Prosjektet Openwall kunngjorde nylig utgivelsen av LKRG 0.9.4-kjernemodulen (Linux Kernel Runtime Guard), designet for å oppdage og blokkere angrep og brudd på integriteten til kjernestrukturer.
LKRG er pakket som en lastbar kjernemodul som forsøker å oppdage uautoriserte endringer i en kjørende kjerne (integritetssjekk) eller endringer i tillatelsene til brukerprosesser (sårbarhetsdeteksjon).
Integritetskontrollen utføres basert på en sammenligning av beregnede hasher for de viktigste minneområdene og kjernedatastrukturene (IDT (Interrupt Description Table), MSR, systemanropstabeller, alle prosedyrer og funksjoner, avbruddsbehandlere, lister over innlastede moduler, innhold av .tekst-delen av moduler, prosessattributter osv.).
Verifikasjonsprosedyren aktiveres periodisk ved hjelp av en timer og når ulike kjernehendelser oppstår (for eksempel når setuid, setreuid, fork, exit, execve, do_init_module, etc. systemkall utføres).
Om Linux Kernel Runtime Guard
Deteksjon av mulig bruk av utnyttelser og blokkering av angrep utføres på stadiet før kjernen gir tilgang til ressurser (for eksempel før åpning av en fil), men etter at prosessen har fått uautoriserte tillatelser (for eksempel endring av UID ) .
Når uautorisert oppførsel av prosesser oppdages, blir de tvangsavbrutt, noe som er nok til å blokkere mange utnyttelser. Siden prosjektet er i utviklingsstadiet og optimaliseringer ennå ikke er gjort, er de samlede driftskostnadene for modulen ca. 6.5 %, men i fremtiden er det planlagt å redusere dette tallet betydelig.
Modulen den er egnet både for å organisere beskyttelse mot allerede kjente bedrifter for Linux-kjernen for å motvirke utnyttelse av ennå ukjente sårbarheter, dersom de ikke bruker spesielle tiltak for å omgå LKRG.
Forfatterne utelukker ikke tilstedeværelsen av feil i LKRG-koden og mulige falske positiver, brukere oppfordres derfor til å sammenligne risikoen for mulige feil i LKRG med fordelene ved den foreslåtte beskyttelsesmetoden.
Av de positive egenskapene til LKRG bemerkes det at beskyttelsesmekanismen er laget i form av en lastbar modul, og ikke en kjernepatch, som gjør at den kan brukes med vanlige distribusjonskjerner.
Hovednye funksjoner i LKRG 0.9.4
I denne nye versjonen av modulen som presenteres, er det fremhevet at lagt til støtte for OpenRC-oppstartssystemet, samt legge til installasjonsinstruksjoner ved hjelp av DMMS.
En annen endring som skiller seg ut i denne nye versjonen er det gir kompatibilitet med LTS-kjerner fra Linux 5.15.40+.
I tillegg til dette fremheves det også at utformingen av meldingsutgangen til loggen har blitt redesignet for å forenkle automatisert analyse og lette persepsjon ved manuell analyse og at LKRG-meldinger har egne loggkategorier, som gjør det lettere å skille dem fra resten av kjernemeldinger.
På den annen side nevnes det også at endret kjernemodulnavn fra p_lkrg til lkrg og at den gamle versjonen av LKRG 0.9.3 er fortsatt funksjonell i nyere kjerneversjoner (5.19-rc* så langt). Men for langsiktig kompatibilitet med Kernels 5.15.40+, er det ikke slik at noen endringer som er gjort i versjon 0.9.4 må brukes.
Det nevnes også at noen endringer vurderes relatert (men sannsynligvis annerledes) for inkludering i LKRG selvforsvar, for eksempel er kjøretidskonfigurasjonen på en minneside som holdes skrivebeskyttet mesteparten av tiden, blant andre forbedringer.
Endelig hvis du er interessert i å vite mer om det, kan du sjekke detaljene i følgende lenke.
Spesielt er modulen testet med RHEL-kjernen, OpenVZ/Virtuozzo og Ubuntu. I fremtiden vil det være mulig å organisere byggeprosessen med binær kompatibilitet for forskjellige populære distribusjoner.