底層控制,終結(jié)內(nèi)核級(jí)殺手

精品文檔-下載后可編輯底層控制,終結(jié)內(nèi)核級(jí)殺手近兩年，熊貓燒香、灰鴿子、磁碟機(jī)等不斷衍生，其變種更是呈幾何級(jí)數(shù)地增長(zhǎng)，令傳統(tǒng)安全產(chǎn)品疲于應(yīng)付；在破壞性方面，從網(wǎng)絡(luò)擁堵到感染可執(zhí)行文件，再到擊破硬盤還原等等，給信息系統(tǒng)帶來(lái)了巨大的損失。其中，最具摧毀性的無(wú)疑是rootkit類攻擊工具，因?yàn)樗腔诓僮飨到y(tǒng)內(nèi)核級(jí)的，危及面覆蓋信息系統(tǒng)里的所有業(yè)務(wù)應(yīng)用及數(shù)據(jù)，前段時(shí)間瘋狂作惡的磁碟機(jī)病毒，在侵入系統(tǒng)時(shí)就加載了大量rootkit組件進(jìn)行破壞。

Rootkit的狠招

系統(tǒng)中病毒時(shí)，管理員們通常的做法是查看可疑進(jìn)程，然后一路追殺到文件目錄進(jìn)行清除。隨著攻擊技術(shù)水平的提升，像制造疑似系統(tǒng)進(jìn)程名這樣的初級(jí)手段已少有人用，攻擊者往往直接將攻擊進(jìn)程嵌入系統(tǒng)進(jìn)程，這時(shí)候，只有借助專門的進(jìn)程管理器（如procexp等）才能發(fā)現(xiàn)。Rootkit則更進(jìn)一步，這種內(nèi)核級(jí)后門通過(guò)自身的偽裝和隱藏，運(yùn)行時(shí)根本沒(méi)有進(jìn)程顯示。

我們知道，程序運(yùn)行的時(shí)候，系統(tǒng)會(huì)在內(nèi)存中寫入一些數(shù)據(jù)結(jié)構(gòu)，進(jìn)程管理器就是通過(guò)這些數(shù)據(jù)結(jié)構(gòu)來(lái)顯示進(jìn)程的。Rootkit的做法是在內(nèi)核層修改這些數(shù)據(jù)結(jié)構(gòu)，用自帶的ps、top等程序替代原有系統(tǒng)程序，從而達(dá)到隱藏進(jìn)程的目的。很顯然，現(xiàn)在再用pslist進(jìn)程查看工具已經(jīng)無(wú)濟(jì)于事了。

在隱藏文件時(shí)，rootkit也是在系統(tǒng)內(nèi)核層做手腳。具體做法是修改內(nèi)核文件系統(tǒng)的代碼，用自己編寫的ls程序來(lái)替換，從而使原有的ls文件目錄查看工具形同虛設(shè)。

從以上的分析可以看出，通過(guò)修改操作系統(tǒng)的核心服務(wù)（進(jìn)程管理、文件系統(tǒng)），rootkit可以悄無(wú)聲息地實(shí)施攻擊行為。此外，rootkit還有專門的工具來(lái)提升權(quán)限，這樣一來(lái)，信息系統(tǒng)的控制權(quán)隨時(shí)面臨著轉(zhuǎn)手他人的危險(xiǎn)。

事實(shí)上，黑客們?cè)谥谱鞴ぞ邥r(shí)，通常都會(huì)考慮到攻擊效率而專門針對(duì)操作系統(tǒng)來(lái)開(kāi)發(fā)，很少有針對(duì)應(yīng)用程序的。另一方面，操作系統(tǒng)是硬件與軟件之間唯一的交互平臺(tái)，擁有硬件設(shè)備及應(yīng)用軟件的唯一控制權(quán)?！捌シ驘o(wú)罪，懷璧其罪”的道理在0與1交互的虛擬世界同樣有效，操作系統(tǒng)特別是服務(wù)器的操作系統(tǒng)岌岌可危。

就像人為了防止生病而增強(qiáng)肌體免疫力一樣，為了抵御面臨的安全風(fēng)險(xiǎn)，操作系統(tǒng)同樣需要提升自身的免疫力，其中很重要的一項(xiàng)技術(shù)就是操作系統(tǒng)安全加固技術(shù)，即ROST。

ROST的策略

與rootkit一樣，ROST也是系統(tǒng)內(nèi)核級(jí)的攻防技術(shù)，其思路是對(duì)系統(tǒng)核心服務(wù)（文件系統(tǒng)、過(guò)程控制、內(nèi)存控制等）加以控制，在系統(tǒng)用戶層及內(nèi)核層之間構(gòu)筑一道關(guān)卡，根據(jù)事先制定的策略對(duì)交互信息進(jìn)行過(guò)濾，從而杜絕了非法用戶對(duì)內(nèi)核資源的訪問(wèn)（包括進(jìn)程調(diào)用、文件訪問(wèn)等）。

