El proyecto Openwall heeft onlangs de release aangekondigd van de LKRG 0.9.4 kernelmodule (Linux Kernel Runtime Guard), ontworpen om aanvallen en schendingen van de integriteit van kernelstructuren te detecteren en te blokkeren.
De LKRG is verpakt als: een laadbare kernelmodule die probeert ongeautoriseerde wijzigingen te detecteren in een draaiende kernel (integriteitscontrole) of wijzigingen in de machtigingen van gebruikersprocessen (detectie van kwetsbaarheden).
De integriteitscontrole wordt uitgevoerd op basis van een vergelijking van berekende hashes voor de belangrijkste geheugengebieden en kerneldatastructuren (IDT (Interrupt Description Table), MSR, systeemaanroeptabellen, alle procedures en functies, interrupt-handlers, lijsten van geladen modules, inhoud van de .text sectie van modules, procesattributen, etc.).
De verificatieprocedure wordt periodiek geactiveerd door middel van een timer en wanneer verschillende kernelgebeurtenissen plaatsvinden (bijvoorbeeld wanneer setuid, setreuid, fork, exit, execve, do_init_module, etc. systeemaanroepen worden uitgevoerd).
Over Linux Kernel Runtime Guard
Detectie van mogelijk gebruik van exploits en blokkering van aanvallen worden uitgevoerd in het stadium voordat de kernel toegang geeft tot bronnen (bijvoorbeeld voordat een bestand wordt geopend), maar nadat het proces ongeautoriseerde machtigingen heeft gekregen (bijvoorbeeld het wijzigen van de UID ) .
Wanneer ongeautoriseerd gedrag van processen wordt gedetecteerd, worden ze met geweld beëindigd, wat voldoende is om veel exploits te blokkeren. Aangezien het project zich in de ontwikkelingsfase bevindt en er nog geen optimalisaties zijn doorgevoerd, bedragen de totale bedrijfskosten van de module ongeveer 6.5%, maar het is de bedoeling om dit cijfer in de toekomst aanzienlijk te verlagen.
De module het is zowel geschikt voor het organiseren van bescherming tegen reeds bekende exploits voor de Linux-kernel om exploits van nog onbekende kwetsbaarheden tegen te gaan, als ze geen speciale maatregelen nemen om LKRG te omzeilen.
De auteurs sluiten de aanwezigheid van fouten in de LKRG-code en mogelijke valse positieven niet uit, daarom worden gebruikers uitgenodigd om de risico's van mogelijke fouten in LKRG te vergelijken met de voordelen van de voorgestelde beschermingsmethode.
Van de positieve eigenschappen van LKRG wordt opgemerkt dat het beschermingsmechanisme is gemaakt in de vorm van een laadbare module, en niet een kernelpatch, waardoor het kan worden gebruikt met reguliere distributiekernels.
Belangrijkste nieuwe functies van LKRG 0.9.4
In deze nieuwe versie van de module die wordt gepresenteerd, wordt benadrukt dat: ondersteuning toegevoegd voor het OpenRC-opstartsysteem, evenals het toevoegen van installatie-instructies met behulp van DMMS.
Een andere verandering die opvalt in deze nieuwe versie is dat: biedt compatibiliteit met LTS-kernels van Linux 5.15.40+.
Daarnaast wordt ook benadrukt dat het ontwerp van de berichtuitvoer naar het logboek opnieuw is ontworpen om geautomatiseerde analyse te vereenvoudigen en de waarneming tijdens handmatige analyse te vergemakkelijken en dat LKRG-berichten hun eigen logboekcategorieën hebben, waardoor het gemakkelijker is om ze te scheiden van de rest van de kernelberichten.
Aan de andere kant wordt ook vermeld dat naam van kernelmodule gewijzigd van p_lkrg in lkrg en de oude versie van LKRG 0.9.3 is nog steeds functioneel in nieuwere kernelversies (5.19-rc* tot nu toe). Voor langdurige compatibiliteit met Kernels 5.15.40+ is het echter niet zo dat enkele wijzigingen die in versie 0.9.4 zijn aangebracht, moeten worden toegepast.
Dat wordt ook vermeld sommige veranderingen worden overwogen verwant (maar waarschijnlijk anders) voor opname in LKRG zelfverdediging, de runtime-configuratie bevindt zich bijvoorbeeld op een geheugenpagina die meestal alleen-lezen wordt gehouden, naast andere verbeteringen.
Eindelijk als u er meer over wilt wetenkunt u de details in het volgende link.
In het bijzonder is de module getest met de RHEL-kernel, OpenVZ/Virtuozzo en Ubuntu. In de toekomst zal het mogelijk zijn om het bouwproces te organiseren met binaire compatibiliteit voor verschillende populaire distributies.