Lorg iad duilgheadasan tèarainteachd ann am badan kernel Linux a mhol neach-obrach Huawei

Luchd-leasachaidh a ’phròiseict Grsecurity fiosrachadh air a leigeil ma sgaoil mu chùisean tèarainteachd a chaidh a lorg ann am bad a chaidh a mholadh gus tèarainteachd kernel Linux a leasachadh le neach-obrach Huawei, làthaireachd so-leòntachd a chaidh a chleachdadh gu beag anns an t-seata paiste HKSP (Fèin-dhìon Huawei Kernel).

Chaidh na pìosan “HKSP” seo fhoillseachadh le neach-obrach Huawei 5 latha air ais agus tha iad a ’toirt a-steach iomradh air Huawei ann am pròifil GitHub agus a’ cleachdadh an fhacail Huawei ann an còdachadh ainm a ’phròiseict (HKSP - Huawei Kernel Self Protection), eadhon ged a tha an emplado ag ainmeachadh nach eil gnothach sam bith aig a ’phròiseact ris a’ chompanaidh agus gur ann leis fhèin a tha e.

Tha am pròiseact seo air mo rannsachadh a dhèanamh san ùine shaor agam, chaidh an t-ainm hksp a thoirt dhomh fhìn, chan eil e càirdeach do chompanaidh Huawei, chan eil toradh Huawei ann a tha a ’cleachdadh a’ chòd seo.

Chaidh an còd paiste seo a chruthachadh leam leis nach eil lùth gu leòr aig aon neach airson a h-uile càil a chòmhdach. Mar sin, tha dìth gealltanas càileachd leithid ath-bhreithneachadh agus deuchainn.

Mu HKSP

Tha HKSP a ’toirt a-steach atharrachaidhean mar thuaiream structar tradeoffs, dìon ionnsaigh ainm-àite ID a ’chleachdaiche (pid namespace), dealachadh stac pròiseas sgìre mmap, gnìomh kfree lorg gairm dùbailte, bacadh aodion tro mhodalan pseudo-FS / proc (/ proc / {, iuchraichean, prìomh luchd-cleachdaidh}, / proc / sys / kernel / * agus / proc / sys / vm / mmap_min_addr, / proc / kallsyms), leasachadh air thuaiream seòlaidhean ann an àite luchd-cleachdaidh, dìon a bharrachd bho Ptrace, dìon nas fheàrr airson smap agus smep, an comas toirmeasg a bhith a ’cur dàta tro socaidean amh, a’ cur bacadh air seòlaidhean mì-dhligheach air socaidean agus sgrùdaidhean UDP agus ionracas phròiseasan ruith.

Tha am frèam cuideachd a ’toirt a-steach modal kernel Ksguard, a tha ag amas air oidhirpean gus freumhaichean àbhaisteach a thoirt a-steach.

Thog na paisdean ùidh ann an Greg Kroah-Hartman, le uallach airson meur seasmhach den kernel Linux a chumail suas, a nì dh ’iarr e air an ùghdar am pìos monolithic a roinn ann am pàirtean gus an lèirmheas a dhèanamh nas sìmplidhe agus adhartachadh don phrìomh shuidheachadh.

Bhruidhinn Kees Cook (Kees Cook), ceannard a ’phròiseict gus teicneòlas dìon gnìomhach adhartachadh ann an kernel Linux, cuideachd a’ bruidhinn gu deimhinneach mu dheidhinn pìosan, agus tharraing na cùisean aire gu ailtireachd x86 agus nàdar fios mu iomadh modh nach bi a ’clàradh ach fiosrachadh mun duilgheadas, ach chan Feuch ri bacadh a chuir air.

Sgrùdadh paiste leis an luchd-leasachaidh Grsecurity nochd mòran bhiteagan is laigsean sa chòd Sheall e cuideachd nach robh modail bagairt ann a leigeas le measadh iomchaidh a dhèanamh air comasan a ’phròiseict.

Gus sealltainn gun deach an còd a sgrìobhadh gun a bhith a ’cleachdadh modhan prògramaidh tèarainte, Tha eisimpleir de chugallachd beag air a thoirt seachad anns an inneal-làimhseachaidh faidhle / proc / ksguard / state, a tha air a chruthachadh le ceadan 0777, a tha a ’ciallachadh gu bheil ruigsinneachd sgrìobhaidh aig a h-uile duine.

Bidh an gnìomh ksg_state_write a thathar a ’cleachdadh gus na h-òrdughan sgrìobhte ann an / proc / ksguard / state a pharsadh a’ cruthachadh tmp bufair [32], anns a bheil an dàta sgrìobhte stèidhichte air meud an operand a chaidh seachad, gun a bhith a ’beachdachadh air meud a’ bhufair ceann-uidhe agus gun sgrùdadh am paramadair le meud an t-sreang. Ann am faclan eile, gus faighinn thairis air pàirt den chruach kernel, chan fheum an neach-ionnsaigh ach loidhne le ciùird shònraichte a sgrìobhadh ann an / proc / ksguard / state.

Nuair a gheibh thu freagairt, thug an leasaiche iomradh air duilleag GitHub den phròiseact “HKSP” gu retroactively às deidh an lorg so-leòntachd chuir e nota ris gu bheil am pròiseact a ’dol air adhart anns an ùine shaor aige airson rannsachadh.

Taing don sgioba tèarainteachd airson a bhith a ’lorg mòran de bhiteagan anns a’ phìos seo.
Tha an ksg_guard na phìos sampaill airson a bhith a ’lorg rootkits aig ìre kernel, tha conaltradh luchd-cleachdaidh agus kernel a’ cur air bhog an eadar-aghaidh proc, is e mo adhbhar stòr a bhith a ’sgrùdadh a’ bheachd gu sgiobalta gus nach cuir mi sgrùdaidhean tèarainteachd gu leòr.

A ’dearbhadh gu fìrinneach rootkit aig ìre kernel feumaidh tu fhathast bruidhinn ris a’ choimhearsnachd, ma tha feum air inneal ARK (anti rootkit) a dhealbhadh airson siostam Linux ...


Tha susbaint an artaigil a ’cumail ri na prionnsapalan againn de moraltachd deasachaidh. Gus aithris a dhèanamh air mearachd cliog an seo.

Bi a 'chiad fhear a thog beachd

Fàg do bheachd

Seòladh-d cha tèid fhoillseachadh.

*

*

  1. Uallach airson an dàta: Miguel Ángel Gatón
  2. Adhbhar an dàta: Smachd air SPAM, riaghladh bheachdan.
  3. Dìleab: Do chead
  4. Conaltradh an dàta: Cha tèid an dàta a thoirt do threas phàrtaidhean ach a-mhàin fo dhleastanas laghail.
  5. Stòradh dàta: Stòr-dàta air a chumail le Occentus Networks (EU)
  6. Còraichean: Aig àm sam bith faodaidh tu am fiosrachadh agad a chuingealachadh, fhaighinn air ais agus a dhubhadh às.