Linux vs rootkits. - Adam 'pi3' Zabrocki

Transkrypt

1 Linux vs rootkits - Adam 'pi3' Zabrocki

2 /usr/bin/whoami ADAM ZABROCKI

3 /usr/bin/whoami ADAM ZABROCKI

4 /usr/bin/whoami ADAM ZABROCKI

5 /usr/bin/whoami ADAM ZABROCKI

6 /usr/bin/whoami ADAM ZABROCKI

7 /usr/bin/whoami ADAM ZABROCKI

8 /usr/bin/whoami ADAM ZABROCKI

9 /usr/bin/whoami ADAM ZABROCKI (lub oficjalnie

10 Plan prezentacji: Wstęp (wirus / malware / rootkit) Współczesne rootkit'y w skrócie Rootkity: User Space Kernel Space LKM Non-LKM Debug Register Rootkit Black Market...

11 Wstęp: Wirus komputerowy: 1970/71 Creeper (TeneX OS) DEC PDP

12 Wstęp: Wirus komputerowy: 1970/71 Creeper (TeneX OS) DEC PDP Powielanie się... MUSI mieć nosiciela Słabość systemów bądź beztroskę użytkowników

13 Wstęp: Robak komputerowy: 2 listopada pogromca UNIX'ów

14 Wstęp: Robak komputerowy: 2 listopada pogromca UNIX'ów Samoreplikujący się! Zazwyczaj wirus + dodatki (backdoor, koń trojański, itp.)

15 Wstęp: Rootkit: User root + narzędzia kit = rootkit

16 Wstęp: Rootkit: User root + narzędzia kit = rootkit Ukrywa procesy Ukrywa pliki Ukrywa połączenia sieciowe Backdoor (Key/Traffic/*) Logger Ukrywa siebie...

17 Teoria vs praktyka

18 Rootkit'y dzisiaj Wirus + Trojan + Rootkit + Malware połączone w jedność => potocznie zwane malware

19 Rootkit'y dzisiaj Wirus + Trojan + Rootkit + Malware połączone w jedność => potocznie zwane malware... a jakie skojarzenia mają ludzie z branży?? ;)

20 Rootkit'y dzisiaj Wirus + Trojan + Rootkit + Malware połączone w jedność => potocznie zwane malware... a jakie skojarzenia mają ludzie z branży?? ;) 14:13 <@pi3> powiedzcie mi swoje randomowe skojarzenia - pierwsze, które przyszły na myśl 14:13 <@pi3> na słowo rootkit / wirus komputerowy

21 Rootkit'y dzisiaj Odpowiedzi: 14:13 piotr bania

22 Rootkit'y dzisiaj Odpowiedzi: 14:13 piotr bania 14:14 michał podatność bućko

23 Rootkit'y dzisiaj Odpowiedzi: 14:13 piotr bania 14:14 michał podatność bućko 14:14 ;]

24 Rootkit'y dzisiaj Odpowiedzi: 14:13 piotr bania 14:14 michał podatność bućko 14:14 ;] 14:14 na rootkit: subverting windows kernel 14:14 na wirus: mks_vir

25 Co dalej? :) Rootkit'y dzisiaj

26 Co dalej? :) Rootkit'y dzisiaj 14:15 to pierwszy (i ostatni) AV ktorego uzywalem 14:15 ;>

27 Co dalej? :) Rootkit'y dzisiaj 14:15 to pierwszy (i ostatni) AV ktorego uzywalem 14:15 ;> 14:15 a co teraz masz? :>

28 Co dalej? :) Rootkit'y dzisiaj 14:15 to pierwszy (i ostatni) AV ktorego uzywalem 14:15 ;> 14:15 a co teraz masz? :> 14:16 teraz? teraz mam IDA i OllyDbg 14:16 <@Gynvael> ;p

29 Co dalej? :) Rootkit'y dzisiaj 14:15 to pierwszy (i ostatni) AV ktorego uzywalem 14:15 ;> 14:15 a co teraz masz? :> 14:16 teraz? teraz mam IDA i OllyDbg 14:16 <@Gynvael> ;p 14:16 <@pi3> az zapisze te logi i pokaze na SecDay ;]

30 Rootkit'y:

31 Rootkit'y: User Space rootkits: Ukrywa procesy Ukrywa pliki Ukrywa połączenia sieciowe Backdoor (Key/Traffic/*) Logger Ukrywa siebie...

