Abstract

1. ???????????? rootkits 經(jīng)常使用 DKOM （ Direct Kernel Object Manipulation ） 技術(shù)隱藏自己

2. ??????????? 傳統(tǒng)工具試圖通過(guò)線性掃描整個(gè)內(nèi)存區(qū)域中的這些隱藏?cái)?shù)據(jù)結(jié)構(gòu)通過(guò)手動(dòng)指定一些特征。這種方式比較脆弱并依賴于一些數(shù)據(jù)結(jié)構(gòu)中不重要的特征字段，比較容易被繞過(guò)。

3. ??????????? 本文提出了一種自動(dòng)查找內(nèi)核數(shù)據(jù)結(jié)構(gòu)（例如進(jìn)程數(shù)據(jù)結(jié)構(gòu)）中特征值的方法，并通過(guò) fuzzing 的方式證明了這些特征值的修改不會(huì)引起內(nèi)核崩潰。

4. ???????????? 使用動(dòng)態(tài)分析的方法，采樣了目標(biāo)數(shù)據(jù)結(jié)構(gòu)，獲知了那些域是經(jīng)常用到的——從而不能被 DKOM ——而使用 fuzzing 證明了剩下哪些域可以被修改而不會(huì)引起系統(tǒng)崩潰。

5. ??????????? 實(shí)驗(yàn)中，匹配了現(xiàn)有的所有惡意軟件的特征值，并開發(fā)了原型 rootkit 使用我們新發(fā)現(xiàn)的特征值

?

操作系統(tǒng)通過(guò)創(chuàng)建相關(guān)內(nèi)核對(duì)象來(lái)登記和審計(jì)系統(tǒng)資源， DKOM(Direct Kernel Object Manipulation) Rootkit [3] 則通過(guò)修改這些內(nèi)核對(duì)象來(lái)隱藏特定資源。 Fu Rootkit 是 DKOM Rootkit 的代表，它通過(guò)修改活 動(dòng)進(jìn)程列表實(shí)現(xiàn)進(jìn)程隱藏。

Windows 系統(tǒng)枚舉進(jìn)程使用的是活動(dòng)進(jìn)程列表 PsActive ProcessList ，它是一個(gè)雙向鏈表，每個(gè)結(jié)點(diǎn)對(duì)應(yīng)一 個(gè)進(jìn)程的 EPROCESS 數(shù)據(jù)結(jié)構(gòu)，所有結(jié)點(diǎn)通過(guò) EPROCESS 結(jié)構(gòu)中的 ActiveProcessLinks 雙向指針鏈在一起。要 隱藏某個(gè)進(jìn)程，只需修改對(duì)應(yīng) EPROCESS 的 ActiveProcessLinks ，將其從鏈表中摘除即可。由于系統(tǒng)執(zhí)行線 程調(diào)度使用的是其他的數(shù)據(jù)結(jié)構(gòu)，因此這樣的修改不會(huì)影響進(jìn)程運(yùn)行。

?

Introduction

1. ???? 現(xiàn)有的對(duì) DKOM 的查殺對(duì)于一些繞過(guò)技術(shù)比較無(wú)奈，比如

[47] 中說(shuō)的，許多進(jìn)程特征碼可以簡(jiǎn)單的修改一個(gè)進(jìn)程頭部的比特位從而繞過(guò)，而該比特位不會(huì)影響進(jìn)程的正常運(yùn)行。這引發(fā)出下面的問(wèn)題： 給定數(shù)據(jù)結(jié)構(gòu)中到底哪些域才是必要的？

2. ???? 特征選擇機(jī)制（ feature selection mechanism ）使用下面兩步?jīng)Q定數(shù)據(jù)結(jié)構(gòu)中哪些部分對(duì)于功能是關(guān)鍵的。

?

• 監(jiān)控操作系統(tǒng)執(zhí)行，標(biāo)記哪些域經(jīng)過(guò)讀寫

?

?

• 看哪些域修改過(guò)之后不會(huì)引起崩潰

?

3. ???? 選定了 robust 域之后，在內(nèi)核數(shù)據(jù)結(jié)構(gòu)中收集了許多例子，并使用了動(dòng)態(tài)常量檢測(cè)技術(shù)【 12 】發(fā)現(xiàn)了它們的可以用于簽名的一些值的限制。

?

contributions ：

1. ?????????????? 提供了大量證據(jù)，現(xiàn)有的特征值都是可以輕易繞過(guò)的

2. ?????????????? 開發(fā)了系統(tǒng)級(jí)的 robust feature 選擇方法

3. ?????????????? 基于發(fā)現(xiàn)的 robust feature ，提出了一種產(chǎn)生 signature 的方法

?

paper 的結(jié)果可以立即應(yīng)用于許多當(dāng)前的安全掃描工具上：例如 XXX

?

