歡迎光臨
每天分享高質量文章

追溯 Linux 上的庫註入 | Linux 中國

庫註入在 Linux 上不如 Windows 上常見,但它仍然是一個問題。下來看看它們如何工作的,以及如何鑒別它們。

— Sandra Henry-stocker

 

庫註入Library injections在 Linux 上不如 Windows 上常見,但它仍然是一個問題。下來看看它們如何工作的,以及如何鑒別它們。

儘管在 Linux 系統上幾乎見不到,但庫(Linux 上的共享標的檔案)註入仍是一個嚴峻的威脅。在採訪了來自 AT&T; 公司 Alien 實驗室的 Jaime Blasco 後,我更加意識到了其中一些攻擊是多麼的易實施。

在這篇文章中,我會介紹一種攻擊方法和它的幾種檢測手段。我也會提供一些展示攻擊細節的鏈接和一些檢測工具。首先,引入一個小小的背景信息。

共享庫漏洞

DLL 和 .so 檔案都是允許代碼(有時候是資料)被不同的行程共享的共享庫檔案。公用的代碼可以放進一個檔案中使得每個需要它的行程可以重新使用而不是多次被重寫。這也促進了對公用代碼的管理。

Linux 行程經常使用這些共享庫。(顯示共享物件依賴的)ldd 命令可以對任何程式檔案顯示其共享庫。這裡有一些例子:

  1. $ ldd /bin/date
  2. linux-vdso.so.1 (0x00007ffc5f179000)
  3. libc.so.6 => /lib/x86_64-linux-gnu/libc.so.6 (0x00007f02bea15000)
  4. /lib64/ld-linux-x86-64.so.2 (0x00007f02bec3a000)
  5. $ ldd /bin/netstat
  6. linux-vdso.so.1 (0x00007ffcb67cd000)
  7. libselinux.so.1 => /lib/x86_64-linux-gnu/libselinux.so.1 (0x00007f45e5d7b000)
  8. libc.so.6 => /lib/x86_64-linux-gnu/libc.so.6 (0x00007f45e5b90000)
  9. libpcre.so.3 => /lib/x86_64-linux-gnu/libpcre.so.3 (0x00007f45e5b1c000)
  10. libdl.so.2 => /lib/x86_64-linux-gnu/libdl.so.2 (0x00007f45e5b16000)
  11. /lib64/ld-linux-x86-64.so.2 (0x00007f45e5dec000)
  12. libpthread.so.0 => /lib/x86_64-linux-gnu/libpthread.so.0 (0x00007f45e5af5000)

linux-vdso.so.1 (在一些系統上也許會有不同的名字)是內核自動映射到每個行程地址空間的檔案。它的工作是找到並定位行程所需的其他共享庫。

對庫加載機制加以利用的一種方法是通過使用 LD_PRELOAD 環境變數。正如 Jaime Blasco 在他的研究中所解釋的那樣,“LD_PRELOAD 是在行程啟動時加載共享庫的最簡單且最受歡迎的方法。可以將此環境變數配置到共享庫的路徑,以便在加載其他共享物件之前加載該共享庫。”

為了展示有多簡單,我創建了一個極其簡單的共享庫並且賦值給我的(之前不存在) LD_PRELOAD 環境變數。之後我使用 ldd 命令查看它對於常用 Linux 命令的影響。

  1. $ export LD_PRELOAD=/home/shs/shownum.so
  2. $ ldd /bin/date
  3. linux-vdso.so.1 (0x00007ffe005ce000)
  4. /home/shs/shownum.so (0x00007f1e6b65f000) <== 它在這裡
  5. libc.so.6 => /lib/x86_64-linux-gnu/libc.so.6 (0x00007f1e6b458000)
  6. /lib64/ld-linux-x86-64.so.2 (0x00007f1e6b682000)

註意,僅僅將新的庫賦給 LD_PRELOAD 就影響到了運行的任何程式。

通過設置 LD_PRELOAD 指定的共享庫首先被加載(緊隨 linux-vdso.so.1),這些庫可以極大程度上改變一個行程。例如,它們可以重定向系統呼叫到它們自己的資源,或對程式運行的行為方式進行意想不到的更改。

osquery 工具可以檢測庫註入

osquery 工具(可以在 osquery.io下載)提供了一個非常獨特的查看 Linux 系統的方式。它基本上將操作系統視作一個高性能的關係資料庫。然後,也許你會猜到,這就意味著它可以用來查詢並且生成 SQL 表,該表提供了諸如以下的詳細信息:

◈ 運行中的行程
◈ 加載的內核模塊
◈ 打開的網絡鏈接

一個提供了行程信息的內核表叫做 process_envs。它提供了各種行程使用環境變數的詳細信息。Jaime Blasco 提供了一個相當複雜的查詢,可以使用 osquery 識別出使用 LD_PRELOAD 的行程。

註意,這個查詢是從 process_envs 表中獲取資料。攻擊 ID(T1055)參考 Mitre 對攻擊方法的解釋

  1. SELECT process_envs.pid as source_process_id, process_envs.key as environment_variable_key, process_envs.value as environment_variable_value, processes.name as source_process, processes.path as file_path, processes.cmdline as source_process_commandline, processes.cwd as current_working_directory, 'T1055' as event_attack_id, 'Process Injection' as event_attack_technique, 'Defense Evasion, Privilege Escalation' as event_attack_tactic FROM process_envs join processes USING (pid) WHERE key = 'LD_PRELOAD';

註意 LD_PRELOAD 環境變數有時是合法使用的。例如,各種安全監控工具可能會使用到它,因為開發人員需要進行故障排除、除錯或性能分析。然而,它的使用仍然很少見,應當加以防範。

同樣值得註意的是 osquery 可以交互使用或是作為定期查詢的守護行程去運行。瞭解更多請查閱文章末尾給出的參考。

你也能夠通過查看用戶的環境設置來定位 LD_PRELOAD 的使用。如果在用戶賬戶中使用了 LD_PRELOAD,你可以使用這樣的命令來查看(假定以個人身份登錄後):

  1. $ env | grep PRELOAD
  2. LD_PRELOAD=/home/username/userlib.so

如果你之前沒有聽說過 osquery,也別太在意。它正在成為一個更受歡迎的工具。事實上就在上周,Linux 基金會宣佈打造了新的 osquery 基金會以支持 osquery 社區。

總結

儘管庫註入是一個嚴重的威脅,但瞭解一些優秀的工具來幫助你檢測它是否存在是很有幫助的。

擴展閱讀

重要的參考和工具的鏈接:

◈ 用 osquery 追尋 Linux 庫註入,AT&T; Cybersecurity
◈ Linux:我的記憶體怎麼了?,TrustedSec
◈ 下載 osquery
◈ osquery 樣式
◈ osqueryd(osquery 守護行程)
◈ Mitre 的攻擊框架
◈ 新的 osquery 基金會成立

已同步到看一看
赞(0)

分享創造快樂