Linux vs rootkits. - Adam 'pi3' Zabrocki

Transkrypt

1 Linux vs rootkits - Adam 'pi3' Zabrocki

2 /usr/bin/whoami ADAM ZABROCKI

3 /usr/bin/whoami ADAM ZABROCKI

4 /usr/bin/whoami ADAM ZABROCKI (lub oficjalnie

5 Plan prezentacji: Wstęp (wirus / malware / rootkit) Współczesne rootkit'y w skrócie Rootkity: User Space Kernel Space LKM Non-LKM Debug Register Rootkit Black Market...

6 Wstęp: Wirus komputerowy: 1970/71 Creeper (TeneX OS) DEC PDP

7 Wstęp: Wirus komputerowy: 1970/71 Creeper (TeneX OS) DEC PDP Powielanie się... MUSI mieć nosiciela Słabość systemów bądź beztroskę użytkowników

8 Wstęp: Robak komputerowy: 2 listopada pogromca UNIX'ów

9 Wstęp: Robak komputerowy: 2 listopada pogromca UNIX'ów Samoreplikujący się! Zazwyczaj wirus + dodatki (backdoor, koń trojański, itp.)

10 Wstęp: Rootkit: User root + narzędzia kit = rootkit

11 Wstęp: Rootkit: User root + narzędzia kit = rootkit Ukrywa procesy Ukrywa pliki Ukrywa połączenia sieciowe Backdoor (Key/Traffic/*) Logger Ukrywa siebie...

12 Teoria vs praktyka

13 Rootkit'y dzisiaj Wirus + Trojan + Rootkit + Malware połączone w jedność => potocznie zwane malware

14 Rootkit'y:

15 Rootkit'y: User Space rootkits: Ukrywa procesy Ukrywa pliki Ukrywa połączenia sieciowe Backdoor (Key/Traffic/*) Logger Ukrywa siebie...

16 Rootkit'y: User Space rootkits: Ukrywa procesy (ps/... ) Ukrywa pliki Ukrywa połączenia sieciowe Backdoor (Key/Traffic/*) Logger Ukrywa siebie...

17 Rootkit'y: User Space rootkits: Ukrywa procesy (ps/... ) Ukrywa pliki (ls/dir/...) Ukrywa połączenia sieciowe Backdoor (Key/Traffic/*) Logger Ukrywa siebie...

18 Rootkit'y: User Space rootkits: Ukrywa procesy (ps/... ) Ukrywa pliki (ls/dir/...) Ukrywa połączenia sieciowe (netstat/...) Backdoor (Key/Traffic/*) Logger Ukrywa siebie...

19 Rootkit'y: User Space rootkits: Ukrywa procesy (ps/... ) Ukrywa pliki (ls/dir/...) Ukrywa połączenia sieciowe (netstat/...) Backdoor (ssh[d]/ftp/...) (Key/Traffic/*) Logger Ukrywa siebie...

20 User Space Rootkits: Zalety: Prostota

21 User Space Rootkits: Zalety: Prostota Bezpieczeństwo

22 User Space Rootkits: Zalety: Prostota Bezpieczeństwo Stabilność

23 User Space Rootkits: Zalety: Prostota Bezpieczeństwo Stabilność Przenośność

24 User Space Rootkits: Wady: Bardzo proste do wykrycia (checksum/'czyste' narzędzia/...)

25 User Space Rootkits: Wady: Bardzo proste do wykrycia (checksum/'czyste' narzędzia/...) Wiele programów

26 User Space Rootkits: Wady: Bardzo proste do wykrycia (checksum/'czyste' narzędzia/...) Wiele programów Upgrade może zabić

27 User Space Rootkits: Wady: Bardzo proste do wykrycia (checksum/'czyste' narzędzia/...) Wiele programów Upgrade może zabić Mało edukacyjne ;)

