如,CPU空閑將觸發(fā)0.005%的時間驗證,而USB更改將觸發(fā)50%的時間驗證;
所有這些都是為了保護(hù)運行時內(nèi)核本身的完整性,但漏洞利用通常會針對系統(tǒng)上運行的進(jìn)程,以提高特權(quán)等,這些信息保存在內(nèi)核的內(nèi)存中。因此LKRG還會跟蹤每個進(jìn)程的一系列不同屬性,并維護(hù)自己的任務(wù)列表,用于驗證內(nèi)核的列表。如果兩個進(jìn)程發(fā)生分歧,則終止受影響的進(jìn)程,目的是在被漏洞利用差異之前進(jìn)行防御。?
LKRG跟蹤的目標(biāo)包括task屬性,如task_struct的地址、進(jìn)程名稱和ID、cred和real_cred憑據(jù)結(jié)構(gòu)的地址、與之關(guān)聯(lián)的各種用戶和組ID、SELinux設(shè)置以及seccomp配置。所有這些信息在每次系統(tǒng)調(diào)用(例如setuid(), execve())或系統(tǒng)中發(fā)生其他事件(例如,在打開文件之前檢查權(quán)限)時被驗證。此外,每次運行內(nèi)核驗證時都要執(zhí)行進(jìn)程列表驗證。每次都要驗證所有進(jìn)程,而不僅僅是進(jìn)行系統(tǒng)調(diào)用的進(jìn)程,任何差異都會導(dǎo)致終止有差異的進(jìn)程。
LKRG測試了一些已知內(nèi)核漏洞 (如CVE-2014-9322, CVE-2017-6074),性能的影響約為6.5%。
四、LKRG防御種類
非法提權(quán)(Illegal Elevation of Privileges)?
- Token / pointer swapping
- 非法調(diào)用comit_creds()
- 覆寫cred/read_cred結(jié)構(gòu)體
沙箱逃逸?
- Namespace逃逸
- 容器逃逸
異常修改CPU狀態(tài)
異常修改內(nèi)核的.text和.rodata段
五、繞過LKRG防御
為了說明LKRG的漏洞檢測能力,在對發(fā)行版內(nèi)核的測試中,LKRG成功檢測到CVE-2014-9322 (badret)、CVE-2017-5123 (waitid(2) missing access_ok)、CVE-2017-6074(在DCCP協(xié)議中使用后free)的某些預(yù)先存在的漏洞。?
但是,它無法檢測到CVE-2016-5195 (Dirty COW)的漏洞,因為這些漏洞直接針對用戶空間,即使是通過內(nèi)核來進(jìn)行操作。在Dirty COW中,LKRG的“繞過”是由于漏洞的性質(zhì)和利用它的方式,這也是未來利用類似的直接針對用戶空間繞過LKRG的一種方式。
從檢測端避開LKRG:
- 覆蓋LKRG不保護(hù)的關(guān)鍵元數(shù)據(jù)
- 將攻擊移動到用戶空間
- 贏得競態(tài)
從正面攻擊LKRG角度:?
- 攻擊LKRG內(nèi)部的同步機(jī)制和鎖機(jī)制
- 找到LKRG所有的上下文并禁用它們
- 通過內(nèi)核直接攻擊用戶空間(如DirtyCOW)
六、增強(qiáng)LKRG防御
計算關(guān)鍵metadata的哈希值
保護(hù)范圍:?
- 發(fā)送到所有CPU中的核心數(shù)據(jù)IPI (Inter-Processor-Interrupt),并獨占地運行LKRG的保護(hù)功能(IDT/MSR/CRx/等)
- Linux內(nèi)核.text部分
- Linux內(nèi)核.rodata部分
- Linux內(nèi)核的異常向量表
- 關(guān)鍵的系統(tǒng)全局變量,如SMEP和SMAP
- 所有動態(tài)加載的模塊及其在內(nèi)部結(jié)構(gòu)中的順序;
- 如有IOMMU,也可對其防護(hù)
pCFI機(jī)制?
- 檢測ROP
- 檢測棧遷移
- 非.text數(shù)據(jù)的利用
- 動態(tài)生成可執(zhí)行page的利用
通過sysctl動態(tài)配置LKRG
root@ubuntu:~/lkrg# sysctl -a|grep lkrg
lkrg.block_modules = 0
lkrg.heartbeat = 0
lkrg.hide = 0
lkrg.interval = 15
lkrg.kint_enforce = 2
lkrg.kint_validate = 3
lkrg.log_level = 3
lkrg.msr_validate = 1
lkrg.pcfi_enforce = 1
lkrg.pcfi_validate= 2
lkrg.pint_enforce = 1
lkrg.pint_validate= 3
lkrg.profile_enforce = 2
lkrg.profile_validate = 9
lkrg.smap_enforce = 2
lkrg.smap_validate= 1
lkrg.smep_enforce = 2
lkrg.smep_validate = 1
lkrg.trigger = 0
lkrg.umh_enforce = 1
lkrg.umh_validate = 1
七、結(jié)論
從以上LKRG原理的角度來分析,對于需要仔細(xì)考慮內(nèi)核的威脅模型以及具體需求的個人或公司來說,LKRG的功能是有價值的。所以可以作為系統(tǒng)級別縱深防御策略中的另一道防線,而不是“一招勝天”的靈丹妙藥。我們知道,內(nèi)核中充滿了各種類型的自修改代碼,從跟蹤點和其他調(diào)試特性到各種優(yōu)化,因此保護(hù)運行時的內(nèi)核完整性并不是一項簡單的任務(wù)。
作者簡介:
許慶偉:龍蜥社區(qū)eBPF技術(shù)探索SIG組 Maintainer & Linux Kernel Security Researcher
