针对Linux内核提权攻击防御方法的研究.docVIP

PAGE PAGE 1 针对Linux内核提权攻击防御方法的研究 　　摘要：本文提出了一种基于IntelSMEP的轻量级的内核控制流完整性防御方法，以防御exploit-db中常见的内核提权攻击。该方案通过分离内核钩子函数的解引用和验证操作，在解引用处记录钩子函数，在敏感函数内验证钩子函数是否合法，防止恶意进程利用内核代码漏洞，修改全局函数钩子，导致内核中的敏感代码被恶意执行。 　　关键词：Linux内核SMEP提权攻击 　　中图分类号：TP393文献标识码：A文章编号：1007-9416（2013）04-0210-02 　　1引言 　　在现有的针对Linux内核的攻击中，提权攻击无疑是造成危害最严重的一种。提权攻击是指攻击者利用代码漏洞，将进程权限从非root状态提升到root状态的过程。这类漏洞可能存在于各种服务器软件中，也可能存在于内核代码本身。本文旨在研究一种保护方式，以动态防御针对内核本身漏洞的提权攻击。本文的工作主要在两个方面：第一，总结了exploit-db[1]中针对Linux内核的攻击手段，提出一种常见的攻击模式，即利用内核代码漏洞攻击内核堆上的静态函数钩子，进而进行提权操作；第二，提出了一种实用的针对这种攻击模式的防御手段，即分离钩子函数的解引用和验证操作，以较低的性能开销保证内核中的敏感函数不被恶意篡改的钩子函数调用。 　　2现有的攻击和防御手段 　　2.1现有的攻击手段 　　现有的针对Linux内核的权限提升攻击，通常利用内核代码漏洞，篡改内核函数钩子，使其指向内核中的敏感函数。在exploit-db中，我们找到了以下这类攻击的几个例子：（1）CVE-2011-1495，内核_ctl_do_mpt_command函数中，调用copy_from_user时未检查数据的长度，导致内核堆缓冲区溢出和钩子覆盖问题。（2）CVE-2011-1169，内核asihpi_hpi_ioctl函数中，对数组赋值时没有检查偏移值是否合法，可能导致钩子被覆盖。（3）CVE-2011-1017，内核中ldm_frag_add函数调用memcpy时未检查数据长度，可能导致堆缓冲区溢出和钩子被覆盖。（4）CVE-2011-1016，RadeonGPU驱动程序中缺少对寄存器值的检查，可能导致模块相关的内存被改写。（5）CVE-2010-4656，iowarrior_write函数没有正确分配内存，可能导致缓冲区溢出，从而覆盖钩子函数的值。（6）CVE-2010-3904，RDS协议在使用_copy_*_user_inatomic宏时，对参数指针检查不足，可能导致内核数据段上的钩子函数被修改。 　　由此可以看到，Linux内核代码的漏洞会引发内核控制流被改变，恶意用户可以将控制流引导至用户态代码，或直接调用内核的敏感函数，获得更高权限，进行进一步攻击。本文主要讨论如何保护由内核代码漏洞引发的堆内存上指针篡改导致的权限提升攻击。 　　2.2现有防御手段 　　2.2.1基于硬件的防御手段 　　现有的基于硬件的防御手段主要有两类，第一类不需要引入虚拟机监控器，第二类需要在硬件虚拟化的条件下引入虚拟机监控器。第一类机制由IntelCPU提供，即SMEP[2]和SMAP[3]机制。SMEP机制用于防止运行在0环的进程执行3环内存中的代码，而SMAP机制用于防止运行在0环的进程访问3环内存中的数据。在SMEP机制的保护下，即使攻击者修改内核函数钩子，也只能将其指向内核代码本身。而在保证内核代码本身安全的前提下，攻击者很难通过这样的方式进行复杂的功能操作如访问磁盘文件等。第二类机制典型的工作如SecVisor[4]，它通过在操作系统中引入虚拟机监控器来保证内核的控制流完整，它可以确保内核代码段不被修改，并且只有经过用户认证的代码才能被0环运行。但是，同样的，恶意用户可以通过修改内核数据段上的函数钩子，使其指向内核本身的代码段，或是通过ROP[5]攻击劫持内核控制流。由于引入了虚拟机监控器（VMM），相比于直接在物理硬件上运行的Linux系统，SecVisor的性能开销为前者的20倍以上。针对内核ROP攻击，BaozengDing[6]等人提出了一种防御手段。Hooksafe[7]通过将分散在内核中的钩子放入不可写的内存页中，使用监控器监控所有写操作，也达到保护内核钩子的效果，其性能在使用了Xen（通常会带来20%-40%的性能下降）的基础上另外带来了6%的性能下降。 　　2.2.2基于软件的防御手段 　　基于软件的防御手段，通常会修改内核源代码或二进制代码，在其中加入相关的保护机制。PaX是一个Linux内核上成熟的产品，它以补丁的形式修改内核，给内存页表添加保护位，将代码段内存标记为不可写，数据段标记为不可执行，防止内核执行用户态恶意注入