28 Kernel Space Rootkits: Analiza wywołania systemowego na przykładzie serwera Apache...

29 Loadable Kernel Module Rootkits:

30 Loadable Kernel Module Rootkits:

31 Loadable Kernel Module Rootkits:... ale: Od wersji >= sys_call_table RO

32 Loadable Kernel Module Rootkits:... ale: Od wersji >= sys_call_table RO... więc zmieniamy atrybut strony na RW

33 Loadable Kernel Module Rootkits:... ale: Od wersji >= sys_call_table RO... więc zmieniamy atrybut strony na RW Od wersji >= zmieniony mechanizm zmiany atrybutów strony ;)

34 Loadable Kernel Module Rootkits:... ale: Od wersji >= sys_call_table RO... więc zmieniamy atrybut strony na RW Od wersji >= zmieniony mechanizm zmiany atrybutów strony ;) Nadal da się to zrobić, ale to bardzo kłopotliwe

35 Loadable Kernel Module Rootkits:... ale: Od wersji >= sys_call_table RO... więc zmieniamy atrybut strony na RW Od wersji >= zmieniony mechanizm zmiany atrybutów strony ;) Nadal da się to zrobić, ale to bardzo kłopotliwe Można sobie życie uprościć...

36 Loadable Kernel Module Rootkits:

37 Loadable Kernel Module Rootkits:

38 Loadable Kernel Module Rootkits: Co złego zrobiliśmy? Adres wejścia do sys_call_table

39 Loadable Kernel Module Rootkits: Co złego zrobiliśmy? Adres wejścia do sys_call_table OMG! Kontrolujemy wszystkie wywołania systemowe

40 Loadable Kernel Module Rootkits: Co złego zrobiliśmy? Adres wejścia do sys_call_table OMG! Kontrolujemy wszystkie wywołania systemowe... wystarczy dobrze zaprojektować własną sys_call_table ;)

41 Loadable Kernel Module rootkits podsumowanie: Zalety: Modyfikujemy TYLKO kernel

42 Loadable Kernel Module rootkits podsumowanie: Zalety: Modyfikujemy TYLKO kernel Jesteśmy ograniczeni tylko wyobraźnią... i wiedzą (zawsze 'coś' się znajdzie ;))

43 Loadable Kernel Module rootkits podsumowanie: Zalety: Modyfikujemy TYLKO kernel Jesteśmy ograniczeni tylko wyobraźnią... i wiedzą (zawsze 'coś' się znajdzie ;)) Wady: Łatwo zniszczyć system

44 Loadable Kernel Module rootkits podsumowanie: Zalety: Modyfikujemy TYLKO kernel Jesteśmy ograniczeni tylko wyobraźnią... i wiedzą (zawsze 'coś' się znajdzie ;)) Wady: Łatwo zniszczyć system Mały błąd może zaburzyć działanie aplikacji

45 Loadable Kernel Module rootkits podsumowanie: Zalety: Modyfikujemy TYLKO kernel Jesteśmy ograniczeni tylko wyobraźnią... i wiedzą (zawsze 'coś' się znajdzie ;)) Wady: Łatwo zniszczyć system Mały błąd może zaburzyć działanie aplikacji Słaby projekt backdoora może skutkować wywołaniem w nieodpowiednim momencie

46 Non LKM Rootkits: Czemu?

47 Non LKM Rootkits: Czemu? Co zyskujemy?

48 Non LKM Rootkits:

49 Non LKM Rootkits: Czemu? Co zyskujemy? Jak działają? /dev/[k]mem

50 Non LKM Rootkits: Czemu? Co zyskujemy? Jak działają? /dev/[k]mem Statyczne łatanie jądra (vmlinuz)

51 Non LKM Rootkits: Czemu? Co zyskujemy? Jak działają? /dev/[k]mem Statyczne łatanie jądra (vmlinuz) Bootkit'y (np. Grub)