32 Rootkit'y: User Space rootkits: Ukrywa procesy (ps/... ) Ukrywa pliki Ukrywa połączenia sieciowe Backdoor (Key/Traffic/*) Logger Ukrywa siebie...

33 Rootkit'y: User Space rootkits: Ukrywa procesy (ps/... ) Ukrywa pliki (ls/dir/...) Ukrywa połączenia sieciowe Backdoor (Key/Traffic/*) Logger Ukrywa siebie...

34 Rootkit'y: User Space rootkits: Ukrywa procesy (ps/... ) Ukrywa pliki (ls/dir/...) Ukrywa połączenia sieciowe (netstat/...) Backdoor (Key/Traffic/*) Logger Ukrywa siebie...

35 Rootkit'y: User Space rootkits: Ukrywa procesy (ps/... ) Ukrywa pliki (ls/dir/...) Ukrywa połączenia sieciowe (netstat/...) Backdoor (ssh[d]/ftp/...) (Key/Traffic/*) Logger Ukrywa siebie...

36 User Space Rootkits: Zalety: Prostota

37 User Space Rootkits: Zalety: Prostota Bezpieczeństwo

38 User Space Rootkits: Zalety: Prostota Bezpieczeństwo Stabilność

39 User Space Rootkits: Zalety: Prostota Bezpieczeństwo Stabilność Przenośność

40 User Space Rootkits: Wady: Bardzo proste do wykrycia (checksum/'czyste' narzędzia/...)

41 User Space Rootkits: Wady: Bardzo proste do wykrycia (checksum/'czyste' narzędzia/...) Wiele programów

42 User Space Rootkits: Wady: Bardzo proste do wykrycia (checksum/'czyste' narzędzia/...) Wiele programów Upgrade może zabić

43 User Space Rootkits: Wady: Bardzo proste do wykrycia (checksum/'czyste' narzędzia/...) Wiele programów Upgrade może zabić Mało edukacyjne ;)

44 Kernel Space Rootkits: Analiza wywołania systemowego na przykładzie serwera Apache...

45 Kernel Space Rootkits:

46 Kernel Space Rootkits: To był kiepski żart ;)

47 Kernel Space Rootkits:

48 Loadable Kernel Module Rootkits: Lekcja historii: sys_call_table[ NR_open] = (void *) my_func_ptr;

49 Loadable Kernel Module Rootkits: Lekcja historii: sys_call_table[ NR_open] = (void *) my_func_ptr; sys_call_table nie jest już eksportowane

50 Loadable Kernel Module Rootkits: Lekcja historii: sys_call_table[ NR_open] = (void *) my_func_ptr; sys_call_table nie jest już eksportowane Zczytać: [root@pi3book files]# cat /proc/kallsyms grep sys_call_table c R sys_call_table [root@pi3book files]#

51 Loadable Kernel Module Rootkits: Lekcja historii: sys_call_table[ NR_open] = (void *) my_func_ptr; sys_call_table nie jest już eksportowane Zczytać: [root@pi3book files]# cat /proc/kallsyms grep sys_call_table c R sys_call_table [root@pi3book files]#

52 Loadable Kernel Module Rootkits: Opcje CONFIG_KALLSYMS=y CONFIG_KALLSYMS_ALL=y CONFIG_KALLSYMS_EXTRA_PASS=y

53 Loadable Kernel Module Rootkits: Opcje CONFIG_KALLSYMS=y CONFIG_KALLSYMS_ALL=y CONFIG_KALLSYMS_EXTRA_PASS=y arch/x86/kernel/entry_32.s : 530:ENTRY(system_call): : call *sys_call_table* sys_call_table(,%eax,4)

54 Loadable Kernel Module Rootkits: Gdb... 0xc040352e: 0xc : call *-0x3f8cdce0(,%eax,4) mov %eax,0x18(%esp) (gdb) p/x 0xc xc040352e $1 = 0x7 (gdb) x/2x 0xc040352e 0xc040352e: (gdb) 0x208514ff 0x89c07323

