背景

前段時(shí)間，我們的項(xiàng)目組在幫客戶(hù)解決一些操作系統(tǒng)安全領(lǐng)域的問(wèn)題，涉及到windows，Linux，macOS三大操作系統(tǒng)平臺(tái)。無(wú)論什么操作系統(tǒng)，本質(zhì)上都是一個(gè)軟件，任何軟件在一開(kāi)始設(shè)計(jì)的時(shí)候，都不能***的滿(mǎn)足人們的需求，所以操作系統(tǒng)也是一樣，為了盡可能的滿(mǎn)足人們需求，不得不提供一些供人們定制操作系統(tǒng)的機(jī)制。當(dāng)然除了官方提供的一些機(jī)制，也有一些黑魔法，這些黑魔法不被推薦使用，但是有時(shí)候面對(duì)具體的業(yè)務(wù)場(chǎng)景，可以作為一個(gè)參考的思路。

[[251647]]

Linux中常見(jiàn)的攔截過(guò)濾

本文著重介紹Linux平臺(tái)上常見(jiàn)的攔截：

• 用戶(hù)態(tài)動(dòng)態(tài)庫(kù)攔截。
• 內(nèi)核態(tài)系統(tǒng)調(diào)用攔截。
• 堆棧式文件系統(tǒng)攔截。
• inline hook攔截。
• LSM(Linux Security Modules)

動(dòng)態(tài)庫(kù)劫持

Linux上的動(dòng)態(tài)庫(kù)劫持主要是基于LD_PRELOAD環(huán)境變量，這個(gè)環(huán)境變量的主要作用是改變動(dòng)態(tài)庫(kù)的加載順序，讓用戶(hù)有選擇的載入不同動(dòng)態(tài)庫(kù)中的相同函數(shù)。但是使用不當(dāng)就會(huì)引起嚴(yán)重的安全問(wèn)題，我們可以通過(guò)它在主程序和動(dòng)態(tài)連接庫(kù)中加載別的動(dòng)態(tài)函數(shù)，這就給我們提供了一個(gè)機(jī)會(huì)，向別人的程序注入惡意的代碼。

假設(shè)有以下用戶(hù)名密碼驗(yàn)證的函數(shù)：

#include <stdio.h> 
#include <string.h> 
#include <stdlib.h> 
int main(int argc, char **argv) 
{ 
char passwd[] = "password"; 
if (argc < 2) { 
printf("Invalid argc!\n"); 
return; 
} 
if (!strcmp(passwd, argv[1])) { 
printf("Correct Password!\n"); 
return; 
} 
printf("Invalid Password!\n"); 
} 

我們?cè)賹?xiě)一段hookStrcmp的程序，讓這個(gè)比較永遠(yuǎn)正確。

#include <stdio.h> 
int strcmp(const char *s1, const char *s2) 
{ 
/* 永遠(yuǎn)返回0，表示兩個(gè)字符串相等 */ 
return 0; 
} 

依次執(zhí)行以下命令，就會(huì)使我們的hook程序先執(zhí)行。

gcc -Wall -fPIC -shared -o hookStrcmp.so hookStrcmp.c 
export LD_PRELOAD=”./hookStrcmp.so” 

結(jié)果會(huì)發(fā)現(xiàn)，我們自己寫(xiě)的strcmp函數(shù)優(yōu)先被調(diào)用了。這是一個(gè)最簡(jiǎn)單的劫持 ，但是如果劫持了類(lèi)似于geteuid/getuid/getgid，讓其返回0，就相當(dāng)于暴露了root權(quán)限。所以為了安全起見(jiàn)，一般將LD_PRELOAD環(huán)境變量禁用掉。

Linux系統(tǒng)調(diào)用劫持

最近發(fā)現(xiàn)在4.4.0的內(nèi)核中有513多個(gè)系統(tǒng)調(diào)用(很多都沒(méi)用過(guò))，系統(tǒng)調(diào)用劫持的目的是改變系統(tǒng)中原有的系統(tǒng)調(diào)用，用我們自己的程序替換原有的系統(tǒng)調(diào)用。Linux內(nèi)核中所有的系統(tǒng)調(diào)用都是放在一個(gè)叫做sys_call_table的內(nèi)核數(shù)組中，數(shù)組的值就表示這個(gè)系統(tǒng)調(diào)用服務(wù)程序的入口地址。整個(gè)系統(tǒng)調(diào)用的流程如下：

當(dāng)用戶(hù)態(tài)發(fā)起一個(gè)系統(tǒng)調(diào)用時(shí)，會(huì)通過(guò)80軟中斷進(jìn)入到syscall hander，進(jìn)而進(jìn)入全局的系統(tǒng)調(diào)用表sys_call_table去查找具體的系統(tǒng)調(diào)用，那么如果我們將這個(gè)數(shù)組中的地址改成我們自己的程序地址，就可以實(shí)現(xiàn)系統(tǒng)調(diào)用劫持。但是內(nèi)核為了安全，對(duì)這種操作做了一些限制：

