导读:攻击者通常会通过各种手段尝试获取比当前权限更高的权限,比如利用有suid权限可以以root用户身份执行任意操作的二进制文件实现权限提升。本文将介绍如何通过eBPF提供的各种特性审计和拦截权限提升操作。
一、 审计权限提升操作
1. 基于于eBPF LSM实现
2. 基于eBPF Kprobe实现
二、 拦截权限提升操作
三、总结
当前存在多种方法可以实现权限提升操作,下面将以基于suid权限提权的攻击操作为例,讲解如何使用eBPF技术审计权限提升操作。
因为执行拥有suid权限的二进制文件的操作中涉及读取这个二进制文件的操作,所以我们可以在前面的审计文件读写操作的eBPF程序的基础上实现审计基于suid权限提权的攻击操作的eBPF程序。
要审计读取拥有suid权限的文件的操作,关键点是如何判断被打开的文件是否拥有suid权限。在Linux内核中,struct inode是Linux文件系统的关键数据结构之一,它用于描述文件系统中的文件、目录和其他对象。inode结构体的i_mode成员是一个位掩码,它的值包含了文件类型、文件权限等信息。因此,我们可以通过检查i_mode的值来达到检查文件是否拥有suid权限的目的。比如,我们可以通过如下代码检查文件是否拥有suid权限。
#define S_IFMT 00170000
#define S_IFREG 0100000
#define S_ISUID 0004000
#define S_ISREG(m) (((m) & S_IFMT) == S_IFREG)
#define S_ISSUID(m) (((m) & S_ISUID) != 0)
static bool is_suid_file(const struct file *file) {
umode_t mode = BPF_CORE_READ(file, f_inode, i_mode);
return S_ISREG(mode) && S_ISSUID(mode);
}
知道如何判断文件是否拥有suid权限后,下面来看一下具体如何实现相应的eBPF程序。
由于eBPF LSM提供的file_open追踪点的参数中struct file类型的参数拥有一个类型为struct inode的成员f_inode,因此我们可以基于eBPF LSM提供的file_open追踪点审计读取suid权限文件的操作。
LSM_HOOK(int, 0, file_open, struct file *file)
通过使用前面介绍的检查文件是否拥有suid权限的方法,基于eBPF LSM提供的file_open追踪点实现审计读取suid权限文件的操作的eBPF程序的关键代码如下。
static bool is_suid_file(const struct file *file) {
umode_t mode = BPF_CORE_READ(file, f_inode, i_mode);
return S_ISREG(mode) && S_ISSUID(mode);
}
SEC("lsm/file_open")
int BPF_PROG(lsm_file_open, struct file *file) {
struct event_t event = {};
// 判断是不是拥有 suid 权限的文件
if (!is_suid_file(file))
return 0;
u32 uid = bpf_get_current_uid_gid();
event.uid = uid;
event.pid = bpf_get_current_pid_tgid() >> 32;
bpf_get_current_comm(&event.comm, sizeof(event.comm));
event.fmode = BPF_CORE_READ(file, f_mode);
get_file_path(file, event.filename, sizeof(event.filename));
bpf_perf_event_output(ctx, &events, BPF_F_CURRENT_CPU, &event, sizeof(event));
return 0;
}
对于前面使用file_open追踪点实现的审计功能大家可能会有一个疑问,这种方法会审计到只打开suid权限文件但是不去执行这个文件的操作,这种事件可能不是我们想要的。是否可以审计到execve系统调用执行的文件是否拥有suid权限?答案是肯定的,eBPF LSM提供了另一个execve系统调用会触发的追踪点bprm_check_security,我们可以基于bprm_check_security追踪点实现审计执行suid权限文件的操作的需求。
bprm_check_security追踪点的说明如下。
● 这个钩子函数介入了开始执行搜索二进制处理器的操作,它允许检查在creds_for_exec调用之前被设置的 bprm->cred->security属性。
● 可以从bprm中可靠地获取argv和envp列表,bprm包含linux_binprm结构。
● 在执行单个execve系统调用期间,这个钩子函数可能会被调用多次。
● 函数返回0表示操作成功并且权限被允许。
对应的事件处理函数或钩子函数可以获取到的参数信息如下。
LSM_HOOK(int, 0, bprm_check_security, struct linux_binprm *bprm)
知道这些信息后,就可以编写基于bprm_check_security追踪点实现审计执行suid权限文件的操作的eBPF程序了,这个eBPF程序的关键代码如下。
SEC("lsm/bprm_check_security")