52 Non LKM Rootkits: Czemu? Co zyskujemy? Jak działają? /dev/[k]mem Statyczne łatanie jądra (vmlinuz) Bootkit'y (np. Grub) BIOS rootkit

53 Zalety: Non LKM Rootkits: Bardzo ciężkie do wykrycia Funkcjonalność taka sama jak w przypadku LKM Wady: Trzeba pomyśleć co po restarcie ;) Zmiana kernel'a może być krytyczna dla rootkit'a Nieprzenośne i trudne w pisaniu

54 Wykrywanie?

55 Wykrywanie? No właśnie jak? Porównywanie adresów Porównywanie wyników Każdy rootkit ma swoją własną charakterystykę

56 Wykrywanie? No właśnie jak? Porównywanie adresów Porównywanie wyników Każdy rootkit ma swoją własną charakterystykę Protekcja?: Monitorowanie modułów Nowe jądra zabraniają pisania do /dev/ [k]mem Backup adresów i monitorowanie pamięci ;)

57 Co dalej? Problemy: Problemy z podmianą sys_call_table Jądro ochrania sys_call_table Moduły łatwo wykryć i się zabezpieczyć Brak możliwości pisania do /dev/ [k]mem 'vmlinuz' prosto monitorować

58 Debug Register Rootkit!

59 Debug Register Rootkit! Debugować można software'owo...

60 Debug Register Rootkit! Debugować można software'owo ale architektura x86 ma wsparcie sprzętowe

61 Debug Register Rootkit! Debugować można software'owo ale architektura x86 ma wsparcie sprzętowe Rejestry DR*: DR[0..3] breakpoint DR6 modyfikowany w czasie wystąpienia breakpoint'a DR7 konfigurowanie kiedy ma być wywołane przerwanie

62 Debug Register Rootkit! Co możemy zrobić? Breakpoint na system_call i sysetner_entry

63 Debug Register Rootkit! Co możemy zrobić? Breakpoint na system_call i sysetner_entry Wygenerowanie przerwania 1

64 Debug Register Rootkit! Co możemy zrobić? Breakpoint na system_call i sysetner_entry Wygenerowanie przerwania 1 Wpis w IDT wskazuje na funkcję do_debug... podmieńmy ją!

65 Debug Register Rootkit! Co możemy zrobić? Breakpoint na system_call i sysetner_entry Wygenerowanie przerwania 1 Wpis w IDT wskazuje na funkcje do_debug... podmieńmy ją! OMG! Znowu przejęliśmy kontrolę nad wszystkimi przerwaniami ;)

66 Debug Register Rootkit! Zalety: Bardzo cichy Bardzo trudny do wykrycia Cały czas jesteśmy w przestrzeni jądra ;)

67 Debug Register Rootkit! Zalety: Bardzo cichy Bardzo trudny do wykrycia Cały czas jesteśmy w przestrzeni jądra ;) Wady: Zaawansowany i trudny do napisania Działa TYLKO na archiktekturze x86

68 Debug Register Rootkit! Jak wykryć? Monitorować rejestry procesora DR*...

69 Debug Register Rootkit! Jak wykryć? Monitorować rejestry procesora DR*... Konkluzja... ktoś ma prawa root?

70 Debug Register Rootkit! Jak wykryć? Monitorować rejestry procesora DR*... Konkluzja... ktoś ma prawa root? GAME OVER!!!

71 Black Market...

72 Black Market...

73 Black Market...

74 PHALANX!!! Black Market...

75 PHALANX!!! Black Market...

76 Black Market... PHALANX!!! - charakterystyka: Oficjalnie nie istnieje

77 Black Market... PHALANX!!! - charakterystyka: Oficjalnie nie istnieje Dostępne źródła są dla wersji phalanx 1 beta 6 (z roku 2005)

78 PHALANX!!! - charakterystyka: Oficjalnie nie istnieje Dostępne źródła są dla wersji phalanx 1 beta 6 (z roku 2005) Black Market... Świat dowiedział się o ciągłym rozwijaniu rookita w 2008 automat do zabijania SSH keys

79 PHALANX!!! - charakterystyka: Oficjalnie nie istnieje Dostępne źródła są dla wersji phalanx 1 beta 6 (z roku 2005) Black Market... Świat dowiedział się o ciągłym rozwijaniu rookita w 2008 automat do zabijania SSH keys Podobno 2.4 jest ostatnim wypustem...

