2. BPF在攻防中的应用
-
hook 系统调用和用户空间函数调用
-
操作用户空间数据结构
-
修改系统调用返回值
-
调用 system() 创建新进程(bpftrace内置特性)
-
某些 BPF 程序可以直接操作硬件设备(如网卡)
-
针对 BPF 代码的供应链攻击的可能性
-
配合安全检测工具使用(例如,hook bpf自身)
eBPF 几乎可以实现内核态 Rootkit 所有的隐藏功能,一般的内核模块的挂钩系统调用、虚拟文件系统,eBPF 程序可以使用不同的跟踪点程序类型完成相同功能。
eBPF 利用可以分为两个方面,网络侧和系统侧,分别通过网络类型程序和跟踪点类型程序实现,端口敲门、链路控制、权限提升、隐藏恶意程序行为等。
2.2 系统侧
在系统侧,一般 BPF 使用跟踪类型的程序,对系统调用的入口处进行跟踪,可以篡改发送给内核的函数参数,在系统调用的退出处可以篡改内核的返回值,触发内核 eBPF 后可以发送 event 事件到用户态程序。
-
在 entry 系统调用处,监测发送给内核的参数
-
在 exit 系统调用处,监测内核的返回值
而且由于可以监测到传递至系统调用的参数,那么就可以只针对特定进程名或进程号进行劫持。比如,通过 bpf_get_current_comm,只对 sudo 进程进行处理。
如果参数或返回值是指向用户空间内存的指针,则可以通过两个 eBPF 辅助函数进行读写。
-
bpf_probe_read_user
-
bpf_probe_write_user
BPF 实现恶意利用(包括但不限于):
-
隐藏进程/文件等恶意程序行为
-
可以根据:进程 ID、进程名称、用户名、函数参数、函数返回,来执行拦截或修改系统调用和返回值:kill、waitpid、openat、...
-
隐藏我们的 BPF 程序本身:map、程序
-
通过篡改 /proc/[pid] 文件夹的内容来隐藏特定进程
-
当程序调用 execve 劫持执行时更改可执行文件
-
覆盖敏感文件的内容
-
将用户添加到 /etc/passwd
-
从lsmod隐藏内核模块
……
比如,通过篡改 /proc/[pid] 文件夹的内容来隐藏特定进程。
比如,从 lsmod 隐藏内核模块。
eBPF 与传统的内核态 Hook 或 Kprobe 不同,使用跟踪点(tracepoint)的 eBPF 程序不会改变函数的地址或代码,因此部分 HIDS 无法感知,用户空间和内核之间的 eBPF 程序。
是可以从三个方面进行检测和防御:
3.1 禁用BPF
当业务场景不使用 BPF 特性时,可以直接禁用 BPF。
/proc/sys/kernel/unprivileged_bpf_disabled,可以开启或禁用 BPF。
-
值为0表示允许非特权用户调用 BPF
-
值为1表示禁止非特权用户调用 BPF,且该值不可再修改,只能重启后修改
-
值为2表示禁止非特权用户调用 BPF,可以再次修改为0或1
或者修改内核选项,重新编译内核,禁用 BPF。
-
CONFIG_BPF=y
-
CONFIG_BPF_SYSCALL=y
-
CONFIG_BPF_JIT=y
-
CONFIG_HAVE_EBPF_JIT=y
-
CONFIG_BPF_EVENTS=y
-
CONFIG_FTRACE_SYSCALLS=y
-
……
3.2 监控BPF系统调用
比较有效的方式是监控 BPF 系统调用,只有受信任的程序才允许使用 eBPF。
可以通过内核模块提前挂钩 BPF 系统调用,监控之后的 BPF 系统调用情况,阻止新的 eBPF 程序的加载。
也可以通过 eBPF 程序,监控 BPF 系统调用,对后续的 BPF 调用进行判断是否允许加载。比如,使用 bpftrace 对 BPF 系统调用进行检测。
3.3 kprobe监控以及内核代码完整性校验
使用内核探针(Kprobe)类型的 eBPF 程序会改变函数的地址或代码,因此是可以通过 kprobes 调用和内核完整性校验进行检测。
对内核 kprobe list 进行读取检测,检测是否存在异常的内核函数探针,
对内核代码区域进行完整性校验,如果发生改变,进行告警。
3.4 bpftool检测BPF程序
bpftool 可以帮助我们检测系统中是否存在 BPF 程序,比如,显示已加载的BPF 程序,比如,map、perf、net 等类型,而且可以 dump 出 BPF 字节码进行分析。
-
bpftool prog show
-
bpftool map show
-
bpftool net show
-
bpftool btf dump id xx
……
部分攻击者可能会对抗bpftool,执行bpftool时杀掉bpftool进程。最简单的反对抗方法是重命名bpftool文件后执行。
3.5 ip或tc检测BPF程序
ip或tc程序是针对网络类型的BPF程序,ip命令可以发现网卡上是否存在xdp程序,并且卸载xdp程序。tc程序可以发现tc分类器类型的bpf程序。
-
ip link show
-
ip link set dev ens0 xdp off
-
tc filter show dev ens0 [ingress|egress]
3.6 bpflist-bpfcc检测BPF程序
bpflist-bpfcc -vv 命令可以看到当前服务器运行的部分 BPF 程序列表。
3.7 eBPF IDA pro
BPF程序也是 ELF 文件,使用 LLVM + Libbpf 编译的程序很容易分辨,设置的跟踪点名称会以相同名称显示在 ELF 节中。
使用 bpftool + Libbpf 编译的程序,跟踪点名称则加载到 .rodata,需要手动提取。提取后的数据,可以通过 IDA eBPF 插件解析为 BPF 字节码,显示BPF 指令。
3. 最后
-
植入内核态 Rootkit 可能带来极大的风险
-
eBPF 消除了这种风险,使运行安全、可移植的 Rootkit 成为可能
-
eBPF Hook 系统调用和用户空间函数调用,修改系统调用返回值
-
eBPF 程序可以直接操作硬件设备(如网卡)
-
eBPF 程序重启后,需要重新加载执行
-
利用 eBPF 开发 HIDS,检测 eBPF 利用(例如ehids)
reference
https://www.ebpf.top/post/ebpf_c_env/
https://www.ebpf.top/post/offensive-bpf-bpftrace/
https://git.kernel.org/pub/scm/linux/kernel/git/bpf/bpf-next.git/commit/?id=ec24704492d8
https://www.cnblogs.com/charlieroro/p/14244276.html
https://www.cnxct.com/ebpf-rootkit-how-boopkit-works/
https://embracethered.com/blog/posts/2021/offensive-bpf-bpftrace/
https://www.brendangregg.com/BPF/bpftrace-cheat-sheet.html
https://github.com/xdp-project/xdp-tools/releases/tag/v1.2.3
https://www.libhunt.com/r/bad-bpf
https://blog.tofile.dev/2021/08/01/bad-bpf.html
https://www.blackhat.com/us-21/briefings/schedule/#with-friends-like-ebpf-who-needs-enemies-23619
原文始发于微信公众号(TahirSec):Linux | eBPF技术的Rootkit攻防 (二)
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论