Windows操作系統(tǒng)分為用戶模式和內(nèi)核模式。用戶模式包括系統(tǒng)支持進(jìn)程、服務(wù)進(jìn)程、用戶進(jìn)程、環(huán)境子系統(tǒng)等，在運(yùn)行時(shí)需要調(diào)用原始的Windows操作系統(tǒng)服務(wù)，其中服務(wù)進(jìn)程及用戶進(jìn)程通過(guò)子系統(tǒng)動(dòng)態(tài)連接庫(kù)發(fā)起調(diào)用。在內(nèi)核模式中，執(zhí)行體包含了基本的操作系統(tǒng)服務(wù)，比如內(nèi)存管理、進(jìn)程和線程管理、I/O、網(wǎng)絡(luò)等。Windows內(nèi)核是一組底層的操作系統(tǒng)功能，比如線程調(diào)度、中斷、異常分發(fā)等，執(zhí)行體利用這些例程和對(duì)象實(shí)現(xiàn)更高層次的功能；設(shè)備驅(qū)動(dòng)程序包括硬件設(shè)備驅(qū)動(dòng)程序，文件系統(tǒng)和網(wǎng)絡(luò)驅(qū)動(dòng)程序，其中硬件設(shè)備驅(qū)動(dòng)程序?qū)⒂脩舻腎/O函數(shù)調(diào)用轉(zhuǎn)換成特定的硬件設(shè)備I/O請(qǐng)求；硬件抽象層是一層特殊代碼，把內(nèi)核、設(shè)備驅(qū)動(dòng)程序和Windows執(zhí)行體跟平臺(tái)相關(guān)的硬件差異隔離開(kāi)來(lái)。

基于策略的強(qiáng)制訪問(wèn)控制

ROST技術(shù)的實(shí)現(xiàn)，是在內(nèi)核中放置一組安全HOOKS函數(shù)來(lái)控制對(duì)內(nèi)核對(duì)象的訪問(wèn)。當(dāng)用戶進(jìn)程向系統(tǒng)發(fā)送調(diào)用請(qǐng)求時(shí)，系統(tǒng)首先將消息送給相應(yīng)類別（鼠標(biāo)、系統(tǒng)、線程等）的HOOKS，后者根據(jù)函數(shù)內(nèi)容對(duì)消息進(jìn)判斷，決定是否將其傳送給下一個(gè)HOOKS函數(shù)，以此類推，直到傳送到目標(biāo)進(jìn)程、文件等核心資源。

HOOKS判斷的依據(jù)為事先制定的策略，即HOOKS函數(shù)對(duì)文件、進(jìn)程等操作系統(tǒng)關(guān)鍵客體所做的敏感標(biāo)記。ROST強(qiáng)制訪問(wèn)控制過(guò)濾程序接收到用戶的調(diào)用請(qǐng)求后，將遍歷策略表以對(duì)用戶信息（MAC地址、請(qǐng)求內(nèi)容等）進(jìn)行校檢，符合策略的請(qǐng)求將立即轉(zhuǎn)交原服務(wù)函數(shù)，否則丟棄。在基于策略的強(qiáng)制訪問(wèn)控制下，攻擊者即使通過(guò)rootkit或別的工具獲取管理員權(quán)限，也無(wú)法再像以前一樣為所欲為。

在開(kāi)源操作系統(tǒng)Linux中，ROST的實(shí)現(xiàn)方法是在內(nèi)核源代碼中放置HOOKS。用戶進(jìn)程運(yùn)行時(shí)，首先會(huì)調(diào)用系統(tǒng)接口，然后進(jìn)行錯(cuò)誤檢查和Linux的自主訪問(wèn)控制檢測(cè)，在Linux內(nèi)核試圖對(duì)內(nèi)部對(duì)象進(jìn)行訪問(wèn)之前，一個(gè)Linux安全模塊（LSM）的HOOKS對(duì)安全模塊所必須提供的函數(shù)進(jìn)行一個(gè)調(diào)用，從而對(duì)安全模塊提出訪問(wèn)請(qǐng)求，安全模塊根據(jù)其安全策略進(jìn)行決策，做出回答即允許用戶訪問(wèn)，或者拒絕進(jìn)而返回一個(gè)錯(cuò)誤。

ROST的實(shí)際應(yīng)用

目前，我國(guó)在ROST技術(shù)產(chǎn)品化工作方面已取得了一些進(jìn)展，浪潮服務(wù)器安全加固系統(tǒng)（SSR）就是首款擁有自主產(chǎn)權(quán)的ROST具體產(chǎn)品。該產(chǎn)品在部署初期即對(duì)服務(wù)器系統(tǒng)中的文件、進(jìn)程等指定敏感標(biāo)記，并根據(jù)用戶級(jí)別制定了詳細(xì)的