スライド 1

Size: px

Start display at page:

Download "スライド 1"

ぜんまうすい
8 years ago
Views:

1 1 システムコールフックを使用した攻撃検出株式会社フォティーンフォティー技術研究所取締役技術担当金居良治

2 2 お題目 System Call について System Call Protection System Call Hook 考察

3 3 System Call とは? ユーザアプリケーションからカーネルのサービスルーチンを呼び出す Disk I/O Network I/O Etc User App User App Kernel

4 4 System Call 実装方法 (i386) INT (Linux, FreeBSD, Windows 2000) 割り込み SYSENTER (Linux?, Windows XP) 高速システムコール

5 INT による System Call の実装概略図 INT = 割り込み感覚的には関数 ( ホントはもっといろいろやってます ) CPU EAX: EBX: IDTR:???? Interrupt Descriptor Table(IDT) 番号アドレス 0x00 0x80 syscall INT 0x80 syscall: IRET User Kernel 5

6 INT による System Call の特徴 IDT というメモリ領域に割り込みハンドラのアドレスがある Windows でも 2000 以前は INT を使用 trap gate(freebsd), interrupt gate(linux) という 2 種類のバリエーションがある 6

7 7 SYSENTER の動作概略図 System Call 用に特化高速化してある ( ホントはもっといろいろやってます ) CPU EAX: SYSENTER*MSR:???? SYSENTER*MSR:???? SYSENTER*MSR:???? SYSENTER syscall: SYSEXIT User Kernel

8 SYSENTER による System Call の特徴 INT のような冗長なチェックが無くメモリアクセスも無いので高速 Pentium II で登場した命令 Windows XP 以降 (Linux も?) はこっちここら辺の挙動が詳しく知りたい人は Intel のページへ 8

9 System Call で遊んでみよう! 以外と簡単 System Call Protection というのを考案 FreeBSD でカーネルモジュールとして実装アーキテクチャは i386 に限定 9

10 攻撃に System Call が利用される例例としてスタックベースのバッファオーバーフローについて検討だいたいシェルコード内でシステムコールを使用するこれが禁止できればシェルコードが実行できても被害は最小に OpenBSD の W^X みたいなやつ overwrite Stack Return Address Local Buffer Shell Code... INT 0x80 10

11 スタック上でのコード実行は禁止できるか一部の例外を除いてスタック上でコードを実行するようなコードは不要 OpenBSD は出来てる i386 では出来ない OS が多い (Windows とか ) FreeBSD i386 も出来ない 11

12 System Call Protection 書き込み属性のあるメモリ領域から System Call の呼び出しを禁止呼び出し元のアドレスはスタック上にあるのでこれを調べるメモリの属性チェック Shell Code... INT 0x80 User コード領域に書き込み属性が設定されていない事を利用スタック / ヒープベースのオーバーフローが発生しても悪用が困難に Int0x80_syscall... Check called addr Kernel 12

13 13 メモリの属性 ( パーミッション ) FreeBSD では ports の pmap を使用してメモリの属性をチェックできる

14 14 System Call Hook の方法 CPU EAX: EBX: IDTR:???? Interrupt Descriptor Table(IDT) 番号アドレス 0x00 0x80 syscall INT 0x80 syscall: IRET User Kernel

15 15 System Call Hook の方法 IDTR 変更割り込みハンドラの書き換え CPU EAX: EBX: IDTR:???? Interrupt Descriptor Table(IDT) 番号アドレス 0x00 0x80 syscall INT 0x80 syscall: IRET User Kernel コード書き換え

16 割り込みハンドラのアドレスを書き換えるカーネルモジュールとしての実装が可能簡単 (setidt() を呼ぶだけ ) setidt(idt_syscall, &IDTVEC(my_int0x80_syscall), SDT_SYS386TGT, SEL_UPL, GSEL(GCODE_SEL, SEL_KPL)); ユーザ側からすればカーネルの再ビルドが不要なので手軽に試すことが出来るコンセプトコードに最適! 16

17 17 実行した様子 System Call Protection Off System Call Protection On スタック / ヒープ上で System Call が呼べない!

18 パフォーマンスその 1 10 秒間に何回 getpid() を呼べるか計測 System Call によるオーバーヘッドを計測 7.7% のパフォーマンス低下 System Call Protect 無効有効パフォーマンス 24,059,220 22,195, % 18

19 パフォーマンスその 2 ab(apache benchmark) で 1 秒あたりに処理できるリクエスト数を計測 ab -n c % のパフォーマンス低下 System Call Protect 無効有効パフォーマンス % 19

20 パフォーマンスまとめ実際のアプリケーションでは 3~7% 程度のパフォーマンス低下が予想されるターゲットを vmware 上で動かしたので値は不正確かも connect() や exec() 等の危険な System Call が呼ばれた時のみチェックをするようにすれば比較的安全なまま高速化が可能 20

21 考察 OpenBSD W^X を実装すれば済む話ただし mips 等では実装が不可能そういった環境では役に立つかもバイパスする方法があるが ASLR 等の他のセキュリティ機能と組み合わせる事で防御できるいろいろ応用が可能 21

22 ありがとうございました株式会社フォティーンフォティー技術研究所取締役技術担当金居良治 22

04-process_thread_2.ppt

04-process_thread_2.ppt オペレーティングシステム ~ 保護とシステムコール ~ 山田浩史 hiroshiy @ cc.tuat.ac.jp 2015/05/08 復習 : OS の目的 ( 今回の話題 ) 裸のコンピュータを抽象化 (abstraction) しより使いやすく安全なコンピュータとして見せること OS はハードウェアを制御しアプリケーションの効率的な動作や容易な開発を支援する OS がないと 1 つしかプログラムが動作しない