Projektet Openwall annoncerede for nylig udgivelsen af LKRG 0.9.4-kernemodulet (Linux Kernel Runtime Guard), designet til at opdage og blokere angreb og krænkelser af integriteten af kernestrukturer.
LKRG er pakket som et indlæst kernemodul, der forsøger at opdage uautoriserede ændringer i en kørende kerne (integritetstjek) eller ændringer i brugerprocessernes tilladelser (sårbarhedsdetektion).
Integritetskontrollen udføres baseret på en sammenligning af beregnede hashes for de vigtigste hukommelsesområder og kernedatastrukturer (IDT (Interrupt Description Table), MSR, systemkaldstabeller, alle procedurer og funktioner, interrupt-handlere, lister over indlæste moduler, indhold af .text-sektionen af moduler, procesattributter osv.).
Verifikationsproceduren aktiveres periodisk ved hjælp af en timer og når forskellige kernehændelser opstår (for eksempel når setuid, setreuid, fork, exit, execve, do_init_module osv. systemkald udføres).
Om Linux Kernel Runtime Guard
Detektering af mulig brug af udnyttelser og blokering af angreb udføres på stadiet, før kernen giver adgang til ressourcer (f.eks. før åbning af en fil), men efter at processen er blevet givet uautoriserede tilladelser (f.eks. ændring af UID) .
Når uautoriseret opførsel af processer opdages, bliver de tvangsafbrudt, hvilket er nok til at blokere mange udnyttelser. Da projektet er i udviklingsstadiet, og der endnu ikke er foretaget optimeringer, er de samlede driftsomkostninger for modulet cirka 6.5 %, men i fremtiden er det planen at reducere dette tal væsentligt.
Modulet den er velegnet både til at organisere beskyttelse mod allerede kendte bedrifter til Linux-kernen for at imødegå udnyttelse af endnu ukendte sårbarheder, hvis de ikke bruger særlige foranstaltninger til at omgå LKRG.
Forfatterne udelukker ikke tilstedeværelsen af fejl i LKRG-koden og mulige falske positiver, derfor opfordres brugerne til at sammenligne risikoen for mulige fejl i LKRG med fordelene ved den foreslåede beskyttelsesmetode.
Af de positive egenskaber ved LKRG bemærkes det, at beskyttelsesmekanismen er lavet i form af et indlæst modul og ikke en kernepatch, som gør det muligt at bruge det med almindelige distributionskerner.
De vigtigste nye funktioner i LKRG 0.9.4
I denne nye version af modulet, der præsenteres, er det fremhævet, at tilføjet understøttelse af OpenRC boot-systemet, samt tilføjelse af installationsvejledning vha DMMS.
En anden ændring, der skiller sig ud i denne nye version, er det giver kompatibilitet med LTS-kerner fra Linux 5.15.40+.
Udover dette fremhæves det også, at designet af meddelelsesoutputtet til loggen er blevet redesignet for at forenkle automatiseret analyse og lette perception under manuel analyse, og at LKRG meddelelser har deres egne logkategorier, hvilket gør det nemmere at adskille dem fra resten af kernemeddelelser.
På den anden side nævnes det også omdøbt kernemodul fra p_lkrg til lkrg og at den gamle version af LKRG 0.9.3 er stadig funktionel i nyere kerneversioner (5.19-rc* indtil videre). Men for langsigtet kompatibilitet med Kernels 5.15.40+, er det ikke så nogle ændringer foretaget i version 0.9.4 skal anvendes.
Det nævnes også, at nogle ændringer overvejes relateret (men sandsynligvis anderledes) for optagelse i LKRG selvforsvar, for eksempel er dens runtime-konfiguration i en hukommelsesside, der holdes skrivebeskyttet det meste af tiden, blandt andre forbedringer.
Endelig hvis du er interesseret i at vide mere om det, kan du kontrollere detaljerne i følgende link.
Modulet er især testet med RHEL kernen, OpenVZ/Virtuozzo og Ubuntu. I fremtiden vil det være muligt at organisere byggeprocessen med binær kompatibilitet for forskellige populære distributioner.