底層控制,終結(jié)內(nèi)核級殺手

精品文檔-下載后可編輯底層控制,終結(jié)內(nèi)核級殺手近兩年，熊貓燒香、灰鴿子、磁碟機(jī)等不斷衍生，其變種更是呈幾何級數(shù)地增長，令傳統(tǒng)安全產(chǎn)品疲于應(yīng)付；在破壞性方面，從網(wǎng)絡(luò)擁堵到感染可執(zhí)行文件，再到擊破硬盤還原等等，給信息系統(tǒng)帶來了巨大的損失。其中，最具摧毀性的無疑是rootkit類攻擊工具，因?yàn)樗腔诓僮飨到y(tǒng)內(nèi)核級的，危及面覆蓋信息系統(tǒng)里的所有業(yè)務(wù)應(yīng)用及數(shù)據(jù)，前段時(shí)間瘋狂作惡的磁碟機(jī)病毒，在侵入系統(tǒng)時(shí)就加載了大量rootkit組件進(jìn)行破壞。

Rootkit的狠招

系統(tǒng)中病毒時(shí)，管理員們通常的做法是查看可疑進(jìn)程，然后一路追殺到文件目錄進(jìn)行清除。隨著攻擊技術(shù)水平的提升，像制造疑似系統(tǒng)進(jìn)程名這樣的初級手段已少有人用，攻擊者往往直接將攻擊進(jìn)程嵌入系統(tǒng)進(jìn)程，這時(shí)候，只有借助專門的進(jìn)程管理器（如procexp等）才能發(fā)現(xiàn)。Rootkit則更進(jìn)一步，這種內(nèi)核級后門通過自身的偽裝和隱藏，運(yùn)行時(shí)根本沒有進(jìn)程顯示。

我們知道，程序運(yùn)行的時(shí)候，系統(tǒng)會(huì)在內(nèi)存中寫入一些數(shù)據(jù)結(jié)構(gòu)，進(jìn)程管理器就是通過這些數(shù)據(jù)結(jié)構(gòu)來顯示進(jìn)程的。Rootkit的做法是在內(nèi)核層修改這些數(shù)據(jù)結(jié)構(gòu)，用自帶的ps、top等程序替代原有系統(tǒng)程序，從而達(dá)到隱藏進(jìn)程的目的。很顯然，現(xiàn)在再用pslist進(jìn)程查看工具已經(jīng)無濟(jì)于事了。

在隱藏文件時(shí)，rootkit也是在系統(tǒng)內(nèi)核層做手腳。具體做法是修改內(nèi)核文件系統(tǒng)的代碼，用自己編寫的ls程序來替換，從而使原有的ls文件目錄查看工具形同虛設(shè)。

從以上的分析可以看出，通過修改操作系統(tǒng)的核心服務(wù)（進(jìn)程管理、文件系統(tǒng)），rootkit可以悄無聲息地實(shí)施攻擊行為。此外，rootkit還有專門的工具來提升權(quán)限，這樣一來，信息系統(tǒng)的控制權(quán)隨時(shí)面臨著轉(zhuǎn)手他人的危險(xiǎn)。

事實(shí)上，黑客們在制作工具時(shí)，通常都會(huì)考慮到攻擊效率而專門針對操作系統(tǒng)來開發(fā)，很少有針對應(yīng)用程序的。另一方面，操作系統(tǒng)是硬件與軟件之間唯一的交互平臺(tái)，擁有硬件設(shè)備及應(yīng)用軟件的唯一控制權(quán)?！捌シ驘o罪，懷璧其罪”的道理在0與1交互的虛擬世界同樣有效，操作系統(tǒng)特別是服務(wù)器的操作系統(tǒng)岌岌可危。

就像人為了防止生病而增強(qiáng)肌體免疫力一樣，為了抵御面臨的安全風(fēng)險(xiǎn)，操作系統(tǒng)同樣需要提升自身的免疫力，其中很重要的一項(xiàng)技術(shù)就是操作系統(tǒng)安全加固技術(shù)，即ROST。

ROST的策略

與rootkit一樣，ROST也是系統(tǒng)內(nèi)核級的攻防技術(shù)，其思路是對系統(tǒng)核心服務(wù)（文件系統(tǒng)、過程控制、內(nèi)存控制等）加以控制，在系統(tǒng)用戶層及內(nèi)核層之間構(gòu)筑一道關(guān)卡，根據(jù)事先制定的策略對交互信息進(jìn)行過濾，從而杜絕了非法用戶對內(nèi)核資源的訪問（包括進(jìn)程調(diào)用、文件訪問等）。

