背景

前段時間，我們的項目組在幫客戶解決一些操作系統(tǒng)安全領(lǐng)域的問題，涉及到windows，Linux，macOS三大操作系統(tǒng)平臺。無論什么操作系統(tǒng)，本質(zhì)上都是一個軟件，任何軟件在一開始設(shè)計的時候，都不能百分之百的滿足人們的需求，所以操作系統(tǒng)也是一樣，為了盡可能的滿足人們需求，不得不提供一些供人們定制操作系統(tǒng)的機制。當然除了官方提供的一些機制，也有一些黑魔法，這些黑魔法不被推薦使用，但是有時候面對具體的業(yè)務場景，可以作為一個參考的思路。

Linux中常見的攔截過濾

本文著重介紹Linux平臺上常見的攔截：

• 用戶態(tài)動態(tài)庫攔截。
• 內(nèi)核態(tài)系統(tǒng)調(diào)用攔截。
• 堆棧式文件系統(tǒng)攔截。
• inline hook攔截。
• LSM(Linux Security Modules)

動態(tài)庫劫持

Linux上的動態(tài)庫劫持主要是基于LD_ PRELOAD環(huán)境變量，這個環(huán)境變量的主要作用是改變動態(tài)庫的加載順序，讓用戶有選擇的載入不同動態(tài)庫中的相同函數(shù)。但是使用不當就會引起嚴重的安全問題，我們可以通過它在主程序和動態(tài)連接庫中加載別的動態(tài)函數(shù)，這就給我們提供了一個機會，向別人的程序注入惡意的代碼。

假設(shè)有以下用戶名密碼驗證的函數(shù)：

#include <stdio.h>
#include <string.h>
#include <stdlib.h>
int main(int argc, char **argv)
{
char passwd[] = "password";
if (argc < 2) {
printf("Invalid argc!\n");
return;
}
if (!strcmp(passwd, argv[1])) {
printf("Correct Password!\n");
return;
}
printf("Invalid Password!\n");
}

我們再寫一段hookStrcmp的程序，讓這個比較永遠正確。

#include <stdio.h>
int strcmp(const char *s1, const char *s2)
{
/* 永遠返回0，表示兩個字符串相等 */
return 0;
}

依次執(zhí)行以下命令，就會使我們的hook程序先執(zhí)行。

gcc -Wall -fPIC -shared -o hookStrcmp.so hookStrcmp.c
export LD_PRELOAD=”./hookStrcmp.so”

結(jié)果會發(fā)現(xiàn)，我們自己寫的strcmp函數(shù)優(yōu)先被調(diào)用了。這是一個最簡單的劫持 ，但是如果劫持了類似于geteuid/getuid/getgid，讓其返回0，就相當于暴露了root權(quán)限。所以為了安全起見，一般將LD_ PRELOAD環(huán)境變量禁用掉。

Linux系統(tǒng)調(diào)用劫持

最近發(fā)現(xiàn)在4.4.0的內(nèi)核中有513多個系統(tǒng)調(diào)用(很多都沒用過)，系統(tǒng)調(diào)用劫持的目的是改變系統(tǒng)中原有的系統(tǒng)調(diào)用，用我們自己的程序替換原有的系統(tǒng)調(diào)用。Linux內(nèi)核中所有的系統(tǒng)調(diào)用都是放在一個叫做sys_ call _table的內(nèi)核數(shù)組中，數(shù)組的值就表示這個系統(tǒng)調(diào)用服務程序的入口地址。整個系統(tǒng)調(diào)用的流程如下：

當用戶態(tài)發(fā)起一個系統(tǒng)調(diào)用時，會通過80軟中斷進入到syscall hander，進而進入全局的系統(tǒng)調(diào)用表sys_ call _table去查找具體的系統(tǒng)調(diào)用，那么如果我們將這個數(shù)組中的地址改成我們自己的程序地址，就可以實現(xiàn)系統(tǒng)調(diào)用劫持。但是內(nèi)核為了安全，對這種操作做了一些限制：