55 Loadable Kernel Module Rootkits: Gdb... 0xc040352e: call *-0x3f8cdce0* -0x3f8cdce0(,%eax,4) 0xc : mov %eax,0x18(%esp) (gdb) p/x 0xc xc040352e $1 = 0x7 (gdb) x/2x 0xc040352e 0xc040352e: (gdb) 0x208514ff 0x89c07323

56 Loadable Kernel Module Rootkits: Gdb... 0xc040352e: call *-0x3f8cdce0* -0x3f8cdce0(,%eax,4) 0xc : mov %eax,0x18(%esp) (gdb) p/x 0xc xc040352e $1 = 0x7 (gdb) x/2x 0xc040352e 0xc040352e: (gdb) 0x208514ff 0x89c0 c07323

57 Loadable Kernel Module Rootkits: Gdb... 0xc040352e: call *-0x3f8cdce0* -0x3f8cdce0(,%eax,4) 0xc : mov %eax,0x18(%esp) (gdb) p/x 0xc xc040352e $1 = 0x7 (gdb) x/2x 0xc040352e 0xc040352e: (gdb) 0x208514ff 0x89c073 c07323

58 Loadable Kernel Module Rootkits: Gdb... 0xc040352e: call *-0x3f8cdce0* -0x3f8cdce0(,%eax,4) 0xc : mov %eax,0x18(%esp) (gdb) p/x 0xc xc040352e $1 = 0x7 (gdb) x/2x 0xc040352e 0xc040352e: (gdb) 0x ff 0x89c07323

59 Loadable Kernel Module Rootkits: Gdb... 0xc040352e: call *-0x3f8cdce0* -0x3f8cdce0(,%eax,4) 0xc : mov %eax,0x18(%esp) (gdb) p/x 0xc xc040352e $1 = 0x7 (gdb) x/2x 0xc040352e 0xc040352e: (gdb) 0x ff 0x89c07323

60 Loadable Kernel Module Rootkits: Gdb... 0xc040352e: call *-0x3f8cdce0* -0x3f8cdce0(,%eax,4) 0xc : mov %eax,0x18(%esp) (gdb) p/x 0xc xc040352e $1 = 0x7 (gdb) x/2x 0xc040352e 0xc040352e: (gdb) c R sys_call_table 0x ff 0x89c07323

61 Loadable Kernel Module Rootkits: Gdb... 0xc040352e: call *-0x3f8cdce0* -0x3f8cdce0(,%eax,4) 0xc : mov %eax,0x18(%esp) (gdb) p/x 0xc xc040352e $1 = 0x7 (gdb) x/2x 0xc040352e 0xc040352e: (gdb) c R sys_call_table 0x ff 0x89c07323

62 Loadable Kernel Module Rootkits: Skąd wziąć adres początkowy? (system_call)

63 Loadable Kernel Module Rootkits: Skad wziąć adres początkowy? (system_call) arch/i386/kernel/traps.c:889 set_system_trap_gate(syscall_vector, &system_call); x86 => tablica przerwań (IDT)

64 Loadable Kernel Module Rootkits: Skad wziąć adres początkowy? (system_call) arch/i386/kernel/traps.c:889 set_system_trap_gate(syscall_vector, &system_call); x86 => tablica przerwań (IDT) Skąd wziąć adres tablicy IDT?

65 Loadable Kernel Module Rootkits: Skad wziąć adres początkowy? (system_call) arch/i386/kernel/traps.c:889 set_system_trap_gate(syscall_vector, &system_call); x86 => tablica przerwań (IDT) Skąd wziąć adres tablicy IDT? => instrukcja assemblera 'sidt'

66 Loadable Kernel Module Rootkits:

67 Loadable Kernel Module Rootkits: Plan: 'sidt'

68 Loadable Kernel Module Rootkits: Plan: 'sidt' 0x80 wpis w tablicy IDT => system_call

69 Loadable Kernel Module Rootkits: Plan: 'sidt' 0x80 wpis w tablicy IDT => system_call Szukamy 'naszej' instukcji (fingerprint)