Windows操作系統(tǒng)分為用戶模式和內(nèi)核模式。用戶模式包括系統(tǒng)支持進(jìn)程、服務(wù)進(jìn)程、用戶進(jìn)程、環(huán)境子系統(tǒng)等，在運(yùn)行時(shí)需要調(diào)用原始的Windows操作系統(tǒng)服務(wù)，其中服務(wù)進(jìn)程及用戶進(jìn)程通過子系統(tǒng)動(dòng)態(tài)連接庫發(fā)起調(diào)用。在內(nèi)核模式中，執(zhí)行體包含了基本的操作系統(tǒng)服務(wù)，比如內(nèi)存管理、進(jìn)程和線程管理、I/O、網(wǎng)絡(luò)等。Windows內(nèi)核是一組底層的操作系統(tǒng)功能，比如線程調(diào)度、中斷、異常分發(fā)等，執(zhí)行體利用這些例程和對象實(shí)現(xiàn)更高層次的功能；設(shè)備驅(qū)動(dòng)程序包括硬件設(shè)備驅(qū)動(dòng)程序，文件系統(tǒng)和網(wǎng)絡(luò)驅(qū)動(dòng)程序，其中硬件設(shè)備驅(qū)動(dòng)程序?qū)⒂脩舻腎/O函數(shù)調(diào)用轉(zhuǎn)換成特定的硬件設(shè)備I/O請求；硬件抽象層是一層特殊代碼，把內(nèi)核、設(shè)備驅(qū)動(dòng)程序和Windows執(zhí)行體跟平臺(tái)相關(guān)的硬件差異隔離開來。

基于策略的強(qiáng)制訪問控制

ROST技術(shù)的實(shí)現(xiàn)，是在內(nèi)核中放置一組安全HOOKS函數(shù)來控制對內(nèi)核對象的訪問。當(dāng)用戶進(jìn)程向系統(tǒng)發(fā)送調(diào)用請求時(shí)，系統(tǒng)首先將消息送給相應(yīng)類別（鼠標(biāo)、系統(tǒng)、線程等）的HOOKS，后者根據(jù)函數(shù)內(nèi)容對消息進(jìn)判斷，決定是否將其傳送給下一個(gè)HOOKS函數(shù)，以此類推，直到傳送到目標(biāo)進(jìn)程、文件等核心資源。

HOOKS判斷的依據(jù)為事先制定的策略，即HOOKS函數(shù)對文件、進(jìn)程等操作系統(tǒng)關(guān)鍵客體所做的敏感標(biāo)記。ROST強(qiáng)制訪問控制過濾程序接收到用戶的調(diào)用請求后，將遍歷策略表以對用戶信息（MAC地址、請求內(nèi)容等）進(jìn)行校檢，符合策略的請求將立即轉(zhuǎn)交原服務(wù)函數(shù)，否則丟棄。在基于策略的強(qiáng)制訪問控制下，攻擊者即使通過rootkit或別的工具獲取管理員權(quán)限，也無法再像以前一樣為所欲為。

在開源操作系統(tǒng)Linux中，ROST的實(shí)現(xiàn)方法是在內(nèi)核源代碼中放置HOOKS。用戶進(jìn)程運(yùn)行時(shí)，首先會(huì)調(diào)用系統(tǒng)接口，然后進(jìn)行錯(cuò)誤檢查和Linux的自主訪問控制檢測，在Linux內(nèi)核試圖對內(nèi)部對象進(jìn)行訪問之前，一個(gè)Linux安全模塊（LSM）的HOOKS對安全模塊所必須提供的函數(shù)進(jìn)行一個(gè)調(diào)用，從而對安全模塊提出訪問請求，安全模塊根據(jù)其安全策略進(jìn)行決策，做出回答即允許用戶訪問，或者拒絕進(jìn)而返回一個(gè)錯(cuò)誤。

ROST的實(shí)際應(yīng)用

目前，我國在ROST技術(shù)產(chǎn)品化工作方面已取得了一些進(jìn)展，浪潮服務(wù)器安全加固系統(tǒng)（SSR）就是首款擁有自主產(chǎn)權(quán)的ROST具體產(chǎn)品。該產(chǎn)品在部署初期即對服務(wù)器系統(tǒng)中的文件、進(jìn)程等指定敏感標(biāo)記，并根據(jù)用戶級別制定了詳細(xì)的