• sys_call_table的符號(hào)沒(méi)有導(dǎo)出，不能直接獲取。
• sys_call_table所在的內(nèi)存頁(yè)是只讀屬性的，無(wú)法直接進(jìn)行修改。

對(duì)于以上兩個(gè)問(wèn)題，解決方案如下(方法不止一種)：

• 獲取sys_call_table的地址 ：

grep sys_call_table /boot/System.map-uname -r 

• 控制頁(yè)表只讀屬性是由CR0寄存器的WP位控制的，只要將這個(gè)位清零就可以對(duì)只讀頁(yè)表進(jìn)行修改。

/* make the page writable */ 
int make_rw(unsigned long address) 
{ 
unsigned int level; 
pte_t *pte = lookup_address(address, &level);//查找虛擬地址所在的頁(yè)表地址 
pte->pte |= _PAGE_RW;//設(shè)置頁(yè)表讀寫(xiě)屬性 
return 0; 
} 

/* make the page write protected */ 
int make_ro(unsigned long address) 
{ 
unsigned int level; 
pte_t *pte = lookup_address(address, &level); 
pte->pte &= ~_PAGE_RW;//設(shè)置只讀屬性 
return 0; 
} 

1. 開(kāi)始替換系統(tǒng)調(diào)用

本文實(shí)現(xiàn)的是對(duì) ls這個(gè)命令對(duì)應(yīng)的系統(tǒng)調(diào)用，系統(tǒng)調(diào)用號(hào)是__NR_getdents。

static int syscall_init_module(void) 
{ 
orig_getdents = sys_call_table[__NR_getdents]; 
make_rw((unsigned long)sys_call_table); //修改頁(yè)屬性 
sys_call_table[__NR_getdents] = (unsigned long *)hacked_getdents; //設(shè)置新的系統(tǒng)調(diào)用地址 
make_ro((unsigned long)sys_call_table); 
return 0; 
} 

2. 恢復(fù)原狀

static void syscall_cleanup_module(void) 
{ 
printk(KERN_ALERT "Module syscall unloaded.\n"); 
make_rw((unsigned long)sys_call_table); 
sys_call_table[__NR_getdents] = (unsigned long *)orig_getdents; 
make_ro((unsigned long)sys_call_table); 
} 

使用Makefile編譯，insmod插入內(nèi)核模塊后，再執(zhí)行l(wèi)s時(shí)，就會(huì)進(jìn)入到我們的系統(tǒng)調(diào)用，我們可以在hook代碼中刪掉某些文件，ls就不會(huì)顯示這些文件，但是這些文件還是存在的。

堆棧式文件系統(tǒng)

Linux通過(guò)vfs虛擬文件系統(tǒng)來(lái)統(tǒng)一抽象具體的磁盤(pán)文件系統(tǒng)，從上到下的IO棧形成了一個(gè)堆棧式。通過(guò)對(duì)內(nèi)核源碼的分析，以一次讀操作為例，從上到下所執(zhí)行的流程如下：

內(nèi)核中采用了很多c語(yǔ)言形式的面向?qū)ο螅簿褪呛瘮?shù)指針的形式，例如read是vfs提供用戶(hù)的接口，具體底下調(diào)用的是ext2的read操作。我們只要實(shí)現(xiàn)VFS提供的各種接口，就可以實(shí)現(xiàn)一個(gè)堆棧式文件系統(tǒng)。Linux內(nèi)核中已經(jīng)集成了一些堆棧式文件系統(tǒng)，例如Ubuntu在安裝時(shí)會(huì)提醒你是否需要加密home目錄，其實(shí)就是一個(gè)堆棧式的加密文件系統(tǒng)(eCryptfs)，原理如下：

實(shí)現(xiàn)了一個(gè)堆棧式文件系統(tǒng)，相當(dāng)于所有的讀寫(xiě)操作都會(huì)進(jìn)入到我們的文件系統(tǒng)，可以拿到所有的數(shù)據(jù)，就可以進(jìn)行做一些攔截過(guò)濾。

