底層控制,終結內核級殺手

精品文檔-下載后可編輯底層控制,終結內核級殺手近兩年，熊貓燒香、灰鴿子、磁碟機等不斷衍生，其變種更是呈幾何級數(shù)地增長，令傳統(tǒng)安全產品疲于應付；在破壞性方面，從網(wǎng)絡擁堵到感染可執(zhí)行文件，再到擊破硬盤還原等等，給信息系統(tǒng)帶來了巨大的損失。其中，最具摧毀性的無疑是rootkit類攻擊工具，因為它是基于操作系統(tǒng)內核級的，危及面覆蓋信息系統(tǒng)里的所有業(yè)務應用及數(shù)據(jù)，前段時間瘋狂作惡的磁碟機病毒，在侵入系統(tǒng)時就加載了大量rootkit組件進行破壞。

Rootkit的狠招

系統(tǒng)中病毒時，管理員們通常的做法是查看可疑進程，然后一路追殺到文件目錄進行清除。隨著攻擊技術水平的提升，像制造疑似系統(tǒng)進程名這樣的初級手段已少有人用，攻擊者往往直接將攻擊進程嵌入系統(tǒng)進程，這時候，只有借助專門的進程管理器（如procexp等）才能發(fā)現(xiàn)。Rootkit則更進一步，這種內核級后門通過自身的偽裝和隱藏，運行時根本沒有進程顯示。

我們知道，程序運行的時候，系統(tǒng)會在內存中寫入一些數(shù)據(jù)結構，進程管理器就是通過這些數(shù)據(jù)結構來顯示進程的。Rootkit的做法是在內核層修改這些數(shù)據(jù)結構，用自帶的ps、top等程序替代原有系統(tǒng)程序，從而達到隱藏進程的目的。很顯然，現(xiàn)在再用pslist進程查看工具已經無濟于事了。

在隱藏文件時，rootkit也是在系統(tǒng)內核層做手腳。具體做法是修改內核文件系統(tǒng)的代碼，用自己編寫的ls程序來替換，從而使原有的ls文件目錄查看工具形同虛設。

從以上的分析可以看出，通過修改操作系統(tǒng)的核心服務（進程管理、文件系統(tǒng)），rootkit可以悄無聲息地實施攻擊行為。此外，rootkit還有專門的工具來提升權限，這樣一來，信息系統(tǒng)的控制權隨時面臨著轉手他人的危險。

事實上，黑客們在制作工具時，通常都會考慮到攻擊效率而專門針對操作系統(tǒng)來開發(fā)，很少有針對應用程序的。另一方面，操作系統(tǒng)是硬件與軟件之間唯一的交互平臺，擁有硬件設備及應用軟件的唯一控制權。“匹夫無罪，懷璧其罪”的道理在0與1交互的虛擬世界同樣有效，操作系統(tǒng)特別是服務器的操作系統(tǒng)岌岌可危。

就像人為了防止生病而增強肌體免疫力一樣，為了抵御面臨的安全風險，操作系統(tǒng)同樣需要提升自身的免疫力，其中很重要的一項技術就是操作系統(tǒng)安全加固技術，即ROST。

ROST的策略

與rootkit一樣，ROST也是系統(tǒng)內核級的攻防技術，其思路是對系統(tǒng)核心服務（文件系統(tǒng)、過程控制、內存控制等）加以控制，在系統(tǒng)用戶層及內核層之間構筑一道關卡，根據(jù)事先制定的策略對交互信息進行過濾，從而杜絕了非法用戶對內核資源的訪問（包括進程調用、文件訪問等）。

Windows操作系統(tǒng)分為用戶模式和內核模式。用戶模式包括系統(tǒng)支持進程、服務進程、用戶進程、環(huán)境子系統(tǒng)等，在運行時需要調用原始的Windows操作系統(tǒng)服務，其中服務進程及用戶進程通過子系統(tǒng)動態(tài)連接庫發(fā)起調用。在內核模式中，執(zhí)行體包含了基本的操作系統(tǒng)服務，比如內存管理、進程和線程管理、I/O、網(wǎng)絡等。Windows內核是一組底層的操作系統(tǒng)功能，比如線程調度、中斷、異常分發(fā)等，執(zhí)行體利用這些例程和對象實現(xiàn)更高層次的功能；設備驅動程序包括硬件設備驅動程序，文件系統(tǒng)和網(wǎng)絡驅動程序，其中硬件設備驅動程序將用戶的I/O函數(shù)調用轉換成特定的硬件設備I/O請求；硬件抽象層是一層特殊代碼，把內核、設備驅動程序和Windows執(zhí)行體跟平臺相關的硬件差異隔離開來。

基于策略的強制訪問控制

ROST技術的實現(xiàn)，是在內核中放置一組安全HOOKS函數(shù)來控制對內核對象的訪問。當用戶進程向系統(tǒng)發(fā)送調用請求時，系統(tǒng)首先將消息送給相應類別（鼠標、系統(tǒng)、線程等）的HOOKS，后者根據(jù)函數(shù)內容對消息進判斷，決定是否將其傳送給下一個HOOKS函數(shù)，以此類推，直到傳送到目標進程、文件等核心資源。

HOOKS判斷的依據(jù)為事先制定的策略，即HOOKS函數(shù)對文件、進程等操作系統(tǒng)關鍵客體所做的敏感標記。ROST強制訪問控制過濾程序接收到用戶的調用請求后，將遍歷策略表以對用戶信息（MAC地址、請求內容等）進行校檢，符合策略的請求將立即轉交原服務函數(shù)，否則丟棄。在基于策略的強制訪問控制下，攻擊者即使通過rootkit或別的工具獲取管理員權限，也無法再像以前一樣為所欲為。

在開源操作系統(tǒng)Linux中，ROST的實現(xiàn)方法是在內核源代碼中放置HOOKS。用戶進程運行時，首先會調用系統(tǒng)接口，然后進行錯誤檢查和Linux的自主訪問控制檢測，在Linux內核試圖對內部對象進行訪問之前，一個Linux安全模塊（LSM）的HOOKS對安全模塊所必須提供的函數(shù)進行一個調用，從而對安全模塊提出訪問請求，安全模塊根據(jù)其安全策略進行決策，做出回答即允許用戶訪問，或者拒絕進而返回一個錯誤。

ROST的實際應用

目前，我國在ROST技術產品化工作方面已取得了一些進展，浪潮服務器安全加固系統(tǒng)（SSR）就是首款擁有自主產權的ROST具體產品。該產品在部署初期即對服務器系統(tǒng)中的文件、進程等指定敏感標記，并根據(jù)用戶級別制定了詳細的