80 PHALANX!!! - charakterystyka: Oficjalnie nie istnieje Dostępne źródła są dla wersji phalanx 1 beta 6 (z roku 2005) Black Market... Świat dowiedział się o ciągłym rozwijaniu rookita w 2008 automat do zabijania SSH keys Podobno 2.4 jest ostatnim wypustem... a ostatnią wersją którą analizowałem była 2.5e ;)

81 Black Market... PHALANX!!! - charakterystyka: Własny protokół komunikacji

82 Black Market... PHALANX!!! - charakterystyka: Własny protokół komunikacji Co najmniej podwójne szyfrowanie

83 Black Market... PHALANX!!! - charakterystyka: Własny protokół komunikacji Co najmniej podwójne szyfrowanie Omija restrykcje związane z urządzeniem /dev/ [k]mem

84 Black Market... PHALANX!!! - charakterystyka: Własny protokół komunikacji Co najmniej podwójne szyfrowanie Omija restrykcje związane z urządzeniem /dev/ [k]mem Przejmuje prawie wszystkie wywołania systemowe oraz uchwyty sygnałów

85 Black Market... PHALANX!!! - charakterystyka: Własny protokół komunikacji Co najmniej podwójne szyfrowanie Omija restrykcje związane z urządzeniem /dev/ [k]mem Przejmuje prawie wszystkie wywołania systemowe oraz uchwyty sygnałów Doskonale się ukrywa

86 Black Market... PHALANX!!! - charakterystyka: Własny protokół komunikacji Co najmniej podwójne szyfrowanie Omija restrykcje związane z urządzeniem /dev/ [k]mem Przejmuje prawie wszystkie wywołania systemowe oraz uchwyty sygnałów Doskonale się ukrywa Ma opcję 'uninstall' ;)...

87 Black Market... PHALANX!!! - charakterystyka: Własny protokół komunikacji Co najmniej podwójne szyfrowanie Omija restrykcje związane z urządzeniem /dev/ [k]mem Przejmuje prawie wszystkie wywołania systemowe oraz uchwyty sygnałów Doskonale się ukrywa Ma opcję 'uninstall' ;)... ale nie usuwa ona rootkit'a całkowicie!!!

88 PHALANX!!! - charakterystyka: Ma błędy ;p Black Market...

89 PHALANX!!! - charakterystyka: Ma błędy ;p Black Market... Można wykryć rootkit'a prosty błąd = czas do załatania

90 PHALANX!!! - charakterystyka: Ma błędy ;p Black Market... Można wykryć rootkit'a prosty błąd = czas do załatania Ma remote stack overflowa pre-auth ;)

91 PHALANX!!! - charakterystyka: Ma błędy ;p Można wykryć rootkit'a prosty błąd = czas do załatania Ma remote stack overflowa pre-auth ;) Black Market... Możliwość zdalnego wykrycia zainfekowanych maszyn

92 PHALANX!!! - charakterystyka: Ma błędy ;p Black Market... Można wykryć rootkit'a prosty błąd = czas do załatania Ma remote stack overflowa pre-auth ;) Możliwość zdalnego wykrycia zainfekowanych maszyn Możliwość napisania remote exploita na zainfekowane maszyny ;)

93 Black Market... Upgrade Debug Register Rootkit: Break point na samego siebie naprawdę trudny do wykrycia! ;)

94 ?

95 DZIĘKUJĘ ZA UWAGĘ!