雖然經(jīng)常更新內(nèi)核版本通常被認(rèn)為是一種安全最佳實(shí)踐，但由于各種原因，尤其是生產(chǎn)環(huán)境中的服務(wù)器無(wú)法這樣操作。這就意味著在機(jī)器運(yùn)行時(shí)，會(huì)存在利用已知的漏洞(當(dāng)然，還會(huì)有一些未知的漏洞)來(lái)進(jìn)行攻擊的情況，所以需要某種方法來(lái)檢測(cè)和阻止對(duì)這些漏洞的利用，這正是Linux Kernel Runtime Guard(Linux內(nèi)核運(yùn)行時(shí)保護(hù)LKRG)誕生目的所在。

LKRG出自O(shè)penwall項(xiàng)目，該項(xiàng)目因其安全性增強(qiáng)的Linux發(fā)行版而聞名。Openwall的創(chuàng)始人亞歷山大·佩斯利亞克(Alexander Peslyak)，在安全領(lǐng)域也很極為出名。他在當(dāng)年1月底宣布LKRG是“我們有史以來(lái)最具爭(zhēng)議的項(xiàng)目”。發(fā)布的0.0版本“相當(dāng)草率”，Peslyak在LKRG 0.1發(fā)布公告中說(shuō);首席開(kāi)發(fā)者Adam“pi3”Zabrocki根據(jù)10天的反饋整理內(nèi)容并添加了一些新功能。

LKRG在Linux內(nèi)核運(yùn)行時(shí)對(duì)完整性進(jìn)行檢查，并檢測(cè)內(nèi)核的安全漏洞。LKRG是一個(gè)內(nèi)核模塊(不是內(nèi)核補(bǔ)丁)，所以它可以針對(duì)各種主線和發(fā)行版內(nèi)核進(jìn)行構(gòu)建和加載，而不需要打補(bǔ)丁。目前支持的內(nèi)核版本已更新至5.19，并支持x86-64、32位x86、AArch64 (ARM64)和32位ARM這幾類的CPU架構(gòu)。

LKRG對(duì)正在運(yùn)行的Linux內(nèi)核進(jìn)行檢測(cè)，并希望能夠及時(shí)響應(yīng)對(duì)正在運(yùn)行的進(jìn)程用戶id等憑證未經(jīng)授權(quán)的修改(完整性檢查)。對(duì)于進(jìn)程憑據(jù)，LKRG嘗試檢測(cè)漏洞，并在內(nèi)核根據(jù)未經(jīng)授權(quán)的憑據(jù)授予訪問(wèn)權(quán)限(例如打開(kāi)文件)之前采取行動(dòng)。Juho Junnila的論文題為“Linux Rootkit檢測(cè)工具的有效性”，顯示了LKRG可以作為有效的內(nèi)核Rootkit檢測(cè)器。LKRG挫敗了許多預(yù)先存在的Linux內(nèi)核漏洞的利用，并且很可能會(huì)檢測(cè)并防御許多未來(lái)沒(méi)有特意試圖繞過(guò)LKRG的利用(包括未知的漏洞)。雖然LKRG在設(shè)計(jì)上是可以繞過(guò)的，但這種繞過(guò)需要更復(fù)雜和/或更不可靠的漏洞。

為了跟蹤正在運(yùn)行的內(nèi)核，LKRG創(chuàng)建了一個(gè)數(shù)據(jù)庫(kù)，其中包含關(guān)于系統(tǒng)及其上運(yùn)行的內(nèi)核的各種類型信息的散列。它跟蹤系統(tǒng)中可用的和活動(dòng)的cpu，以及它們的中斷描述符表(idt)和特定于模型的寄存器(MSRs)的位置和內(nèi)容。由于插入(或從系統(tǒng)中拔出)的cpu數(shù)量的變化，內(nèi)核可能會(huì)修改自己，所以LKRG必須準(zhǔn)備好根據(jù)這些事件重新計(jì)算一些哈希值。

LKRG除了跟蹤內(nèi)核.text、.rodata和異常向量表之外，也會(huì)跟蹤每個(gè)加載的內(nèi)核模塊，包括它的struct模塊指針、名稱、.text的大小和哈希值等信息，以及模塊特定的信息。為了檢測(cè)修改，需要定期驗(yàn)證存儲(chǔ)的值。這是通過(guò)許多機(jī)制實(shí)現(xiàn)的：

1. 首先是定時(shí)檢查計(jì)時(shí)器，檢測(cè)周期可以通過(guò)sysctl接口設(shè)置；

2. 當(dāng)檢測(cè)到模塊加載或cpu熱插拔活動(dòng)，并且可以通過(guò)另一個(gè)sysctl手動(dòng)觸發(fā)時(shí)，它也會(huì)運(yùn)行該檢查；

3. 系統(tǒng)中的其他事件(例如CPU空閑、網(wǎng)絡(luò)活動(dòng)、USB更改等)將觸發(fā)驗(yàn)證，盡管只有一定百分比的時(shí)間來(lái)降低性能影響。例如，CPU空閑將觸發(fā)0.005%的時(shí)間驗(yàn)證，而USB更改將觸發(fā)50%的時(shí)間驗(yàn)證；

所有這些都是為了保護(hù)運(yùn)行時(shí)內(nèi)核本身的完整性，但漏洞利用通常會(huì)針對(duì)系統(tǒng)上運(yùn)行的進(jìn)程，以提高特權(quán)等，這些信息保存在內(nèi)核的內(nèi)存中。因此LKRG還會(huì)跟蹤每個(gè)進(jìn)程的一系列不同屬性，并維護(hù)自己的任務(wù)列表，用于驗(yàn)證內(nèi)核的列表。如果兩個(gè)進(jìn)程發(fā)生分歧，則終止受影響的進(jìn)程，目的是在被漏洞利用差異之前進(jìn)行防御。

