一种Linux下ptrace隐藏注入shellcode技术和防御方法
一、前言
Unix和类Unix操作系统提供的系统调用支持一个进程控制另一个进程,常被用于程序调试、分析和监测工具,例如gdb、等。通过可以查看和修改被控制进程的内部状态,因此渗透攻击在注入时也会使用。本文介绍一种Linux下使用隐藏注入的技术和防御方法。
二、背景
不同版本操作系统有各自实现系统调用的方式,本文只关注Linux环境,因此先简单说明Linux下系统调用的用法。首先定义控制进程()和被控制进程(),可以观察和控制的执行流程,检查和修改的内存和寄存器内容,一个只能关联()一个,一个可以关联多个。需要注意的是Linux下一个实际是一个线程,一个包含多个线程的进程中每个线程可以单独关联各自的。所有功能通过一个接口函数调用,格式如下:
long ptrace(enum __ptrace_request request, pid_t pid, void *addr, void *data);
第一个参数包含调用的具体功能,后续三个参数的含义和第一个参数相关,不同功能需要设置相应的参数,详细定义可以查看操作系统文档(man
)。图1演示了控制一个的过程。
图1 控制流程
调用功能关联指定的,向发送信号,并调用等待状态改变;
当状态变成STOP,返回;
调用功能让进入单步执行状态,并调用等待状态改变;
重复步骤2)和步骤3);
调用功能让恢复运行,并解除关联。
步骤3)中可以检查和修改的内存和寄存器内容,给渗透攻击注入提供了可能,接下来描述利用隐藏注入的技术细节。
三、技术
达成隐藏注入的目标需要解决三个问题:
存放在哪里?
如何执行?
如何不被轻易发现正在运行的?
解决第一个问题,需要了解Linux进程的内存结构,如图2所示。
图2 Linux进程内存结构(x86,x86-64类似)
执行cat /proc//maps可以查看进程的内存结构,图3是top进程的内存结构。
图3 top进程内存结构
每行第二个字段表示该段内存的属性,包含’x’的具有执行权限。最容易写入的位置是
,可以申请匿名内存段,属性为rwxp,写入,伪代码如下:
// 关联tracee
ptrace(PTRACE_ATTACH, tracee_pid, NULL, NULL)
waitpid(tracee_pid, 0, 0)
// 修改系统调用为SYS_mmap并单步执行,执行完成以后恢复执行原有代码
mem_addr = remote_mmap(tracee_pid, NULL, 4096, PROT_READ | PROT_WRITE | PROT_EXEC, MAP_PRIVATE | MAP_ANON, -1, 0)
// 写入shellcode到申请的内存段
poke_text(tracee_pid, (size_t) mem_addr, shellcode, SHELL_LEN)
解决了第一个问题:存放在哪里,接着解决第二个问题:如何执行,这个问题比较简单,修改寄存器rip为,再运行即可执行,伪代码如下:
// 读取tracee寄存器并备份
ptrace(PTRACE_GETREGS, tracee_pid, NULL, ®s)
memcpy(&old_regs, ®s, sizeof(struct user_regs_struct));
// 修改rip为mem_addr(shellcode的地址)
regs.rip = (u_int64_t) mem_addr;
regs.rip += 2
// 设置tracee寄存器
ptrace(PTRACE_SETREGS, tracee_pid, NULL, ®s)
// 执行shellcode,假设shellcode结尾执行了getpid系统调用
for (;;) {ptrace(PTRACE_SYSCALL, tracee_pid, NULL, NULL)waitpid(tracee_pid, 0, 0)ptrace(PTRACE_GETREGS, tracee_pid, 0, ®s)if (regs.orig_rax == 39) {// 已执行getpid系统调用,恢复tracee状态ptrace(PTRACE_SETREGS, tracee_pid, NULL, &old_regs)break}
}
// 恢复tracee运行