• sys_ call _table的符號沒有導出，不能直接獲取。
• sys_ call _table所在的內(nèi)存頁是只讀屬性的，無法直接進行修改。

對于以上兩個問題，解決方案如下（方法不止一種）：

• 獲取sys call table的地址 ：grep sys _ call _table /boot/System.map-uname -r
• 控制頁表只讀屬性是由CR0寄存器的WP位控制的，只要將這個位清零就可以對只讀頁表進行修改。

/* make the page writable */
int make_rw(unsigned long address)
{
unsigned int level;
pte_t *pte = lookup_address(address, &level);//查找虛擬地址所在的頁表地址
pte->pte |= _PAGE_RW;//設(shè)置頁表讀寫屬性
return 0;
}

/* make the page write protected */
int make_ro(unsigned long address)
{
unsigned int level;
pte_t *pte = lookup_address(address, &level);
pte->pte &= ~_PAGE_RW;//設(shè)置只讀屬性
return 0;
}

開始替換系統(tǒng)調(diào)用

本文實現(xiàn)的是對 ls這個命令對應的系統(tǒng)調(diào)用，系統(tǒng)調(diào)用號是 _ NR _getdents。

static int syscall_init_module(void)
{
orig_getdents = sys_call_table[__NR_getdents];
make_rw((unsigned long)sys_call_table); //修改頁屬性
sys_call_table[__NR_getdents] = (unsigned long *)hacked_getdents; //設(shè)置新的系統(tǒng)調(diào)用地址
make_ro((unsigned long)sys_call_table);
return 0;
}

恢復原狀

static void syscall_cleanup_module(void)
{
printk(KERN_ALERT "Module syscall unloaded.\n");
make_rw((unsigned long)sys_call_table);
sys_call_table[__NR_getdents] = (unsigned long *)orig_getdents;
make_ro((unsigned long)sys_call_table);
}

使用Makefile編譯，insmod插入內(nèi)核模塊后，再執(zhí)行l(wèi)s時，就會進入到我們的系統(tǒng)調(diào)用，我們可以在hook代碼中刪掉某些文件，ls就不會顯示這些文件，但是這些文件還是存在的。

堆棧式文件系統(tǒng)

Linux通過vfs虛擬文件系統(tǒng)來統(tǒng)一抽象具體的磁盤文件系統(tǒng)，從上到下的IO棧形成了一個堆棧式。通過對內(nèi)核源碼的分析，以一次讀操作為例，從上到下所執(zhí)行的流程如下：

內(nèi)核中采用了很多c語言形式的面向?qū)ο螅簿褪呛瘮?shù)指針的形式，例如read是vfs提供用戶的接口，具體底下調(diào)用的是ext2的read操作。我們只要實現(xiàn)VFS提供的各種接口，就可以實現(xiàn)一個堆棧式文件系統(tǒng)。Linux內(nèi)核中已經(jīng)集成了一些堆棧式文件系統(tǒng)，例如Ubuntu在安裝時會提醒你是否需要加密home目錄，其實就是一個堆棧式的加密文件系統(tǒng)（eCryptfs），原理如下：

實現(xiàn)了一個堆棧式文件系統(tǒng)，相當于所有的讀寫操作都會進入到我們的文件系統(tǒng)，可以拿到所有的數(shù)據(jù)，就可以進行做一些攔截過濾。

