★Linux下用gdb檢測內核rootkit
+---------------------------------+
| 譯/ayazero www.ph4nt0m.org |
| Contact:zhaoyan@nsfocus.com |
| Date:2004/11/23 |
+---------------------------------+
英文原文:
http://www.securityfocus.com/infocus/1811
本文涉及的技術原理都不是新的,對研究人員沒什麼特別大的價值,
不過對工程人員應急相應來說不失為一種新的方法.
【理解攻擊向量】
前面兩段廢話直接掠過...實在浪費感情-_-!
內核rookit通常以系統調用為攻擊目標,主要出於兩個原因:
a.在內核態劫持系統調用能以較小的代價控制整個系統,不必修太多東西;
b.應用層大多數函數是一個或多個系統調用不同形式的封裝,更改系統調用意味著其上層所有的
函數都會被欺騙;
在kernel-2.4.27中大約有230多個系統調用,而kernel-2.6.9中大約有290多個系統調用,系統調
用的個數取決於內核版本.完整的系統調用列表可以在 /usr/include/asm/unistd.h頭文件中獲得.
另外需要注意的是入侵者並不更改所有的系統調用,而只是替換其中一些比較有用的.這些系統調用
如表一所示,他們可以被系統管理員及入侵檢測系統(OS kernel級IDS)監視,可以用man命令得到
每個系統調用的完整描述。
System call name Short description ID
-------------------------------------------------------------------------------------------
sys_read used for reading from files 3
sys_write used for writing to files 4
sys_open used to create or open files 5
sys_getdents/sys_getdents64 used to list a content of directories(also /proc) 141/220
sys_socketcall used for managing sockets 102
sys_query_module used for querying loaded modules 167
sys_setuid/sys_getuid used for managing UIDs 23/24
sys_execve used for executing binary files 11
sys_chdir used to change the directory 12
sys_fork/sys_clone used to create a child process 2/120
sys_ioctl used to control devices 54
sys_kill used to send signal to processes 37
我們注意上表的系統調用號,這些ID都是針對kernel-2.4.18-3的。
本文所有的例子都在Redhat7.3 kernel-2.4.18-3上通過測試,我們也可以在其他版本包括最新的2.6.x上
用相似的步驟研究,不同之處可能在於2.6的一些內部結構,比如系統調用表的地址原來內含在系統調用
處理常式system_call中,現在改成在syscall_call函數中。
【更改系統調用表】
當前的系統調用地址保存在系統調用表中,位於操作系統為內核保留的內存空間(虛擬地址最高1GB),系統
調用入口地址的存放順序同/usr/include/asm/unistd.h中的排列順序,按系統調用號遞增。
-_-!鑒於原文廢話很多,我就跳著翻譯或者概括起來翻譯,有興趣的可以找本Linux內核的書看看(e.g:ULK2)
在0x80軟中斷髮生之前,對應的系統調用號被壓入eax寄存器,例如sys_write被調用時,其對應的系統調用
ID:4會被壓入eax
入侵者使用的第一種方法是:更改系統調用表中的系統調用地址,這樣系統調用發生時會跳轉到攻擊者自己
編寫的函數去執行。通過觀察系統調用表中的系統調用入口地址,使用gdb我們可以比較容易檢測到這種攻
擊行為。
原始的系統調用地址在內核編譯階段被指定,不會更改,通過比較原始的系統調用地址和當前內核態中的系統
調用地址我們就可以發現系統調用有沒有被更改。原始的系統調用地址在編譯階段被寫入兩個文件:
a.System.map該文件包含所有的符號地址,系統調用也包含在內
b.系統初始化時首先被讀入內存的內核映像文件vmlinux-2.4.x
vmlinux-2.4.x文件通常以壓縮的格式存放在/boot目錄下,所以在比較之前必須解壓這個文件,另一個問題是:
我們的比較的前提是假設system.map及vmlinuz image都沒有被入侵者更改,所以更安全的做法是在系統乾淨
時已經創建這兩個文件的可信任的拷貝,並創建文件的md5 hash。
原文中也列舉了一個內核模塊[gcc -c scprint.c -I/usr/src/`uname -r`/include/ ]使用該模塊列印系統
調用地址,並自動寫入syslog,這樣可以進行實時的比較。
在大多數被裝載內核後門情況中,內核在系統初始化之後才被更改,更改發生在載入了rootkit的module或者被
植入直接讀寫/dev/kmem的on-the-fly kernel patch之後。而通常情況下rootkit並不更改vmlinuz和system.map
這兩個文件,所以列印這兩個文件中的符號地址就可以知道系統原始的系統調用地址,系統當前運行中的系統
調用地址(可能被更改)可以同過/proc下的kcore文件得到,比較兩者就知道結果。
1.首先找出系統調用表地址:
[root@rh8 boot]# cat System.map-2.4.18-13 | grep sys_call_table c0302c30 D sys_call_table
2.使用nm命令可以列印出未被strip過的image文件中所有的符號地址:
[root@rh8 boot]# nm vmlinux-2.4.18-13 | grep sys_call_table
c0302c30 D sys_call_table
使用gdb可以列印出所有的系統調用入口地址,這些對應的地址在內核源代碼的entry.S文件中定義,例如:
entry 0 (0xc01261a0)是sys_ni_syscall系統調用
entry 1 (0xc011e1d0)是sys_exit系統調用
entry 2 (0xc01078a0)是sys_fork系統調用
#gdb /boot/vmlinux-2.4.*
(gdb) x/255 0xc0302c30
0xc0302c30 : 0xc01261a0 0xc011e1d0 0xc01078a0 0xc013fb70
0xc0302c40 : 0xc013fcb0 0xc013f0e0 0xc013f230 0xc011e5b0
0xc0302c50 : 0xc013f180 0xc014cb10 0xc014c670 0xc0107940
0xc0302c60 : 0xc013e620 0xc011f020 0xc014bcd0 0xc013e9a0
...