以下是我實(shí)現(xiàn)的一個(gè)最簡(jiǎn)單的堆棧式文件系統(tǒng)，實(shí)現(xiàn)了最簡(jiǎn)單的打開(kāi)、讀寫(xiě)文件，麻雀雖小但五臟俱全。

https://github.com/wangzhangjun/wzjfs

inline hook

我們知道內(nèi)核中的函數(shù)不可能把所有功能都在這個(gè)函數(shù)中全部實(shí)現(xiàn)，它必定要調(diào)用它的下層函數(shù)。如果這個(gè)下層函數(shù)可以得到我們想要的過(guò)濾信息內(nèi)容，就可以把下層函數(shù)在上層函數(shù)中的offset替換成新的函數(shù)的offset，這樣上層函數(shù)調(diào)用下層函數(shù)時(shí)，就會(huì)跳到新的函數(shù)中，在新的函數(shù)中做過(guò)濾和劫持內(nèi)容的工作。所以從原理上來(lái)說(shuō)，inline hook可以想hook哪里就hook哪里。

inline hook 有兩個(gè)重要的問(wèn)題：

• 如何定位hook點(diǎn)。
• 如何注入hook函數(shù)入口。

1. 對(duì)于***個(gè)問(wèn)題:

需要有一點(diǎn)的內(nèi)核源碼經(jīng)驗(yàn)，比如說(shuō)對(duì)于read操作，源碼如下：

在這里當(dāng)發(fā)起read系統(tǒng)調(diào)用后，就會(huì)進(jìn)入到sys_read,在sys_read中會(huì)調(diào)用vfs_read函數(shù)，在vfs_read的參數(shù)中正好有我們需要過(guò)濾的信息，那么就可以把vfs_read當(dāng)做一個(gè)hook點(diǎn)。

2. 對(duì)于第二個(gè)問(wèn)題:

如何Hook?這里介紹兩種方式：

• ***種方式：直接進(jìn)行二進(jìn)制替換，將call指令的操作數(shù)替換為hook函數(shù)的地址。



• 第二種方式：Linux內(nèi)核提供的kprobes機(jī)制。

其原理是在hook點(diǎn)注入int 3(x86)的機(jī)器碼，讓cpu運(yùn)行到這里的時(shí)候會(huì)觸發(fā)sig_trap信號(hào)，然后將用戶(hù)自定義的hook函數(shù)注入到sig_trap的回調(diào)函數(shù)中，達(dá)到觸發(fā)hook函數(shù)的目的。這個(gè)其實(shí)也是調(diào)試器的原理。

LSM

LSM是Linux Secrity Module的簡(jiǎn)稱(chēng)，即linux安全模塊。是一種通用的Linux安全框架，具有效率高，簡(jiǎn)單易用等特點(diǎn)。原理如下：

LSM在內(nèi)核中做了以下工作：

• 在特定的內(nèi)核數(shù)據(jù)結(jié)構(gòu)中加入安全域。
• 在內(nèi)核源代碼中不同的關(guān)鍵點(diǎn)插入對(duì)安全鉤子函數(shù)的調(diào)用。
• 加入一個(gè)通用的安全系統(tǒng)調(diào)用。
• 提供了函數(shù)允許內(nèi)核模塊注冊(cè)為安全模塊或者注銷(xiāo)。
• 將capabilities邏輯的大部分移植為一個(gè)可選的安全模塊,具有可擴(kuò)展性。

適用場(chǎng)景

對(duì)于以上幾種Hook方式，有其不同的應(yīng)用場(chǎng)景。

• 動(dòng)態(tài)庫(kù)劫持不太完全，劫持的信息有可能滿(mǎn)足不了我們的需求，還有可能別人在你之前劫持了，一旦禁用LD_PRELOAD就失效了。
• 系統(tǒng)調(diào)用劫持，劫持的信息有可能滿(mǎn)足不了我們的需求，例如不能獲取struct file結(jié)構(gòu)體，不能獲取文件的絕對(duì)路徑等。
• 堆棧式文件系統(tǒng)，依賴(lài)于Mount,可能需要重啟系統(tǒng)。
• inline hook，靈活性高，隨意Hook，即時(shí)生效無(wú)需重啟，但是在不同內(nèi)核版本之間通用性差，一旦某些函數(shù)發(fā)生了變化，Hook失效。
• LSM，在早期的內(nèi)核中，只能允許一個(gè)LSM內(nèi)核模塊加載，例如加載了SELinux，就不能加載其他的LSM模塊，在***的內(nèi)核版本中不存在這個(gè)問(wèn)題。

總結(jié)

篇幅有限，本文只是介紹了Linux上的攔截技術(shù)，后續(xù)有機(jī)會(huì)可以一起探討windows和macOS上的攔截技術(shù)。事實(shí)上類(lèi)似的審計(jì)HOOK放到任何一個(gè)系統(tǒng)中都是剛需，不只是kernel，我們可以看到越來(lái)越多的vm和runtime甚至包括很多web組件、前端應(yīng)用都提供了更靈活的hook方式，這是透明化和實(shí)時(shí)性?xún)蓚€(gè)安全大趨勢(shì)下最常見(jiàn)的解決方案。

【本文是51CTO專(zhuān)欄作者“ThoughtWorks”的原創(chuàng)稿件，微信公眾號(hào)：思特沃克，轉(zhuǎn)載請(qǐng)聯(lián)系原作者】

戳這里，看該作者更多好文