ptrace(PTRACE_DETACH, tracee_pid, NULL, NULL)
但是上述代码只是在进程(线程)中执行了一次,还达不到隐藏注入的目的。一个简单的解决方法是在所在进程中新建一个线程,在新建的线程中执行,并在中加入可以持续运行的循环。这时,通过监测进程状态难以发现注入的;如果所在进程原来就包含多个线程,通过监测线程状态也难以准确判断是否被注入了;虽然检查进程的内存段可以找到具有执行权限的匿名内存段,但是有些进程本来就存在具有执行权限的匿名内存段,仍然不能准确判断是否存在。综上所述,这种新建线程中执行的方式能够解决第三个问题:如何不被轻易发现正在运行的。伪代码如下:
// 设置新建线程的栈
stack_addr = remote_mmap(tracee_pid, NULL, 4096, PROT_READ | PROT_WRITE, MAP_PRIVATE | MAP_ANON, -1, 0)
stack_top = stack_addr + 4096
poke_text(tracee_pid, (size_t)stack_addr, (char *)&mem_addr, sizeof(void *))
// 修改系统调用为SYS_clone并单步执行,新建线程以后恢复执行原有代码
thread_pid = remote_clone(pid, CLONE_PTRACE | CLONE_SIGHAND | CLONE_THREAD | CLONE_VM | CLONE_FS | CLONE_FILES, stack_top)
// 在新建的线程中执行shellcode
ptrace(PTRACE_GETREGS, thread_pid, NULL, ®s)
regs.rip = (u_int64_t) mem_addr;
ptrace(PTRACE_SETREGS, thread_pid, NULL, ®s)
ptrace(PTRACE_DETACH, thread_pid, NULL, NULL)
四、防御
Linux内核使用图4描述的算法检查调用者()相对目标()的访问权限。首先检查调用者和目标是否在同一个线程组,是则允许()使用功能;接着根据调用者和目标的用户编号(uid)和组编号(gid)是否一致、目标是否有可转存()属性、调用方是否具有权限,判定是否拒绝()使用功能;然后调用Linux安全模块(LSM),例如:、Yama、Smack等,不同的安全模块有各自的检查判定规则;最后如果之前的检查没有拒绝使用功能,则允许使用。
图4 Linux内核访问模式检查算法
除了在同一个线程组的情况,获得使用功能的许可必然经过Linux安全模块(LSM)的检查,因此可以配置LSM限制功能,以Yama为例:设置参数/proc/sys//yama/(直接赋值或修改/etc/.conf中.yama.参数)可以控制的功能,参数值定义如下:
0:一个进程可以对它拥有权限的其它进程使用功能。
1:一个进程只能对下属的子进程或线程使用功能。
2:只有拥有权限的进程能够对其它进程使用功能。
3:任何进程均不能使用或功能,并且参数取值不能改变。
可以根据应用需求,设置合适的/proc/sys//yama/值,例如:生产环境设置成3禁用功能,开发环境设置成1用来调试程序。
此外,根据一个只能关联一个的规则,可以在程序开始使用功能将当前线程变成,之后其它进程不能再对其使用功能。但是因为作用于一个线程,所有相关线程都需要使用才能避免所在进程被使用功能。
还可以使用prctl系统调用关闭进程的转存功能,具体用法如下:
prctl(PR_SET_DUMPABLE, SUID_DUMP_DISABLE, 0, 0, 0);
使用上述系统调用后,所在进程不能被其它进程(拥有权限的进程除外)使用功能。此方法虽然只适用调用者没有权限的情况,但能够作用于正在运行的进程,具体做法如下:
将调用prctl操作做成一个;
使用将1)中生成的注入正在运行的目标进程并执行;
恢复目标进程状态继续运行。
##最后
对于从来没有接触过网络安全的同学,我们帮你准备了详细的学习成长路线图。可以说是最科学最系统的学习路线,大家跟着这个大的方向学习准没问题。
同时每个成长路线对应的板块都有配套的视频提供:
当然除了有配套的视频,同时也为大家整理了各种文档和书籍资料&工具,并且已经帮大家分好类了。
因篇幅有限,仅展示部分资料,有需要的小伙伴,可以【扫下方二维码】免费领取:
