Linux 커널의 취약점 악용을 방지하기 위한 LKRG 0.8 모듈 출시

오픈월 프로젝트 출판 커널 모듈 릴리스 LKRG 0.8 (Linux Kernel Runtime Guard)는 커널 구조의 무결성에 대한 공격과 위반을 탐지하고 차단하도록 설계되었습니다. 예를 들어, 모듈은 실행 중인 커널에 대한 무단 변경 및 사용자 프로세스의 권한 변경 시도(익스플로잇 사용 감지)로부터 보호할 수 있습니다. 이 모듈은 Linux 커널에 대해 이미 알려진 악용(예: 시스템에서 커널을 업데이트하기 어려운 상황)에 대한 보호를 구성하고 아직 알려지지 않은 취약점에 대한 악용에 대응하는 데 모두 적합합니다. 프로젝트 코드 배포자 GPLv2에 따라 라이센스가 부여되었습니다.

새 버전의 변경 사항:

• LKRG 프로젝트의 포지셔닝이 변경되어 더 이상 무결성 검사 및 익스플로잇 사용 결정을 위한 별도의 하위 시스템으로 구분되지 않고 공격 및 다양한 무결성 위반 식별을 위한 완전한 제품으로 제공됩니다.
• 5.3에서 5.7까지의 Linux 커널, CONFIG_USB 및 CONFIG_STACKTRACE 옵션 없이 또는 CONFIG_UNWINDER_ORC 옵션을 사용하여 공격적인 GCC 최적화로 컴파일된 커널, LKRG 후크 기능이 없는 커널(가능한 경우)과의 호환성이 제공됩니다. 면제되다;
• 빌드할 때 모호한 충돌 대신 의미 있는 오류 메시지를 생성하기 위해 일부 필수 CONFIG_* 커널 설정이 확인됩니다.
• 대기(ACPI S3, RAM 일시 중지) 및 절전(S4, 디스크 일시 중지) 모드에 대한 지원이 추가되었습니다.
• Makefile에 DKMS 지원을 추가했습니다.
• 32비트 ARM 플랫폼에 대한 실험적 지원이 구현되었습니다(Raspberry Pi 3 Model B에서 테스트됨). 이전에 사용 가능했던 AArch64(ARM64) 지원이 Raspberry Pi 4 보드와의 호환성을 제공하도록 확장되었습니다.
• "기능", 프로세스 ID가 아님(신임장);
• 네임스페이스 제한(예: Docker 컨테이너)을 탈출하려는 시도를 감지하기 위한 새로운 논리가 제안되었습니다.
• x86-64 시스템에서는 커널 수준에서 실행되는 권한 있는 코드에서 사용자 공간 데이터에 대한 액세스를 차단하도록 설계된 SMAP(감독자 모드 액세스 방지) 비트가 확인 및 적용됩니다. SMEP(감독자 모드 실행 방지) 보호는 이전에 구현되었습니다.
• 작동 중에 LKRG 설정은 일반적으로 읽기 전용인 메모리 페이지에 배치됩니다.
• 공격에 가장 유용할 수 있는 로깅 정보(예: 커널의 주소에 대한 정보)는 기본적으로 비활성화되어 있는 디버깅 모드(log_level=4 이상)로 제한됩니다.
• 프로세스 추적 데이터베이스의 확장성이 향상되었습니다. 하나의 스핀록으로 보호되는 하나의 RB 트리 대신 512개의 읽기-쓰기 잠금으로 보호되는 512개의 RB 트리의 해시 테이블이 사용됩니다.
• 프로세스 식별자의 무결성이 현재 작업에 대해서만 확인되고 선택적으로 활성화된(깨어나기) 작업에 대해서도 확인되는 모드가 기본적으로 구현 및 활성화되었습니다. 절전 상태에 있거나 LKRG에서 제어하는 ​​커널 API에 액세스하지 않고 작업하는 다른 작업의 경우 검사 빈도가 낮아집니다.
• LKRG 미세 조정을 위한 새로운 sysctl 및 모듈 매개변수가 추가되었으며, 개발자가 준비한 미세 조정 설정(프로필) 세트에서 선택하여 단순화된 구성을 위한 두 개의 sysctl이 추가되었습니다.
• 위반 탐지 속도와 대응 효과, 그리고 성능에 미치는 영향과 오탐지 위험 사이의 균형을 더욱 균형 있게 유지하기 위해 기본 설정이 변경되었습니다.
• 부팅 초기에 LKRG 모듈을 로드하도록 systemd 장치 파일이 재설계되었습니다(커널 명령줄 옵션을 사용하여 모듈을 비활성화할 수 있음).

새 릴리스에서 제안된 최적화를 고려하면 LKRG 0.8을 사용할 때 성능 감소는 기본 모드("무거움")에서 2.5%, 조명 모드("가벼움")에서 2%로 추정됩니다.

최근 개최된 행사에서 연구하다 루트킷 LKRG 탐지를 위한 패키지의 효율성 보여 주는 최상의 결과, 테스트된 루트킷 8개 중 9개가 오탐 없이 커널 수준에서 작동하는 것으로 확인되었습니다(루트킷 Diamorphine, Honey Pot Bears, LilyOfTheValley, Nuk3 Gh0st, Puszek, Reptile, Rootfoo Linux Rootkit 및 Sutekh는 확인되었지만 커널인 Keysniffer). 모듈은 문자 그대로의 루트킷이 아니라 키로거에서 누락되었습니다.) 비교를 위해 AIDE, OSSEC 및 Rootkit Hunter 패키지는 루트킷 2개 중 9개를 탐지한 반면 Chkrootkit은 전혀 탐지하지 못했습니다. 동시에 LKRG는 사용자 공간에 있는 루트킷 탐지를 지원하지 않으므로 AIDE와 LKRG를 조합하여 사용할 때 가장 큰 효율성이 달성되어 모든 유형의 루트킷 14개 중 15개를 식별할 수 있습니다.

또한 배포판 개발자도 주목할 수 있습니다. 와닉 시작되었다 성형 Debian, Whonix, Qubes 및 Kicksecure용 DKMS가 포함된 기성 패키지와 아치 리눅스 이미 버전 0.8로 업데이트되었습니다. LKRG가 포함된 패키지는 러시아어로도 제공됩니다. ALT 리눅스 и 아스트라 리눅스.

LKRG의 무결성 검사는 커널과 모듈의 실제 코드와 데이터, 일부 중요한 데이터 구조 및 CPU 설정을 해당 메모리 영역, 데이터 구조 또는 레지스터의 저장된 해시 또는 복사본과 비교하여 수행됩니다. 점검은 타이머에 의해 주기적으로 활성화되고 다양한 이벤트가 발생할 때 활성화됩니다.

익스플로잇 사용 가능성을 결정하고 공격을 차단하는 것은 커널이 리소스에 대한 액세스를 제공하기 전(예: 파일을 열기 전), 프로세스가 무단 권한을 받은 후(예: UID 변경) 단계에서 수행됩니다. 승인되지 않은 동작이 감지되면 기본적으로 프로세스가 강제 종료되며, 이는 많은 악용을 차단하는 데 충분합니다.

출처 : opennet.ru