eBPF安全技术实战：审计和拦截权限提升操作|付代码

导读：攻击者通常会通过各种手段尝试获取比当前权限更高的权限，比如利用有suid权限可以以root用户身份执行任意操作的二进制文件实现权限提升。本文将介绍如何通过eBPF提供的各种特性审计和拦截权限提升操作。

本文目录

一、  审计权限提升操作

1.  基于于eBPF LSM实现

2.  基于eBPF Kprobe实现

二、  拦截权限提升操作

三、总结

一、  审计权限提升操作

当前存在多种方法可以实现权限提升操作，下面将以基于suid权限提权的攻击操作为例，讲解如何使用eBPF技术审计权限提升操作。

因为执行拥有suid权限的二进制文件的操作中涉及读取这个二进制文件的操作，所以我们可以在前面的审计文件读写操作的eBPF程序的基础上实现审计基于suid权限提权的攻击操作的eBPF程序。

要审计读取拥有suid权限的文件的操作，关键点是如何判断被打开的文件是否拥有suid权限。在Linux内核中，struct inode是Linux文件系统的关键数据结构之一，它用于描述文件系统中的文件、目录和其他对象。inode结构体的i_mode成员是一个位掩码，它的值包含了文件类型、文件权限等信息。因此，我们可以通过检查i_mode的值来达到检查文件是否拥有suid权限的目的。比如，我们可以通过如下代码检查文件是否拥有suid权限。

#define S_IFMT  00170000

#define S_IFREG  0100000
#define S_ISUID  0004000
#define S_ISREG(m)  (((m) & S_IFMT) == S_IFREG)
#define S_ISSUID(m)  (((m) & S_ISUID) != 0)
static bool is_suid_file(const struct file ＊file) {
    umode_t mode = BPF_CORE_READ(file, f_inode, i_mode);
    return S_ISREG(mode) && S_ISSUID(mode);
}

知道如何判断文件是否拥有suid权限后，下面来看一下具体如何实现相应的eBPF程序。

1.  基于eBPF LSM实现

(1)  file_open

由于eBPF LSM提供的file_open追踪点的参数中struct file类型的参数拥有一个类型为struct inode的成员f_inode，因此我们可以基于eBPF LSM提供的file_open追踪点审计读取suid权限文件的操作。

LSM_HOOK(int, 0, file_open, struct file ＊file)

通过使用前面介绍的检查文件是否拥有suid权限的方法，基于eBPF LSM提供的file_open追踪点实现审计读取suid权限文件的操作的eBPF程序的关键代码如下。

static bool is_suid_file(const struct file ＊file) {

    umode_t mode = BPF_CORE_READ(file, f_inode, i_mode);
    return S_ISREG(mode) && S_ISSUID(mode);
}
SEC("lsm/file_open")
int BPF_PROG(lsm_file_open, struct file ＊file) {
    struct event_t event = {};
    // 判断是不是拥有 suid 权限的文件
    if (!is_suid_file(file))
        return 0;
    u32 uid = bpf_get_current_uid_gid();
    event.uid = uid;
    event.pid = bpf_get_current_pid_tgid() >> 32;
    bpf_get_current_comm(&event.comm, sizeof(event.comm));
    event.fmode = BPF_CORE_READ(file, f_mode);
    get_file_path(file, event.filename, sizeof(event.filename));
    bpf_perf_event_output(ctx, &events, BPF_F_CURRENT_CPU, &event, sizeof(event));
    return 0;
}

(2)  bprm_check_security

对于前面使用file_open追踪点实现的审计功能大家可能会有一个疑问，这种方法会审计到只打开suid权限文件但是不去执行这个文件的操作，这种事件可能不是我们想要的。是否可以审计到execve系统调用执行的文件是否拥有suid权限？答案是肯定的，eBPF LSM提供了另一个execve系统调用会触发的追踪点bprm_check_security，我们可以基于bprm_check_security追踪点实现审计执行suid权限文件的操作的需求。

bprm_check_security追踪点的说明如下。

● 这个钩子函数介入了开始执行搜索二进制处理器的操作，它允许检查在creds_for_exec调用之前被设置的 bprm->cred->security属性。

● 可以从bprm中可靠地获取argv和envp列表，bprm包含linux_binprm结构。

● 在执行单个execve系统调用期间，这个钩子函数可能会被调用多次。

● 函数返回0表示操作成功并且权限被允许。

对应的事件处理函数或钩子函数可以获取到的参数信息如下。

LSM_HOOK(int, 0, bprm_check_security, struct linux_binprm ＊bprm)

知道这些信息后，就可以编写基于bprm_check_security追踪点实现审计执行suid权限文件的操作的eBPF程序了，这个eBPF程序的关键代码如下。

SEC("lsm/bprm_check_security")
int BPF_PROG(lsm_bprm_check_security, struct linux_binprm ＊bprm) {
    struct event_t event = {};
    struct file ＊file = BPF_CORE_READ(bprm, file);
    // 判断是不是拥有 suid 权限的文件
    if (!is_suid_file(file))
        return 0;
    // 省略部分代码
}

