システムコールフックを使用した攻撃検出

805 views

Published on

Published in: Technology
0 Comments
0 Likes
Statistics
Notes
  • Be the first to comment

  • Be the first to like this

No Downloads
Views
Total views
805
On SlideShare
0
From Embeds
0
Number of Embeds
4
Actions
Shares
0
Downloads
5
Comments
0
Likes
0
Embeds 0
No embeds

No notes for slide

システムコールフックを使用した攻撃検出

  1. 1. Fourteenforty Research Institute, Inc. 1 Fourteenforty Research Institute, Inc. システムコールフックを使用した攻撃検出 Fourteenforty Research Institute, Inc. 株式会社 フォティーンフォティー技術研究所 http://www.fourteenforty.jp 取締役技術担当 金居 良治
  2. 2. Fourteenforty Research Institute, Inc. 2 お題目 • System Call について • System Call Protection • System Call Hook • 考察
  3. 3. Fourteenforty Research Institute, Inc. 3 System Call とは? User App Kernel ユーザ アプリケーションからカーネル のサービスルーチンを呼び出す User App Disk I/O Network I/O Etc… ・・・
  4. 4. Fourteenforty Research Institute, Inc. 4 System Call 実装方法 (i386) • INT (Linux, FreeBSD, Windows 2000) 割り込み • SYSENTER (Linux?, Windows XP) 高速システムコール
  5. 5. Fourteenforty Research Institute, Inc. 5 INT による System Call の実装概略図 … syscall: … … IRET … … INT 0x80 … User Kernel EAX: … EBX:… … IDTR: ???? … CPU 番号 … アドレス 0x00 … … … … … 0x80 … syscall Interrupt Descriptor Table(IDT) • INT = 割り込み • 感覚的には関数 (ホントはもっといろいろやってます)
  6. 6. Fourteenforty Research Institute, Inc. 6 INT による System Call の特徴 • IDTというメモリ領域に割り込みハンドラのア ドレスがある • Windows でも 2000 以前は INT を使用 • trap gate(FreeBSD), interrupt gate(Linux) という2種類のバリエーションがある
  7. 7. Fourteenforty Research Institute, Inc. 7 SYSENTER の動作概略図 … syscall: … … SYSEXIT … … SYSENTER … User Kernel EAX: … … SYSENTER*MSR: ???? SYSENTER*MSR: ???? SYSENTER*MSR: ???? … CPU • System Call 用に特化、高速化してある (ホントはもっといろいろやってます)
  8. 8. Fourteenforty Research Institute, Inc. 8 SYSENTER による System Call の特徴 • INTのような冗長なチェックが無く、メモリアク セスも無いので高速 • Pentium II で登場した命令 • Windows XP以降(Linuxも?)はこっち • ここら辺の挙動が詳しく知りたい人は Intel の ページへ
  9. 9. Fourteenforty Research Institute, Inc. 9 System Call で遊んでみよう! • 以外と簡単 • System Call Protection というのを考案 • FreeBSD でカーネルモジュールとして実装 • アーキテクチャは i386 に限定
  10. 10. Fourteenforty Research Institute, Inc. 10 攻撃に System Call が利用される例 Local Buffer Return Address Shell Code ... … INT 0x80 … overwrite Stack• 例として、スタックベースのバッファ オーバーフローについて検討 • だいたいシェルコード内でシステム コールを使用する • これが禁止できれば、シェルコード が実行できても被害は最小に • OpenBSD の W^X みたいなやつ
  11. 11. Fourteenforty Research Institute, Inc. 11 スタック上でのコード実行は禁止できるか • 一部の例外を除いてスタック上でコードを実 行するようなコードは不要 • OpenBSD は出来てる • i386では出来ないOSが多い(Windowsとか) • FreeBSD i386 も出来ない
  12. 12. Fourteenforty Research Institute, Inc. 12 System Call Protection Shell Code ... INT 0x80 … • 書き込み属性のあるメモリ領域か ら System Call の呼び出しを禁止 • 呼び出し元のアドレスはスタック上 にあるので、これを調べる • コード領域に書き込み属性が設定 されていない事を利用 • スタック/ヒープベースのオーバーフ ローが発生しても、悪用が困難に Int0x80_syscall ... Check called addr … User Kernel メモリの 属性チェック
  13. 13. Fourteenforty Research Institute, Inc. 13 メモリの属性(パーミッション) • FreeBSD では ports の pmap を使用して、 メモリの属性をチェックできる
  14. 14. Fourteenforty Research Institute, Inc. 14 System Call Hook の方法 … syscall: … … IRET … … INT 0x80 … User Kernel EAX: … EBX:… … IDTR: ???? … CPU 番号 … アドレス 0x00 … … … … … 0x80 … syscall Interrupt Descriptor Table(IDT)
  15. 15. Fourteenforty Research Institute, Inc. 15 System Call Hook の方法 … syscall: … … IRET … … INT 0x80 … User Kernel EAX: … EBX:… … IDTR: ???? … CPU 番号 … アドレス 0x00 … … … … … 0x80 … syscall Interrupt Descriptor Table(IDT) コード書き換え IDTR変更 割り込みハンド ラの書き換え
  16. 16. Fourteenforty Research Institute, Inc. 16 割り込みハンドラのアドレスを書き換える • カーネルモジュールとしての実装が可能 • 簡単 (setidt()を呼ぶだけ) setidt(IDT_SYSCALL, &IDTVEC(my_int0x80_syscall), SDT_SYS386TGT, SEL_UPL, GSEL(GCODE_SEL, SEL_KPL)); • ユーザ側からすれば、カーネルの再ビルドが 不要なので、手軽に試すことが出来る → コンセプトコードに最適!
  17. 17. Fourteenforty Research Institute, Inc. 17 実行した様子 System Call Protection On System Call Protection Off スタック/ヒープ上で System Call が呼べない!
  18. 18. Fourteenforty Research Institute, Inc. 18 パフォーマンス – その1 • 10秒間に何回 getpid() を呼べるか計測 • System Call によるオーバーヘッドを計測 • 7.7% のパフォーマンス低下 System Call Protect 無効 有効 パフォーマンス 24,059,220 22,195,394 92.3%
  19. 19. Fourteenforty Research Institute, Inc. 19 パフォーマンス – その2 • ab(apache benchmark) で1秒あたりに処理 できるリクエスト数を計測 • ab -n 10000 –c 5 http://target:80/ • 3.1% のパフォーマンス低下 System Call Protect 無効 有効 パフォーマンス 873.7 847.0 96.9%
  20. 20. Fourteenforty Research Institute, Inc. 20 パフォーマンスまとめ • 実際のアプリケーションでは 3~7%程度のパ フォーマンス低下が予想される • ターゲットを vmware 上で動かしたので、値は 不正確かも • connect()やexec()等の危険なSystem Callが 呼ばれた時のみチェックをするようにすれば、 比較的、安全なまま高速化が可能
  21. 21. Fourteenforty Research Institute, Inc. 21 考察 • OpenBSD W^X を実装すれば済む話 • ただし、mips 等では実装が不可能。そういった 環境では役に立つかも • バイパスする方法があるが、ASLR 等の他のセ キュリティ機能と組み合わせる事で防御できる • いろいろ応用が可能
  22. 22. Fourteenforty Research Institute, Inc. 22 ありがとうございました Fourteenforty Research Institute, Inc. 株式会社 フォティーンフォティー技術研究所 http://www.fourteenforty.jp 取締役技術担当 金居 良治 kanai@fourteenforty.jp

×