LKRG跟蹤的目標(biāo)包括task屬性，如task_struct的地址、進(jìn)程名稱和ID、cred和real_cred憑據(jù)結(jié)構(gòu)的地址、與之關(guān)聯(lián)的各種用戶和組ID、SELinux設(shè)置以及seccomp配置。所有這些信息在每次系統(tǒng)調(diào)用(例如setuid()， execve())或系統(tǒng)中發(fā)生其他事件(例如，在打開(kāi)文件之前檢查權(quán)限)時(shí)被驗(yàn)證。此外，每次運(yùn)行內(nèi)核驗(yàn)證時(shí)都要執(zhí)行進(jìn)程列表驗(yàn)證。每次都要驗(yàn)證所有進(jìn)程，而不僅僅是進(jìn)行系統(tǒng)調(diào)用的進(jìn)程，任何差異都會(huì)導(dǎo)致終止有差異的進(jìn)程。

LKRG測(cè)試了一些已知內(nèi)核漏洞 (如CVE-2014-9322, CVE-2017-6074)，性能的影響約為6.5%。

非法提權(quán)（Illegal Elevation of Privileges）

1. Token / pointer swapping

2. 非法調(diào)用comit_creds()

3. 覆寫cred/read_cred結(jié)構(gòu)體

沙箱逃逸

1. Namespace逃逸

2. 容器逃逸

為了說(shuō)明LKRG的漏洞檢測(cè)能力，在對(duì)發(fā)行版內(nèi)核的測(cè)試中，LKRG成功檢測(cè)到CVE-2014-9322 (badret)、CVE-2017-5123 (waitid(2) missing access_ok)、CVE-2017-6074(在DCCP協(xié)議中使用后free)的某些預(yù)先存在的漏洞。

但是，它無(wú)法檢測(cè)到CVE-2016-5195 (Dirty COW)的漏洞，因?yàn)檫@些漏洞直接針對(duì)用戶空間，即使是通過(guò)內(nèi)核來(lái)進(jìn)行操作。在Dirty COW中，LKRG的“繞過(guò)”是由于漏洞的性質(zhì)和利用它的方式，這也是未來(lái)利用類似的直接針對(duì)用戶空間繞過(guò)LKRG的一種方式。

從檢測(cè)端避開(kāi)LKRG:

1. 覆蓋LKRG不保護(hù)的關(guān)鍵元數(shù)據(jù)

2. 將攻擊移動(dòng)到用戶空間

3. 贏得競(jìng)態(tài)

從正面攻擊LKRG角度：

1. 攻擊LKRG內(nèi)部的同步機(jī)制和鎖機(jī)制

2. 找到LKRG所有的上下文并禁用它們

3. 通過(guò)內(nèi)核直接攻擊用戶空間(如DirtyCOW)

計(jì)算關(guān)鍵metadata的哈希值
保護(hù)范圍：

1. 發(fā)送到所有CPU中的核心數(shù)據(jù)IPI (Inter-Processor-Interrupt)，并獨(dú)占地運(yùn)行LKRG的保護(hù)功能(IDT/MSR/CRx/等)

2. Linux內(nèi)核.text部分

3. Linux內(nèi)核.rodata部分

4. Linux內(nèi)核的異常向量表

5. 關(guān)鍵的系統(tǒng)全局變量，如SMEP和SMAP

6. 所有動(dòng)態(tài)加載的模塊及其在內(nèi)部結(jié)構(gòu)中的順序；

7. 如有IOMMU，也可對(duì)其防護(hù)

pCFI機(jī)制

1. 檢測(cè)ROP

2. 檢測(cè)棧遷移

3. 非.text數(shù)據(jù)的利用

4. 動(dòng)態(tài)生成可執(zhí)行page的利用

通過(guò)sysctl動(dòng)態(tài)配置LKRG

root@ubuntu:~/lkrg# sysctl -a|grep lkrglkrg.block_modules = 0lkrg.heartbeat = 0lkrg.hide = 0lkrg.interval = 15lkrg.kint_enforce = 2lkrg.kint_validate = 3lkrg.log_level = 3lkrg.msr_validate = 1lkrg.pcfi_enforce = 1lkrg.pcfi_validate= 2lkrg.pint_enforce = 1lkrg.pint_validate= 3lkrg.profile_enforce = 2lkrg.profile_validate = 9lkrg.smap_enforce = 2lkrg.smap_validate= 1lkrg.smep_enforce = 2lkrg.smep_validate = 1lkrg.trigger = 0lkrg.umh_enforce = 1lkrg.umh_validate=1

從以上LKRG原理的角度來(lái)分析，對(duì)于需要仔細(xì)考慮內(nèi)核的威脅模型以及具體需求的個(gè)人或公司來(lái)說(shuō)，LKRG的功能是有價(jià)值的。所以可以作為系統(tǒng)級(jí)別縱深防御策略中的另一道防線，而不是“一招勝天”的靈丹妙藥。我們知道，內(nèi)核中充滿了各種類型的自修改代碼，從跟蹤點(diǎn)和其他調(diào)試特性到各種優(yōu)化，因此保護(hù)運(yùn)行時(shí)的內(nèi)核完整性并不是一項(xiàng)簡(jiǎn)單的任務(wù)。本文分析了LKRG的原理與優(yōu)劣勢(shì)解析，下篇將從實(shí)際案例和代碼的角度來(lái)分析，為什么會(huì)選擇LKRG做運(yùn)行時(shí)安全檢測(cè)，敬請(qǐng)期待。

審核編輯 ：李倩