70 Loadable Kernel Module Rootkits: Plan: 'sidt' 0x80 wpis w tablicy IDT => system_call Szukamy 'naszej' instukcji (fingerprint) Odkodowujemy adres sys_call_table

71 Loadable Kernel Module Rootkits: Plan: 'sidt' 0x80 wpis w tablicy IDT => system_call Szukamy 'naszej' instukcji (fingerprint) Odkodowujemy adres sys_call_table Voila! ;)

72 Loadable Kernel Module Rootkits:

73 Loadable Kernel Module Rootkits:

74 Loadable Kernel Module Rootkits:... ale: Od wersji >= sys_call_table RO

75 Loadable Kernel Module Rootkits:... ale: Od wersji >= sys_call_table RO... więc zmieniamy atrybut strony na RW

76 Loadable Kernel Module Rootkits:... ale: Od wersji >= sys_call_table RO... więc zmieniamy atrybut strony na RW Od wersji >= zmieniony mechanizm zmiany atrybutów strony ;)

77 Loadable Kernel Module Rootkits:... ale: Od wersji >= sys_call_table RO... więc zmieniamy atrybut strony na RW Od wersji >= zmieniony mechanizm zmiany atrybutów strony ;) Nadal da się to zrobić, ale to bardzo kłopotliwe

78 Loadable Kernel Module Rootkits:... ale: Od wersji >= sys_call_table RO... więc zmieniamy atrybut strony na RW Od wersji >= zmieniony mechanizm zmiany atrybutów strony ;) Nadal da się to zrobić, ale to bardzo kłopotliwe Można sobie życie uprościć...

79 Loadable Kernel Module Rootkits:

80 Loadable Kernel Module Rootkits:

81 Loadable Kernel Module Rootkits: Co złego zrobiliśmy? Adres wejścia do sys_call_table

82 Loadable Kernel Module Rootkits: Co złego zrobiliśmy? Adres wejścia do sys_call_table OMG! Kontrolujemy wszystkie wywołania systemowe

83 Loadable Kernel Module Rootkits: Co złego zrobiliśmy? Adres wejścia do sys_call_table OMG! Kontrolujemy wszystkie wywołania systemowe... wystarczy dobrze zaprojektować własną sys_call_table ;)

84 Loadable Kernel Module rootkits podsumowanie: Zalety: Modyfikujemy TYLKO kernel

85 Loadable Kernel Module rootkits podsumowanie: Zalety: Modyfikujemy TYLKO kernel Jesteśmy ograniczeni tylko wyobraźnią... i wiedzą (zawsze 'coś' się znajdzie ;))

86 Loadable Kernel Module rootkits podsumowanie: Zalety: Modyfikujemy TYLKO kernel Jesteśmy ograniczeni tylko wyobraźnią... i wiedzą (zawsze 'coś' się znajdzie ;)) Wady: Łatwo zniszczyć system

87 Loadable Kernel Module rootkits podsumowanie: Zalety: Modyfikujemy TYLKO kernel Jesteśmy ograniczeni tylko wyobraźnią... i wiedzą (zawsze 'coś' się znajdzie ;)) Wady: Łatwo zniszczyć system Mały błąd może zaburzyć działanie aplikacji

88 Loadable Kernel Module rootkits podsumowanie: Zalety: Modyfikujemy TYLKO kernel Jesteśmy ograniczeni tylko wyobraźnią... i wiedzą (zawsze 'coś' się znajdzie ;)) Wady: Łatwo zniszczyć system Mały błąd może zaburzyć działanie aplikacji Słaby projekt backdoora może skutkować wywołaniem w nieodpowiednim momencie

89 Non LKM Rootkits: Czemu?

90 Non LKM Rootkits: Czemu? Co zyskujemy?

91 Non LKM Rootkits:

92 Non LKM Rootkits: Czemu? Co zyskujemy? Jak działają? /dev/[k]mem

93 Non LKM Rootkits: Czemu? Co zyskujemy? Jak działają? /dev/[k]mem Statyczne łatanie jądra (vmlinuz)

94 Non LKM Rootkits: Czemu? Co zyskujemy? Jak działają? /dev/[k]mem Statyczne łatanie jądra (vmlinuz) Bootkit'y (np. Grub)

