如今，云原生平臺(tái)越來(lái)越多的使用了基于eBPF的安全探測(cè)技術(shù)。這項(xiàng)技術(shù)通過(guò)創(chuàng)建安全的Hook鉤子探針來(lái)監(jiān)測(cè)內(nèi)部函數(shù)和獲取重要數(shù)據(jù)，從而支持對(duì)應(yīng)用程序的運(yùn)行時(shí)做監(jiān)測(cè)和分析。Tracee是用于Linux的運(yùn)行時(shí)安全和取證的開源項(xiàng)目，它基于eBPF實(shí)現(xiàn)，所以在安全監(jiān)測(cè)方面效果更加優(yōu)化。

在本文中，我們將探索控制eBPF事件的方法，并研究一個(gè)使用BPF事件捕獲rootkit的案例。Rootkit是一種存在于內(nèi)核中復(fù)雜類型的惡意漏洞攻擊，并將介紹Tracee用于檢測(cè)Syscall 鉤子的新特性，它實(shí)現(xiàn)了在內(nèi)核中使用eBPF事件的獨(dú)特方式。

eBPF: 不只是用來(lái)跟蹤

eBPF是一種Linux內(nèi)核技術(shù)，它允許在不更改內(nèi)核源代碼或添加新模塊的前提下，在Linux內(nèi)核中運(yùn)行沙盒程序。因此，eBPF可以支持安全的Hook到事件上，而不會(huì)造成內(nèi)核崩潰的風(fēng)險(xiǎn)。

具體來(lái)說(shuō)，eBPF程序使用內(nèi)核機(jī)制(如kprobes、kretprobes、Linux安全模塊(LSM) Hooks、uprobes和traceponits)來(lái)創(chuàng)建和設(shè)置鉤子，并加以驗(yàn)證代碼不會(huì)使內(nèi)核崩潰。eBPF有一個(gè)Verifier驗(yàn)證器，其目標(biāo)是確保eBPF程序安全運(yùn)行(而不是通過(guò)加載內(nèi)核模塊來(lái)與內(nèi)核交互，如果操作不當(dāng)，會(huì)導(dǎo)致系統(tǒng)崩潰)。

攻擊者為何喜歡Hook內(nèi)核函數(shù)？

目前使用rootkit的復(fù)雜攻擊往往是針對(duì)內(nèi)核空間，這是因?yàn)楣粽咴噲D避免被安全防御方案，以及監(jiān)控用戶空間事件或分析基本系統(tǒng)日志的取證工具檢所測(cè)到。此外，在內(nèi)核空間中嵌入惡意軟件也會(huì)使得安全研究員和響應(yīng)團(tuán)隊(duì)更難找到它。惡意軟件越接近于底層，檢測(cè)起來(lái)就越困難。

下面，我們將看看TNT團(tuán)隊(duì)的例子，并查看他們是如何利用Diamorphine 這個(gè)rootkit，以及Tracee如何檢測(cè)到它。

內(nèi)核中的函數(shù)操作

攻擊者為了自身利益最大化，會(huì)尋找內(nèi)核級(jí)別的目標(biāo)函數(shù)。常用的一種方法是函數(shù)鉤子，旨在通過(guò)操縱內(nèi)核中的函數(shù)來(lái)隱藏惡意活動(dòng)。這樣做的原因是內(nèi)核函數(shù)執(zhí)行的是來(lái)自用戶空間的任務(wù)。如果它們被破壞，攻擊者即可控制所有用戶空間程序的行為。

當(dāng)攻擊者試圖Hook系統(tǒng)調(diào)用(syscall)函數(shù)時(shí)，這就是函數(shù)鉤子的一個(gè)很好示例。這些高級(jí)內(nèi)核函數(shù)用于執(zhí)行來(lái)自用戶空間的任務(wù)，Hook住它們主要目的是隱藏惡意行為。例如，攻擊者將getdents系統(tǒng)調(diào)用Hook起來(lái)，以隱藏用于列出文件命令(如ps、top和ls)的惡意文件和進(jìn)程。