int BPF_PROG(lsm_bprm_check_security, struct linux_binprm *bprm) {
struct event_t event = {};
struct file *file = BPF_CORE_READ(bprm, file);
// 判断是不是拥有 suid 权限的文件
if (!is_suid_file(file))
return 0;
// 省略部分代码
}
由于使用eBPF LSM要求Linux系统内核版本大于或等于5.7并且部分发行版本没有默认启用eBPF LSM,因此大家可能会想,是否可以基于eBPF Kprobe通过追踪内核函数的方式实现审计权限提升操作的功能?答案是肯定的,下面以eBPF LSM提供的bprm_check_security追踪点相应的内核函数security_bprm_check为例,讲解如何基于eBPF Kprobe实现审计权限提升操作的功能。
我们先来看一下内核函数security_bprm_check的函数签名。
int security_bprm_check(struct linux_binprm *bprm)
通过前面的示例可知,我们可以通过bprm参数中的file属性判断文件是否拥有suid权限。
基于eBPF Kprobe实现审计权限提升操作的eBPF程序的核心源码可以按如下方式编写。
SEC("kprobe/security_bprm_check")
int BPF_KPROBE(kprobe_security_bprm_check, struct linux_binprm *bprm) {
struct event_t event = {};
struct file *file = BPF_CORE_READ(bprm, file);
// 判断是不是拥有 suid 权限的文件
if (!is_suid_file(file))
return 0;
u32 uid = bpf_get_current_uid_gid();
event.uid = uid;
event.pid = bpf_get_current_pid_tgid() >> 32;
bpf_get_current_comm(&event.comm, sizeof(event.comm));
get_file_path(file, event.filename, sizeof(event.filename));
bpf_perf_event_output(ctx, &events, BPF_F_CURRENT_CPU, &event, sizeof(event));
return 0;
}
我们可以在eBPF程序中通过bpf_send_signal、bpf_override_return辅助函数或eBPF LSM特性提供的能力实现拦截操作的功能。因此,对于拦截权限提升操作,下面将以基于eBPF LSM实现作为演示,不再分别说明每种方法及相应的示例源码。
我们基于eBPF LSM提供的bprm_check_security追踪点实现了审计程序,同样也可以通过返回非0值让它支持拦截功能。改造后的基于eBPF LSM实现的拦截权限提升操作的eBPF程序的关键代码如下。
SEC("lsm/bprm_check_security")
int BPF_PROG(lsm_bprm_check_security, struct linux_binprm *bprm) {
// 省略部分代码
// 判断是不是拥有 suid 权限的文件
if (!is_suid_file(file))
return 0;
u32 uid = bpf_get_current_uid_gid();
u32 gid = bpf_get_current_uid_gid() >> 32;
// 放行 root 用户 或 root 组下的用户
if (uid == 0 || gid == 0)
return 0;
// 省略部分代码
// 拦截
return -1;
}
上面代码中除了通过返回-1实现拦截功能外,还有一个需要特别注意的点:我们需要放行root用户或root组下的用户所触发的操作,因为这些用户的权限是预期的,不属于提权操作。
本文介绍了如何基于eBPF的LSM及Kprobe审计权限提升操作,以及如何使用eBPF LSM特性拦截权限提升操作,还提供了各个方法的关键实现代码。如果您对eBPF技术的其他落地应用感兴趣,推荐您阅读黄竹刚、匡大虎老师的新书 eBPF云原生安全:原理与实践》。
本文摘编自《eBPF云原生安全:原理与实践》(书号:978-7-111-75804-4),经出版方授权发布,转载请保留文章来源。
《eBPF云原生安全:原理与实践》是一本系统讲解如何使用eBPF技术构建云原生安全防线的著作,是一本面向eBPF技术爱好者和云安全领域从业者的实战宝典,从原理与实践角度详述了eBPF技术在云原生安全领域正在发生的关键作用,是作者多年构筑云原生安全纵深防御经验的总结。本书详细阐述了eBPF技术的核心原理以及在云原生安全领域的应用价值,并结合大量的代码案例分析,深入探讨了在典型的云原生安全需求场景下使用eBPF技术可以帮助实现的安全功能和实践原理,同时也讲述了可能引入的安全风险,帮助读者从零基础快速了解eBPF技术,开始eBPF安全编程。
作者简介
黄竹刚,阿里云容器服务技术专家,eBPF技术爱好者,云原生安全领域从业人员,拥有十余年软件开发经验,熟悉Python、Go等多种编程语言,热爱开源并长期活跃于开源社区。
匡大虎,阿里云容器服务高级技术专家,曾就职于IBM和华为云。专注云原生安全,有十余年的云计算和容器安全攻防经验,负责阿里云容器服务团队安全产品能力的架构设计和研发工作。
