面向内核提权攻击的数据完整性机制研究

摘要

计算机操作系统的内核通常是用低级不安全语言写成的，这导致了系统内核不可避免地遭受内存破坏漏洞的困扰，内存破坏漏洞常用于提权攻击。大多数现在存在的操作系统防御机制注重于阻止基于内存破坏漏洞的控制数据攻击。然而近些年来，攻击者们开始将他们的兴趣转向非控制数据攻击，这样就能够通过劫持内核数据流绕过现存的系统防御机制。因此，如何有效防御针对非控制数据的内核提权攻击，是保障系统安全的关键。 研究的目标是开发一个能够阻止篡改内核敏感数据的非控制数据攻击的防御机制，PrivGuard系统。为了防御提权攻击，PrivGuard系统通过阻止对内核敏感数据的非法写操作，来对这些数据实施数据完整性策略。PrivGuard系统在没有变更现有的Linux访问控制机制的情况下，修改了系统调用入口点来监视内核敏感数据的修改。接着，检测内核栈是否耗尽，并抽取敏感数据，将其保存在内核栈上。然后使用stack canary保护储存在内核栈上的数据不被攻击者篡改。最后，使用这些保存的数据来对内核敏感数据进行完整性检测。其次，为了确保敏感数据使用和检测时的上下文一致，PrivGuard系统引入一个结构体将敏感数据和上下文绑定在一起，并且在每个系统调用执行前验证上下文是否反生改变，从而确保了敏感数据的检查时刻到使用时刻一致性。 系统原型的实验测试结果表明，面向直接内核攻击的防御系统可以有效防御针对Linux内核的特权提升攻击。系统性能测试显示系统性能开销在可接受的范围内，对系统核心服务的开销平均值为9%。同时，应用程序测试表明系统对于用户应用程序的影响很低，应用程序的开销均少于1%。

目录

第一个书签之前