背景
前段時(shí)間,我們的項(xiàng)目組在幫客戶解決一些操作系統(tǒng)安全領(lǐng)域的問(wèn)題�,涉及到windows����,Linux,macOS三大操作系統(tǒng)平臺(tái)�����。無(wú)論什么操作系統(tǒng),本質(zhì)上都是一個(gè)軟件���,任何軟件在一開始設(shè)計(jì)的時(shí)候,都不能百分之百的滿足人們的需求�����,所以操作系統(tǒng)也是一樣,為了盡可能的滿足人們需求����,不得不提供一些供人們定制操作系統(tǒng)的機(jī)制。當(dāng)然除了官方提供的一些機(jī)制��,也有一些黑魔法�����,這些黑魔法不被推薦使用����,但是有時(shí)候面對(duì)具體的業(yè)務(wù)場(chǎng)景����,可以作為一個(gè)參考的思路����。
Linux中常見的攔截過(guò)濾
本文著重介紹Linux平臺(tái)上常見的攔截:
- 用戶態(tài)動(dòng)態(tài)庫(kù)攔截。
- 內(nèi)核態(tài)系統(tǒng)調(diào)用攔截�����。
- 堆棧式文件系統(tǒng)攔截����。
- inline hook攔截�。
- LSM(Linux Security Modules)
動(dòng)態(tài)庫(kù)劫持
Linux上的動(dòng)態(tài)庫(kù)劫持主要是基于LD_ PRELOAD環(huán)境變量,這個(gè)環(huán)境變量的主要作用是改變動(dòng)態(tài)庫(kù)的加載順序���,讓用戶有選擇的載入不同動(dòng)態(tài)庫(kù)中的相同函數(shù)。但是使用不當(dāng)就會(huì)引起嚴(yán)重的安全問(wèn)題����,我們可以通過(guò)它在主程序和動(dòng)態(tài)連接庫(kù)中加載別的動(dòng)態(tài)函數(shù)���,這就給我們提供了一個(gè)機(jī)會(huì)����,向別人的程序注入惡意的代碼��。
假設(shè)有以下用戶名密碼驗(yàn)證的函數(shù):
#include <stdio.h>
#include <string.h>
#include <stdlib.h>
int main(int argc, char **argv)
{
char passwd[] = "password";
if (argc < 2) {
printf("Invalid argc!\n");
return;
}
if (!strcmp(passwd, argv[1])) {
printf("Correct Password!\n");
return;
}
printf("Invalid Password!\n");
}
我們?cè)賹懸欢蝖ookStrcmp的程序�,讓這個(gè)比較永遠(yuǎn)正確����。
#include <stdio.h>
int strcmp(const char *s1, const char *s2)
{
/* 永遠(yuǎn)返回0�,表示兩個(gè)字符串相等 */
return 0;
}
依次執(zhí)行以下命令,就會(huì)使我們的hook程序先執(zhí)行。
gcc -Wall -fPIC -shared -o hookStrcmp.so hookStrcmp.c
export LD_PRELOAD=”./hookStrcmp.so”
結(jié)果會(huì)發(fā)現(xiàn)��,我們自己寫的strcmp函數(shù)優(yōu)先被調(diào)用了�。這是一個(gè)最簡(jiǎn)單的劫持 �,但是如果劫持了類似于geteuid/getuid/getgid��,讓其返回0�����,就相當(dāng)于暴露了root權(quán)限�����。所以為了安全起見�,一般將LD_ PRELOAD環(huán)境變量禁用掉����。
Linux系統(tǒng)調(diào)用劫持
最近發(fā)現(xiàn)在4.4.0的內(nèi)核中有513多個(gè)系統(tǒng)調(diào)用(很多都沒(méi)用過(guò)),系統(tǒng)調(diào)用劫持的目的是改變系統(tǒng)中原有的系統(tǒng)調(diào)用����,用我們自己的程序替換原有的系統(tǒng)調(diào)用����。Linux內(nèi)核中所有的系統(tǒng)調(diào)用都是放在一個(gè)叫做sys_ call _table的內(nèi)核數(shù)組中����,數(shù)組的值就表示這個(gè)系統(tǒng)調(diào)用服務(wù)程序的入口地址�����。整個(gè)系統(tǒng)調(diào)用的流程如下:
當(dāng)用戶態(tài)發(fā)起一個(gè)系統(tǒng)調(diào)用時(shí),會(huì)通過(guò)80軟中斷進(jìn)入到syscall hander,進(jìn)而進(jìn)入全局的系統(tǒng)調(diào)用表sys_ call _table去查找具體的系統(tǒng)調(diào)用���,那么如果我們將這個(gè)數(shù)組中的地址改成我們自己的程序地址����,就可以實(shí)現(xiàn)系統(tǒng)調(diào)用劫持。但是內(nèi)核為了安全����,對(duì)這種操作做了一些限制:
- sys_ call _table的符號(hào)沒(méi)有導(dǎo)出���,不能直接獲取。
- sys_ call _table所在的內(nèi)存頁(yè)是只讀屬性的,無(wú)法直接進(jìn)行修改�����。
對(duì)于以上兩個(gè)問(wèn)題�,解決方案如下(方法不止一種):
- 獲取sys call table的地址 :grep sys _ call _table /boot/System.map-uname -r
- 控制頁(yè)表只讀屬性是由CR0寄存器的WP位控制的�����,只要將這個(gè)位清零就可以對(duì)只讀頁(yè)表進(jìn)行修改��。
/* make the page writable */
int make_rw(unsigned long address)
{
unsigned int level;
pte_t *pte = lookup_address(address, &level);//查找虛擬地址所在的頁(yè)表地址
pte->pte |= _PAGE_RW;//設(shè)置頁(yè)表讀寫屬性
return 0;
}
/* make the page write protected */
int make_ro(unsigned long address)
{
unsigned int level;
pte_t *pte = lookup_address(address, &level);
pte->pte &= ~_PAGE_RW;//設(shè)置只讀屬性
return 0;
}
開始替換系統(tǒng)調(diào)用
本文實(shí)現(xiàn)的是對(duì) ls這個(gè)命令對(duì)應(yīng)的系統(tǒng)調(diào)用�����,系統(tǒng)調(diào)用號(hào)是 _ NR _getdents�。
static int syscall_init_module(void)
{
orig_getdents = sys_call_table[__NR_getdents];
make_rw((unsigned long)sys_call_table); //修改頁(yè)屬性
sys_call_table[__NR_getdents] = (unsigned long *)hacked_getdents; //設(shè)置新的系統(tǒng)調(diào)用地址
make_ro((unsigned long)sys_call_table);
return 0;
}
恢復(fù)原狀
static void syscall_cleanup_module(void)
{
printk(KERN_ALERT "Module syscall unloaded.\n");
make_rw((unsigned long)sys_call_table);
sys_call_table[__NR_getdents] = (unsigned long *)orig_getdents;
make_ro((unsigned long)sys_call_table);
}
使用Makefile編譯,insmod插入內(nèi)核模塊后����,再執(zhí)行l(wèi)s時(shí)�����,就會(huì)進(jìn)入到我們的系統(tǒng)調(diào)用���,我們可以在hook代碼中刪掉某些文件,ls就不會(huì)顯示這些文件��,但是這些文件還是存在的���。
堆棧式文件系統(tǒng)
Linux通過(guò)vfs虛擬文件系統(tǒng)來(lái)統(tǒng)一抽象具體的磁盤文件系統(tǒng)���,從上到下的IO棧形成了一個(gè)堆棧式。通過(guò)對(duì)內(nèi)核源碼的分析�,以一次讀操作為例,從上到下所執(zhí)行的流程如下:
內(nèi)核中采用了很多c語(yǔ)言形式的面向?qū)ο?����,也就是函?shù)指針的形式��,例如read是vfs提供用戶的接口�����,具體底下調(diào)用的是ext2的read操作�����。我們只要實(shí)現(xiàn)VFS提供的各種接口�,就可以實(shí)現(xiàn)一個(gè)堆棧式文件系統(tǒng)。Linux內(nèi)核中已經(jīng)集成了一些堆棧式文件系統(tǒng)��,例如Ubuntu在安裝時(shí)會(huì)提醒你是否需要加密home目錄�,其實(shí)就是一個(gè)堆棧式的加密文件系統(tǒng)(eCryptfs),原理如下:
實(shí)現(xiàn)了一個(gè)堆棧式文件系統(tǒng)����,相當(dāng)于所有的讀寫操作都會(huì)進(jìn)入到我們的文件系統(tǒng)�,可以拿到所有的數(shù)據(jù),就可以進(jìn)行做一些攔截過(guò)濾��。
以下是我實(shí)現(xiàn)的一個(gè)最簡(jiǎn)單的堆棧式文件系統(tǒng)�,實(shí)現(xiàn)了最簡(jiǎn)單的打開、讀寫文件���,麻雀雖小但五臟俱全���。
https://github.com/wangzhangjun/wzjfs
inline hook
