Пускане на модула LKRG 0.8 за защита срещу експлоатация на уязвимости в ядрото на Linux

Проект Openwall опубликовал издание на модула на ядрото LKRG 0.8 (Linux Kernel Runtime Guard), предназначен да открива и блокира атаки и нарушения на целостта на структурите на ядрото. Например, модулът може да защити срещу неоторизирани промени в работещото ядро ​​и опити за промяна на разрешенията на потребителските процеси (откриване на използването на експлойти). Модулът е подходящ както за организиране на защита срещу вече известни експлойти за ядрото на Linux (например в ситуации, когато е трудно да се актуализира ядрото в системата), така и за противодействие на експлойти за все още неизвестни уязвимости. Код на проекта разпространява се от лицензиран под GPLv2.

Сред промените в новата версия:

• Променено е позиционирането на проекта LKRG, който вече не е разделен на отделни подсистеми за проверка на целостта и определяне на използването на експлойти, а е представен като цялостен продукт за идентифициране на атаки и различни нарушения на целостта;
• Осигурява се съвместимост с ядра на Linux от 5.3 до 5.7, както и с ядра, компилирани с агресивни GCC оптимизации, без опциите CONFIG_USB и CONFIG_STACKTRACE или с опцията CONFIG_UNWINDER_ORC, както и с ядра, които нямат LKRG hooked функции, ако могат бъдете лишени от;
• При изграждане някои задължителни настройки на ядрото CONFIG_* се проверяват, за да генерират смислени съобщения за грешка вместо неясни сривове;
• Добавена е поддръжка за режими на готовност (ACPI S3, спиране към RAM) и заспиване (S4, спиране към диск);
• Добавена е поддръжка на DKMS към Makefile;
• Въведена е експериментална поддръжка за 32-битови ARM платформи (тествано на Raspberry Pi 3 Model B). Наличната преди това поддръжка на AArch64 (ARM64) е разширена, за да осигури съвместимост с платката Raspberry Pi 4;
• Добавени са нови кукички, включително манипулатор на повиквания capable() за по-добро идентифициране на експлойти, които манипулират "възможности", а не идентификатори на процеси (акредитивни писма);
• Предложена е нова логика за откриване на опити за избягване на ограниченията на пространството от имена (например от Docker контейнери);
• В x86-64 системи се проверява и прилага битът SMAP (предотвратяване на достъп в режим на надзорник), предназначен да блокира достъпа до данните от потребителското пространство от привилегирован код, работещ на ниво ядро. SMEP (Supervisor Mode Execution Prevention) защита е внедрена преди това;
• По време на работа настройките на LKRG се поставят в страница с памет, която обикновено е само за четене;
• Информацията за регистриране, която може да бъде най-полезна за атаки (например информация за адресите в ядрото), е ограничена до режим на отстраняване на грешки (log_level=4 и по-висок), който е деактивиран по подразбиране.
• Увеличена е скалируемостта на базата данни за проследяване на процесите - вместо едно RB дърво, защитено с един спинлок, се използва хеш таблица от 512 RB дървета, защитени с 512 ключалки за четене и запис;
• По подразбиране е внедрен и активиран режим, в който целостта на идентификаторите на процеси често се проверява само за текущата задача, а също и по избор за активирани (събуждащи се) задачи. За други задачи, които са в състояние на заспиване или работят без достъп до API на ядрото, контролиран от LKRG, проверката се извършва по-рядко.
• Добавени са нови sysctl и модулни параметри за фина настройка на LKRG, както и два sysctl за опростена конфигурация чрез избор от набори от настройки за фина настройка (профили), подготвени от разработчиците;
• Настройките по подразбиране са променени, за да се постигне по-балансиран баланс между скоростта на откриване на нарушения и ефективността на реакцията, от една страна, и въздействието върху производителността и риска от фалшиви положителни резултати, от друга;
• Файлът на системния модул е ​​преработен, за да зареди модула LKRG рано при зареждане (може да се използва опция на командния ред на ядрото, за да деактивирате модула);

Като се вземат предвид оптимизациите, предложени в новата версия, намаляването на производителността при използване на LKRG 0.8 се оценява на 2.5% в режим по подразбиране („тежък“) и 2% в лек режим („лек“).

В наскоро проведено проучване ефективност на пакети за откриване на руткит LKRG Той показа, най-добри резултати, идентифицирайки 8 от 9 тествани руткита, работещи на ниво ядро ​​без фалшиви положителни резултати (руткитите Diamorphine, Honey Pot Bears, LilyOfTheValley, Nuk3 Gh0st, Puszek, Reptile, Rootfoo Linux Rootkit и Sutekh бяха идентифицирани, но Keysniffer, който е ядро модул, беше пропуснат с кийлогър, а не руткит в буквалния смисъл). За сравнение, пакетите AIDE, OSSEC и Rootkit Hunter откриха 2 от 9 руткита, докато Chkrootkit не откри нито един. В същото време LKRG не поддържа откриването на руткитове, разположени в потребителското пространство, така че най-голямата ефективност се постига при използване на комбинация от AIDE и LKRG, което направи възможно идентифицирането на 14 от 15 руткита от всички видове.

Освен това може да се отбележи, че разработчикът на разпространението Whonix започна образуване готови пакети с DKMS за Debian, Whonix, Qubes и Kicksecure и пакет за Arch Linux вече актуализиран до версия 0.8. Пакетите с LKRG се предлагат и на руски език alt linux и AstraLinux.

Проверката на целостта в LKRG се извършва чрез сравняване на действителния код и данни на ядрото и модулите, някои важни структури от данни и настройки на процесора със съхранени хешове или копия на съответните области на паметта, структури от данни или регистри. Проверките се активират както периодично по таймер, така и при настъпване на различни събития.

Определянето на възможната употреба на експлойти и блокиране на атаки се извършва на етапа преди ядрото да предостави достъп до ресурси (например преди отваряне на файл), но след като процесът е получил неоторизирани разрешения (например промяна на UID). Когато бъде открито неоторизирано поведение, процесите са принудени да прекратят по подразбиране, което е достатъчно, за да блокира много експлойти.

Източник: opennet.ru