通常，通過(guò)讀取系統(tǒng)調(diào)用表并獲取系統(tǒng)調(diào)用函數(shù)的地址來(lái)Hook他們。一旦獲得系統(tǒng)調(diào)用函數(shù)地址，攻擊者將保存原始地址，并試圖用包含惡意代碼的新函數(shù)覆蓋它。

攻擊者如何Hook內(nèi)核函數(shù)？

現(xiàn)在，讓我們研究一下攻擊者如何在真實(shí)環(huán)境下的網(wǎng)絡(luò)攻擊中劫持內(nèi)核函數(shù)。

為了Hook內(nèi)核函數(shù)，必須首先獲得想要鉤住的對(duì)象訪問(wèn)權(quán)。例如，它可以是保存所有系統(tǒng)調(diào)用函數(shù)地址的系統(tǒng)調(diào)用表。然后，保存函數(shù)的原始地址并覆蓋它。在某些情況下，由于當(dāng)前位置的內(nèi)存權(quán)限，還需要獲取CPU中控制寄存器的權(quán)限。

接下來(lái)是TNT團(tuán)隊(duì)使用Diamorphine隱藏加密的活動(dòng)，這作為他們攻擊的一部分可以很好的解釋這樣的方法:

使用內(nèi)存邊界技術(shù)檢測(cè)Syscall鉤子

現(xiàn)在我們已經(jīng)確定了攻擊者的動(dòng)機(jī)以及他們?nèi)绾涡薷膬?nèi)核行為，問(wèn)題是，我們?cè)撊绾螜z測(cè)這種活動(dòng)? 明確的目標(biāo)是找到一種方法，以區(qū)分內(nèi)核中的原始內(nèi)部函數(shù)(或與核心內(nèi)核關(guān)聯(lián)的syscall)和新的內(nèi)核模塊代碼(或換句話說(shuō)，被攻擊后的函數(shù))。

我們可以通過(guò)內(nèi)核的core_text邊界檢測(cè)來(lái)實(shí)現(xiàn)這一點(diǎn)。內(nèi)核中的內(nèi)存被分為幾個(gè)部分。其中一個(gè)是core_text段，它保存內(nèi)核中的原始函數(shù)。此部分注冊(cè)在特定的內(nèi)存映射區(qū)域中，該區(qū)域不受更改或操作的影響。此外，如果我們加載一個(gè)新的內(nèi)核模塊--也就是說(shuō)，編寫一個(gè)新函數(shù)或覆蓋原始函數(shù)——這個(gè)新函數(shù)將寫入另一個(gè)專門為新函數(shù)保留的內(nèi)存區(qū)域。可以在下面的虛擬內(nèi)存映射中看到這一點(diǎn)。注意，分配給原始內(nèi)核代碼的地址范圍(文本部分，又名“核心內(nèi)核文本”)和分配給新內(nèi)核模塊的地址范圍是不同的。

因此，當(dāng)前的目標(biāo)是獲取一個(gè)系統(tǒng)調(diào)用地址，然后將其與內(nèi)核core_text邊界進(jìn)行比較，正如我們所看到的，core_text邊界表示原始內(nèi)核源的范圍。

使用Tracee檢測(cè)Syscall鉤子

現(xiàn)在，我們已經(jīng)了解了惡意軟件如何以及為什么以內(nèi)核函數(shù)為目標(biāo)，以及如何檢測(cè)被鉤住的內(nèi)核函數(shù)，接下需要知道如何使用eBPF來(lái)提取函數(shù)的地址。使用Tracee可以確定函數(shù)是否被鉤住，即使鉤子是在Tracee執(zhí)行之前放置的。

首先創(chuàng)建一個(gè)在用戶空間中觸發(fā)的BPF程序，并在內(nèi)核空間中捕獲相應(yīng)BPF事件。如果內(nèi)核程序需要來(lái)自用戶空間的信息，可以通過(guò)BPF映射來(lái)進(jìn)行傳遞。

例如在Tracee中創(chuàng)建一個(gè)事件，該事件將從系統(tǒng)調(diào)用表中獲取系統(tǒng)調(diào)用地址，接下來(lái)確認(rèn)系統(tǒng)調(diào)用是否被內(nèi)核模塊鉤住了。如果它被鉤住了，繼續(xù)將創(chuàng)建一個(gè)派生事件(由內(nèi)核另一個(gè)事件而創(chuàng)建的事件)，它將提示系統(tǒng)調(diào)用鉤住的情況，如下:

先使用libbpfgo的helper來(lái)獲取系統(tǒng)調(diào)用表地址，并將其添加到事件內(nèi)核符號(hào)依賴項(xiàng)中。

注意，detect_hooked_sycalls事件是派生事件。這意味著在我們接收到系統(tǒng)調(diào)用的地址并檢查它們之后，我們將創(chuàng)建一個(gè)新的detect_hooked_sycalls事件。

然后，我們將它與系統(tǒng)調(diào)用號(hào)一起傳遞，以便使用BPFMap檢查內(nèi)核空間。

為了檢查內(nèi)核空間中的那些系統(tǒng)調(diào)用，基于security_file_ioctl上的kprobe創(chuàng)建一個(gè)事件，它是ioctl系統(tǒng)調(diào)用的一個(gè)內(nèi)部函數(shù)。這樣我們就可以通過(guò)使用用戶空間的特定參數(shù)觸發(fā)系統(tǒng)調(diào)用來(lái)控制程序流，接下來(lái)用一個(gè)特定的命令觸發(fā)ioctl:

此時(shí)，在內(nèi)核空間中開始檢查ioctl命令是否相同，以及調(diào)用該系統(tǒng)調(diào)用的進(jìn)程是否為Tracee。這樣就可以驗(yàn)證只有當(dāng)用戶要求Tracee檢查時(shí)才會(huì)發(fā)生檢測(cè)的需求。

檢測(cè)代碼很簡(jiǎn)單，遍歷系統(tǒng)調(diào)用映射，通過(guò)使用READ_KERN()來(lái)獲取系統(tǒng)調(diào)用表的地址如下:

然后在用戶空間中，我們將這些地址與libbpfgo helpers進(jìn)行比較:

狩獵時(shí)間: 用eBPF檢測(cè)Diamorphine rootkit

現(xiàn)在，開始運(yùn)行Tracee，來(lái)看看它將如何檢測(cè)出Diamorphine rootkit。

使用insmod函數(shù)加載Diamorphine (.ko)的內(nèi)核對(duì)象文件。目標(biāo)是看看Tracee的探測(cè)結(jié)果。通常，在加載一個(gè)內(nèi)核模塊的情況下啟動(dòng)Tracee，如果選擇了detect_hooked_sycall事件，Tracee將發(fā)送一個(gè)hooked_sycalls事件，以確保系統(tǒng)沒(méi)有被破壞:

Tracee檢測(cè)到getdents和getdents64這些掛起的系統(tǒng)調(diào)用。TNT團(tuán)隊(duì)使用它們來(lái)隱藏大量加密活動(dòng)導(dǎo)致的CPU負(fù)載過(guò)高，以及通常用于從用戶空間發(fā)送命令來(lái)殺死進(jìn)程的kill函數(shù)。在這種情況下，rootkit使用kill -63作為用戶空間和內(nèi)核空間之間的通信通道。同樣，如果再次運(yùn)行Diamorphine和Tracee使用json輸出，參數(shù)將顯示Diamorphine的惡意鉤子:

如果運(yùn)行Tracee-rules，我們可以看到detect_hooked_sycall事件的新簽名:

結(jié)論

現(xiàn)代攻擊者的目標(biāo)是包括內(nèi)核層的操作系統(tǒng)各個(gè)層級(jí)，此外，由于開源項(xiàng)目(如Diamorphine)的流行，攻擊性網(wǎng)絡(luò)工具變得越來(lái)越容易獲得。因此，安全研究員需要提高自身的防御能力知識(shí)，開發(fā)出合適的檢測(cè)方法。

審核編輯：劉清