我們知道內(nèi)核中的函數(shù)不可能把所有功能都在這個(gè)函數(shù)中全部實(shí)現(xiàn)��,它必定要調(diào)用它的下層函數(shù)�。如果這個(gè)下層函數(shù)可以得到我們想要的過(guò)濾信息內(nèi)容,就可以把下層函數(shù)在上層函數(shù)中的offset替換成新的函數(shù)的offset���,這樣上層函數(shù)調(diào)用下層函數(shù)時(shí)���,就會(huì)跳到新的函數(shù)中���,在新的函數(shù)中做過(guò)濾和劫持內(nèi)容的工作��。所以從原理上來(lái)說(shuō)����,inline hook可以想hook哪里就hook哪里�。
inline hook 有兩個(gè)重要的問(wèn)題:
- 如何定位hook點(diǎn)。
- 如何注入hook函數(shù)入口��。
對(duì)于第一個(gè)問(wèn)題:
需要有一點(diǎn)的內(nèi)核源碼經(jīng)驗(yàn),比如說(shuō)對(duì)于read操作����,源碼如下:
在這里當(dāng)發(fā)起read系統(tǒng)調(diào)用后����,就會(huì)進(jìn)入到sys read,在sys read中會(huì)調(diào)用vfs read函數(shù),在vfs read的參數(shù)中正好有我們需要過(guò)濾的信息���,那么就可以把vfs_ read當(dāng)做一個(gè)hook點(diǎn)���。
對(duì)于第二個(gè)問(wèn)題:
如何Hook?這里介紹兩種方式:
第一種方式:直接進(jìn)行二進(jìn)制替換��,將call指令的操作數(shù)替換為hook函數(shù)的地址���。
第二種方式:Linux內(nèi)核提供的kprobes機(jī)制�����。
其原理是在hook點(diǎn)注入int 3(x86)的機(jī)器碼�,讓cpu運(yùn)行到這里的時(shí)候會(huì)觸發(fā)sig trap信號(hào)�����,然后將用戶自定義的hook函數(shù)注入到sig trap的回調(diào)函數(shù)中,達(dá)到觸發(fā)hook函數(shù)的目的����。這個(gè)其實(shí)也是調(diào)試器的原理。
LSM
LSM是Linux Secrity Module的簡(jiǎn)稱�,即linux安全模塊。是一種通用的Linux安全框架��,具有效率高�����,簡(jiǎn)單易用等特點(diǎn)���。原理如下:
LSM
在內(nèi)核中做了以下工作:
- 在特定的內(nèi)核數(shù)據(jù)結(jié)構(gòu)中加入安全域�。
- 在內(nèi)核源代碼中不同的關(guān)鍵點(diǎn)插入對(duì)安全鉤子函數(shù)的調(diào)用�。
- 加入一個(gè)通用的安全系統(tǒng)調(diào)用。
- 提供了函數(shù)允許內(nèi)核模塊注冊(cè)為安全模塊或者注銷�����。
- 將capabilities邏輯的大部分移植為一個(gè)可選的安全模塊,具有可擴(kuò)展性���。
適用場(chǎng)景
對(duì)于以上幾種Hook方式��,有其不同的應(yīng)用場(chǎng)景�����。
- 動(dòng)態(tài)庫(kù)劫持不太完全��,劫持的信息有可能滿足不了我們的需求��,還有可能別人在你之前劫持了��,一旦禁用LD_ PRELOAD就失效了���。
- 系統(tǒng)調(diào)用劫持,劫持的信息有可能滿足不了我們的需求�,例如不能獲取struct file結(jié)構(gòu)體,不能獲取文件的絕對(duì)路徑等�����。
- 堆棧式文件系統(tǒng)�,依賴于Mount,可能需要重啟系統(tǒng)。
- inline hook����,靈活性高�����,隨意Hook��,即時(shí)生效無(wú)需重啟��,但是在不同內(nèi)核版本之間通用性差����,一旦某些函數(shù)發(fā)生了變化���,Hook失效���。
- LSM,在早期的內(nèi)核中�,只能允許一個(gè)LSM內(nèi)核模塊加載,例如加載了SELinux��,就不能加載其他的LSM模塊��,在最新的內(nèi)核版本中不存在這個(gè)問(wèn)題。
總結(jié)
篇幅有限�����,本文只是介紹了Linux上的攔截技術(shù)����,后續(xù)有機(jī)會(huì)可以一起探討windows和macOS上的攔截技術(shù)。事實(shí)上類似的審計(jì)HOOK放到任何一個(gè)系統(tǒng)中都是剛需��,不只是kernel��,我們可以看到越來(lái)越多的vm和runtime甚至包括很多web組件��、前端應(yīng)用都提供了更靈活的hook方式�,這是透明化和實(shí)時(shí)性兩個(gè)安全大趨勢(shì)下最常見的解決方案��。
以上就是這篇文章的全部?jī)?nèi)容了���,希望本文的內(nèi)容對(duì)大家的學(xué)習(xí)或者工作具有一定的參考學(xué)習(xí)價(jià)值����,如果有疑問(wèn)大家可以留言交流�����,謝謝大家對(duì)腳本之家的支持。