以下是我實現(xiàn)的一個最簡單的堆棧式文件系統(tǒng)，實現(xiàn)了最簡單的打開、讀寫文件，麻雀雖小但五臟俱全。

https://github.com/wangzhangjun/wzjfs

inline hook

我們知道內(nèi)核中的函數(shù)不可能把所有功能都在這個函數(shù)中全部實現(xiàn)，它必定要調(diào)用它的下層函數(shù)。如果這個下層函數(shù)可以得到我們想要的過濾信息內(nèi)容，就可以把下層函數(shù)在上層函數(shù)中的offset替換成新的函數(shù)的offset，這樣上層函數(shù)調(diào)用下層函數(shù)時，就會跳到新的函數(shù)中，在新的函數(shù)中做過濾和劫持內(nèi)容的工作。所以從原理上來說，inline hook可以想hook哪里就hook哪里。

inline hook 有兩個重要的問題：

• 如何定位hook點。
• 如何注入hook函數(shù)入口。

對于第一個問題:

需要有一點的內(nèi)核源碼經(jīng)驗，比如說對于read操作，源碼如下：

在這里當發(fā)起read系統(tǒng)調(diào)用后，就會進入到sys read,在sys read中會調(diào)用vfs read函數(shù)，在vfs read的參數(shù)中正好有我們需要過濾的信息，那么就可以把vfs_ read當做一個hook點。

對于第二個問題:

如何Hook？這里介紹兩種方式：

第一種方式：直接進行二進制替換，將call指令的操作數(shù)替換為hook函數(shù)的地址。

第二種方式：Linux內(nèi)核提供的kprobes機制。

其原理是在hook點注入int 3(x86)的機器碼，讓cpu運行到這里的時候會觸發(fā)sig trap信號，然后將用戶自定義的hook函數(shù)注入到sig trap的回調(diào)函數(shù)中，達到觸發(fā)hook函數(shù)的目的。這個其實也是調(diào)試器的原理。

LSM

LSM是Linux Secrity Module的簡稱，即linux安全模塊。是一種通用的Linux安全框架，具有效率高，簡單易用等特點。原理如下：

LSM

在內(nèi)核中做了以下工作：

• 在特定的內(nèi)核數(shù)據(jù)結(jié)構(gòu)中加入安全域。
• 在內(nèi)核源代碼中不同的關(guān)鍵點插入對安全鉤子函數(shù)的調(diào)用。
• 加入一個通用的安全系統(tǒng)調(diào)用。
• 提供了函數(shù)允許內(nèi)核模塊注冊為安全模塊或者注銷。
• 將capabilities邏輯的大部分移植為一個可選的安全模塊,具有可擴展性。

適用場景

對于以上幾種Hook方式，有其不同的應用場景。

• 動態(tài)庫劫持不太完全，劫持的信息有可能滿足不了我們的需求，還有可能別人在你之前劫持了，一旦禁用LD_ PRELOAD就失效了。
• 系統(tǒng)調(diào)用劫持，劫持的信息有可能滿足不了我們的需求，例如不能獲取struct file結(jié)構(gòu)體，不能獲取文件的絕對路徑等。
• 堆棧式文件系統(tǒng)，依賴于Mount,可能需要重啟系統(tǒng)。
• inline hook，靈活性高，隨意Hook，即時生效無需重啟，但是在不同內(nèi)核版本之間通用性差，一旦某些函數(shù)發(fā)生了變化，Hook失效。
• LSM，在早期的內(nèi)核中，只能允許一個LSM內(nèi)核模塊加載，例如加載了SELinux，就不能加載其他的LSM模塊，在最新的內(nèi)核版本中不存在這個問題。

總結(jié)

篇幅有限，本文只是介紹了Linux上的攔截技術(shù)，后續(xù)有機會可以一起探討windows和macOS上的攔截技術(shù)。事實上類似的審計HOOK放到任何一個系統(tǒng)中都是剛需，不只是kernel，我們可以看到越來越多的vm和runtime甚至包括很多web組件、前端應用都提供了更靈活的hook方式，這是透明化和實時性兩個安全大趨勢下最常見的解決方案。

以上就是這篇文章的全部內(nèi)容了，希望本文的內(nèi)容對大家的學習或者工作具有一定的參考學習價值，如果有疑問大家可以留言交流，謝謝大家對腳本之家的支持。