Related work

1. ????? 病毒開發(fā)者可以修改自己的代碼使之不被檢測(cè)到，而對(duì)于定長(zhǎng)度的多態(tài)病毒的可靠性探測(cè)已經(jīng)被證明是 NP 完全問(wèn)題。

2. ????? 對(duì)于網(wǎng)絡(luò)蠕蟲的探測(cè)也存在類似問(wèn)題，開始的方法是使用簡(jiǎn)單的特征碼來(lái)過(guò)濾數(shù)據(jù)包，如 snort 。后來(lái)發(fā)現(xiàn)檢測(cè)多態(tài)混雜攻擊也是一個(gè) NP 完全問(wèn)題。

3. ???? 總之，特征值方法就是一個(gè) NP 完全問(wèn)題

?

盡管看起來(lái)沒前途了，但還是有一些希望的：在病毒代碼中，惡意輸入的語(yǔ)法由攻擊者定義，但是其語(yǔ)義只要保持不變就好了。而 rootkit 中， kernel 數(shù)據(jù)結(jié)構(gòu)的語(yǔ)法由 OS 控制，攻擊者只能修改包含在結(jié)構(gòu)體中的數(shù)據(jù)，并且不能搞壞原有功能。

?

1. ???? 許多方式可以找到隱藏進(jìn)程：【 18 】跟蹤了 CR3 寄存器的值，當(dāng)虛擬機(jī)執(zhí)行的時(shí)候，來(lái)區(qū)分一個(gè)單獨(dú)的虛擬地址空間。【 34 】通過(guò)檢查調(diào)度器的線程表來(lái)查找隱藏進(jìn)程，但是繞過(guò)這種方法的惡意程序也已經(jīng)出來(lái)了【 1 】。【 47 】【 35 】【 43 】描述了修改內(nèi)核數(shù)據(jù)結(jié)構(gòu)中的某些位而不會(huì)引起異常。

?

Overview ：

一個(gè)掃描器的范例

一個(gè)隱藏的范例：將 Eprocess 結(jié)構(gòu)體的 size 設(shè)成 0x00 ，這樣進(jìn)程可以被調(diào)度器調(diào)度，但不會(huì)出現(xiàn)在任務(wù)管理器中

?

架構(gòu)：分 3 部分

1. ?????????????? 抽樣我們選的數(shù)據(jù)結(jié)構(gòu)，看哪些 field 最常用，從未用到的部分可以被 attacker 控制

2. ?????????????? 最常訪問(wèn)的域進(jìn)行 fuzz ，決定哪些可以被修改而不會(huì) crash 的部分，也可以被 attacker 控制

3. ?????????????? 收集正確的例子，基于其建立 signature

?

1. ?????????????? 抽樣和 fuzzing 階段分別基于 Xen 和 vmware 實(shí)現(xiàn)。 xen 能獲得監(jiān)控內(nèi)存的能力，而 vmware 可以存儲(chǔ)狀態(tài)

2. ?????????????? 修改 xen 代碼，將包含監(jiān)控?cái)?shù)據(jù)的頁(yè) Present 位置 0 ，這樣訪問(wèn)時(shí)可以實(shí)時(shí)記錄

3. ?????????????? fuzzing 的幾種數(shù)據(jù)類型： 0 ，隨機(jī)，隨機(jī)素?cái)?shù)，隨機(jī)聚合類型（如結(jié)構(gòu)體）

4. ?????????????? signature 的生成： 4 種檢測(cè)： 0 ，常量，按位與（ bitwise and ），對(duì)齊

?

討論：

1. ??????????????? 對(duì) profile 和 fuzzing 的評(píng)估： network_listener 31337 端口測(cè)試，看是否正常

2. ?????????????? > 對(duì) signature 的生成的評(píng)估

?

實(shí)驗(yàn)結(jié)果：

最終的準(zhǔn)確性對(duì)比 psscan2 和 PTFinder ，可以發(fā)現(xiàn)隱藏進(jìn)程

?

缺點(diǎn)：

如何保證 fuzzing 的覆蓋面足夠完全

采樣階段也不可能將每個(gè)內(nèi)核數(shù)據(jù)結(jié)構(gòu)都添加進(jìn)來(lái)

這樣還是會(huì)有遺漏

?

另：除了 Eprocess 結(jié)構(gòu)體外，還有別的方法可以隱藏 rootkit 嗎？

?

CSS09-Robust Signatures for Kernel Data Structures