2.  基于eBPF Kprobe实现

由于使用eBPF LSM要求Linux系统内核版本大于或等于5.7并且部分发行版本没有默认启用eBPF LSM，因此大家可能会想，是否可以基于eBPF Kprobe通过追踪内核函数的方式实现审计权限提升操作的功能？答案是肯定的，下面以eBPF LSM提供的bprm_check_security追踪点相应的内核函数security_bprm_check为例，讲解如何基于eBPF Kprobe实现审计权限提升操作的功能。

(1)  内核函数签名

我们先来看一下内核函数security_bprm_check的函数签名。

int security_bprm_check(struct linux_binprm ＊bprm)

通过前面的示例可知，我们可以通过bprm参数中的file属性判断文件是否拥有suid权限。

(2)  关键代码

基于eBPF Kprobe实现审计权限提升操作的eBPF程序的核心源码可以按如下方式编写。

SEC("kprobe/security_bprm_check")
int BPF_KPROBE(kprobe_security_bprm_check, struct linux_binprm ＊bprm) {
    struct event_t event = {};
    struct file ＊file = BPF_CORE_READ(bprm, file);
    // 判断是不是拥有 suid 权限的文件
    if (!is_suid_file(file))
        return 0;
    u32 uid = bpf_get_current_uid_gid();
    event.uid = uid;
    event.pid = bpf_get_current_pid_tgid() >> 32;
    bpf_get_current_comm(&event.comm, sizeof(event.comm));
    get_file_path(file, event.filename, sizeof(event.filename));
    bpf_perf_event_output(ctx, &events, BPF_F_CURRENT_CPU, &event, sizeof(event));
    return 0;
}

二、  拦截权限提升操作

我们可以在eBPF程序中通过bpf_send_signal、bpf_override_return辅助函数或eBPF LSM特性提供的能力实现拦截操作的功能。因此，对于拦截权限提升操作，下面将以基于eBPF LSM实现作为演示，不再分别说明每种方法及相应的示例源码。

我们基于eBPF LSM提供的bprm_check_security追踪点实现了审计程序，同样也可以通过返回非0值让它支持拦截功能。改造后的基于eBPF LSM实现的拦截权限提升操作的eBPF程序的关键代码如下。

SEC("lsm/bprm_check_security")
int BPF_PROG(lsm_bprm_check_security, struct linux_binprm ＊bprm) {
    // 省略部分代码
    // 判断是不是拥有 suid 权限的文件
    if (!is_suid_file(file))
        return 0;
    u32 uid = bpf_get_current_uid_gid();
    u32 gid = bpf_get_current_uid_gid() >> 32;
    // 放行 root 用户 或 root 组下的用户
    if (uid == 0 || gid == 0)
        return 0;
    // 省略部分代码
    // 拦截
    return -1;
}

上面代码中除了通过返回-1实现拦截功能外，还有一个需要特别注意的点：我们需要放行root用户或root组下的用户所触发的操作，因为这些用户的权限是预期的，不属于提权操作。

三、总结

本文介绍了如何基于eBPF的LSM及Kprobe审计权限提升操作，以及如何使用eBPF LSM特性拦截权限提升操作，还提供了各个方法的关键实现代码。如果您对eBPF技术的其他落地应用感兴趣，推荐您阅读黄竹刚、匡大虎老师的新书 eBPF云原生安全：原理与实践》。

本文摘编自《eBPF云原生安全：原理与实践》（书号：978-7-111-75804-4），经出版方授权发布，转载请保留文章来源。

《eBPF云原生安全：原理与实践》是一本系统讲解如何使用eBPF技术构建云原生安全防线的著作，是一本面向eBPF技术爱好者和云安全领域从业者的实战宝典，从原理与实践角度详述了eBPF技术在云原生安全领域正在发生的关键作用，是作者多年构筑云原生安全纵深防御经验的总结。本书详细阐述了eBPF技术的核心原理以及在云原生安全领域的应用价值，并结合大量的代码案例分析，深入探讨了在典型的云原生安全需求场景下使用eBPF技术可以帮助实现的安全功能和实践原理，同时也讲述了可能引入的安全风险，帮助读者从零基础快速了解eBPF技术，开始eBPF安全编程。

作者简介

黄竹刚，阿里云容器服务技术专家，eBPF技术爱好者，云原生安全领域从业人员，拥有十余年软件开发经验，熟悉Python、Go等多种编程语言，热爱开源并长期活跃于开源社区。

匡大虎，阿里云容器服务高级技术专家，曾就职于IBM和华为云。专注云原生安全，有十余年的云计算和容器安全攻防经验，负责阿里云容器服务团队安全产品能力的架构设计和研发工作。