95 Non LKM Rootkits: Czemu? Co zyskujemy? Jak działają? /dev/[k]mem Statyczne łatanie jądra (vmlinuz) Bootkit'y (np. Grub) BIOS rootkit

96 Zalety: Non LKM Rootkits: Bardzo ciężkie do wykrycia Funkcjonalność taka sama jak w przypadku LKM Wady: Trzeba pomyśleć co po restarcie ;) Zmiana kernel'a może być krytyczna dla rootkit'a Nieprzenośne i trudne w pisaniu

97 Wykrywanie?

98 Wykrywanie? No właśnie jak? Porównywanie adresów Porównywanie wyników Każdy rootkit ma swoją własną charakterystykę

99 Wykrywanie? No właśnie jak? Porównywanie adresów Porównywanie wyników Każdy rootkit ma swoją własną charakterystykę Protekcja?: Monitorowanie modułów Nowe jądra zabraniają pisania do /dev/ [k]mem Backup adresów i monitorowanie pamięci ;)

100 Co dalej? Problemy: Problemy z podmianą sys_call_table Jądro ochrania sys_call_table Moduły łatwo wykryć i się zabezpieczyć Brak możliwości pisania do /dev/ [k]mem 'vmlinuz' prosto monitorować

101 Debug Register Rootkit!

102 Debug Register Rootkit! Debugować można software'owo...

103 Debug Register Rootkit! Debugować można software'owo ale architektura x86 ma wsparcie sprzętowe

104 Debug Register Rootkit! Debugować można software'owo ale architektura x86 ma wsparcie sprzętowe Ile osób na sali o tym wiedziało? :)

105 Debug Register Rootkit! Debugować można software'owo ale architektura x86 ma wsparcie sprzętowe Ile osób na sali o tym wiedziało? :) Rejestry DR*: DR[0..3] breakpoint DR6 modyfikowany w czasie wystąpienia breakpoint'a DR7 konfigurowanie kiedy ma być wywołane przerwanie

106 Debug Register Rootkit! Co możemy zrobić? Breakpoint na system_call i sysetner_entry

107 Debug Register Rootkit! Co możemy zrobić? Breakpoint na system_call i sysetner_entry Wygenerowanie przerwania 1

108 Debug Register Rootkit! Co możemy zrobić? Breakpoint na system_call i sysetner_entry Wygenerowanie przerwania 1 Wpis w IDT wskazuje na funkcję do_debug... podmieńmy ją!

109 Debug Register Rootkit! Co możemy zrobić? Breakpoint na system_call i sysetner_entry Wygenerowanie przerwania 1 Wpis w IDT wskazuje na funkcje do_debug... podmieńmy ją! OMG! Znowu przejęliśmy kontrolę nad wszystkimi przerwaniami ;)

110 Debug Register Rootkit! Zalety: Bardzo cichy Bardzo trudny do wykrycia Cały czas jesteśmy w przestrzeni jądra ;)

111 Debug Register Rootkit! Zalety: Bardzo cichy Bardzo trudny do wykrycia Cały czas jesteśmy w przestrzeni jądra ;) Wady: Zaawansowany i trudny do napisania Działa TYLKO na archiktekturze x86

112 Debug Register Rootkit! Jak wykryć? Monitorować rejestry procesora DR*...

113 Debug Register Rootkit! Jak wykryć? Monitorować rejestry procesora DR*... Konkluzja... ktoś ma prawa root?

114 Debug Register Rootkit! Jak wykryć? Monitorować rejestry procesora DR*... Konkluzja... ktoś ma prawa root? GAME OVER!!!

115 Black Market...

116 Black Market...

117 Black Market...

118 PHALANX!!! Black Market...

119 PHALANX!!! Black Market...

120 Black Market... PHALANX!!! - charakterystyka: Oficjalnie nie istnieje

121 Black Market... PHALANX!!! - charakterystyka: Oficjalnie nie istnieje Dostępne źródła są dla wersji phalanx 1 beta 6 (z roku 2005)

122 PHALANX!!! - charakterystyka: Oficjalnie nie istnieje Dostępne źródła są dla wersji phalanx 1 beta 6 (z roku 2005) Black Market... Świat dowiedział się o ciągłym rozwijaniu rookita w 2008 automat do zabijania SSH keys

123 PHALANX!!! - charakterystyka: Oficjalnie nie istnieje Dostępne źródła są dla wersji phalanx 1 beta 6 (z roku 2005) Black Market... Świat dowiedział się o ciągłym rozwijaniu rookita w 2008 automat do zabijania SSH keys Podobno 2.4 jest ostatnim wypustem...