我們也可以通過系統調用名列印出系統調用的地址:
(gdb) x/x sys_ni_syscall
0xc01261a0 : 0xffffdab8
((gdb) x/x sys_fork
0xc01078a0 : 0x8b10ec83
要列印出當前運行系統中的系統調用地址我們必須給gdb加兩個參數:
a.第一個參數是內核映像文件vmliux-2.4.x
b.第二個參數是/proc/kcore二進位文件
#gdb /boot/vmlinux-2.4.* /proc/kcore
(gdb) x/255x 0xc0302c30
0xc0302c30 : 0xc01261a0 0xc011e1d0 0xc01078a0 0xc88ab11a <<--
0xc0302c40 : 0xc013fcb0 0xc013f0e0 0xc013f230 0xc011e5b0
0xc0302c50 : 0xc013f180 0xc014cb10 0xc014c670 0xc0107940
0xc0302c60 : 0xc013e620 0xc011f020 0xc014bcd0 0xc013e9a0
...
我們注意到第一行最後的0xc88ab11a這個地址明顯不正常,這是系統調用號為3的系統調用,即
sys_read (系統調用從0開始)
我們說它不正常的顯著標志是它的地址高於0xc8xxxxxx,Linux默認4GB線性地址,其中最高1GB
0x00000000-0xffffffff為內核保留,當一個模塊被插入內核時,vmalloc函數為其分配一段地址空間,
這個地址通常從0xc8800000開始...到這裡已經很明顯了吧?
【系統調用劫持】
劫持系統調用與上一種方法不同之處在於:它並不直接修改系統調用表中的入口地址,即指向
每個系統調用的跳轉指針,而是在想要hook的系統調用之前加一段跳轉代碼,使執行流重定向到入
侵者自己的內核態函數,這些被hook的系統調用前部通常有call,jmp之類的彙編指令。
要檢測這種攻擊,同樣使用gdb加vmlinux-2.4.*及/proc/kcore兩個參數,然後反彙編系統調用:
#gdb /boot/vmlinux-2.4.* /proc/kcore
(gdb) disass sys_read
Dump of assembler code for function sys_read:
0xc013fb70 : mov $0xc88ab0a6,%ecx
0xc013fb73 : jmp *%ecx <<--
0xc013fb77 : mov %esi,0x1c(%esp,1)
0xc013fb7b : mov %edi,0x20(%esp,1)
0xc013fb7f : mov $0xfffffff7,%edi
...
我們注意「mov $0xc88ab0a6,%ecx -- jmp *%ecx」這兩條指令,他跳轉到了其他的地方去執行了
然後再來看一下被hook之前的系統調用指令:
#gdb /boot/vmlinx-2.4.*
(gdb) disass sys_read
Dump of assembler code for function sys_read:
0xc013fb70 : sub $0x28,%esp
0xc013fb73 : mov 0x2c(%esp,1),%eax
0xc013fb77 : mov %esi,0x1c(%esp,1)
0xc013fb7b : mov %edi,0x20(%esp,1)
0xc013fb7f : mov $0xfffffff7,%edi
...
看到了吧,不一樣的。
【更改系統調用處理常式】
入侵者可能修改一些重要的內核函數,比如系統調用處理常式system_call函數,顧名思義,這個函數
對用戶請求的系統調用作出響應,在系統調用表中尋找對應的入口地址,然後跳轉到那裡執行,這個函數
中保存了系統調用表的地址。攻擊者能做什麼呢?另闢一塊內存空間,在那裡攻擊者偽造自己的系統調用
表,然後修改system_call函數中的系統調用表地址指向那裡就可以了。
通過反彙編system_call函數可以找出系統調用表的地址:
(gdb) disass system_call
Dump of assembler code for function system_call:
0xc01090dc : push %eax
0xc01090dd : cld
0xc01090de : push %es
0xc01090df : push %ds
0xc01090e0 : push %eax
0xc01090e1 : push %ebp
0xc01090e2 : push %edi
0xc01090e3 : push %esi
0xc01090e4 : push %edx
0xc01090e5 : push %ecx
0xc01090e6 : push %ebx
0xc01090e7 : mov $0x18,%edx
0xc01090ec : mov %edx,%ds
0xc01090ee : mov %edx,%es
0xc01090f0 : mov $0xffffe000,%ebx
0xc01090f5 : and %esp,%ebx
0xc01090f7 : testb $0x2,0x18(%ebx)
0xc01090fb : jne 0xc010915c
0xc01090fd : cmp $0x100,%eax
0xc0109102 : jae 0xc0109189
0xc0109108 : call *0xc0302c30 (,%eax,4) <<--系統調用表地址
0xc010910f : mov %eax,0x18(%esp,1)
0xc0109113 : nop
End of assembler dump.
注意:上面的輸出中顯示的是一個正常的系統調用表地址。