124 PHALANX!!! - charakterystyka: Oficjalnie nie istnieje Dostępne źródła są dla wersji phalanx 1 beta 6 (z roku 2005) Black Market... Świat dowiedział się o ciągłym rozwijaniu rookita w 2008 automat do zabijania SSH keys Podobno 2.4 jest ostatnim wypustem... a ostatnią wersją którą analizowałem była 2.5e ;)

125 Black Market... PHALANX!!! - charakterystyka: Własny protokół komunikacji

126 Black Market... PHALANX!!! - charakterystyka: Własny protokół komunikacji Co najmniej podwójne szyfrowanie

127 Black Market... PHALANX!!! - charakterystyka: Własny protokół komunikacji Co najmniej podwójne szyfrowanie Omija restrykcje związane z urządzeniem /dev/ [k]mem

128 Black Market... PHALANX!!! - charakterystyka: Własny protokół komunikacji Co najmniej podwójne szyfrowanie Omija restrykcje związane z urządzeniem /dev/ [k]mem Przejmuje prawie wszystkie wywołania systemowe oraz uchwyty sygnałów

129 Black Market... PHALANX!!! - charakterystyka: Własny protokół komunikacji Co najmniej podwójne szyfrowanie Omija restrykcje związane z urządzeniem /dev/ [k]mem Przejmuje prawie wszystkie wywołania systemowe oraz uchwyty sygnałów Doskonale się ukrywa

130 Black Market... PHALANX!!! - charakterystyka: Własny protokół komunikacji Co najmniej podwójne szyfrowanie Omija restrykcje związane z urządzeniem /dev/ [k]mem Przejmuje prawie wszystkie wywołania systemowe oraz uchwyty sygnałów Doskonale się ukrywa Ma opcję 'uninstall' ;)...

131 Black Market... PHALANX!!! - charakterystyka: Własny protokół komunikacji Co najmniej podwójne szyfrowanie Omija restrykcje związane z urządzeniem /dev/ [k]mem Przejmuje prawie wszystkie wywołania systemowe oraz uchwyty sygnałów Doskonale się ukrywa Ma opcję 'uninstall' ;)... ale nie usuwa ona rootkit'a całkowicie!!!

132 PHALANX!!! - charakterystyka: Ma błędy ;p Black Market...

133 PHALANX!!! - charakterystyka: Ma błędy ;p Black Market... Można wykryć rootkit'a prosty błąd = czas do załatania

134 PHALANX!!! - charakterystyka: Ma błędy ;p Black Market... Można wykryć rootkit'a prosty błąd = czas do załatania Ma remote stack overflowa pre-auth ;)

135 PHALANX!!! - charakterystyka: Ma błędy ;p Można wykryć rootkit'a prosty błąd = czas do załatania Ma remote stack overflowa pre-auth ;) Black Market... Możliwość zdalnego wykrycia zainfekowanych maszyn

136 PHALANX!!! - charakterystyka: Ma błędy ;p Black Market... Można wykryć rootkit'a prosty błąd = czas do załatania Ma remote stack overflowa pre-auth ;) Możliwość zdalnego wykrycia zainfekowanych maszyn Możliwość napisania remote exploita na zainfekowane maszyny ;)

137 PHALANX!!! - charakterystyka: Ma błędy ;p Black Market... Można wykryć rootkit'a prosty błąd = czas do załatania Ma remote stack overflowa pre-auth ;) Możliwość zdalnego wykrycia zainfekowanych maszyn Możliwość napisania remote exploita na zainfekowane maszyny ;) Są rzeczy, o których mało kto wie ;)

138 Black Market... Upgrade Debug Register Rootkit: Break point na samego siebie naprawdę trudny do wykrycia! ;)

139 ?

140 DZIĘKUJĘ ZA UWAGĘ!