1、eBPF在rootkit攻防中的应用第三届 eBPF开发者大会w w w.e b p f t r a v e l.c o m中 国 西 安 从业12年,现就职于青藤云安全公司(公司愿景:让云更安全)从业至今一直专注于网络安全领域,在主机侧和网络侧入侵检测、网络流量分析、抗DDOS领域积累了丰富的经验 持续探索eBPF技术在安全领域中的应用,研究过Falco、Tracee等开源项目。热爱技术分享,在知乎、b站分享安全类的编程实战,希望能对网络安全的新人有所帮助,为中国网安事业贡献自己的一份力量。第 三 届 e B P F 开 发 者 大 会个人介绍 Rootkit介绍 Rootkit种类和常见实
2、现手法 ebpf来检测Rootkit的优势和劣势 Rootkit的攻击流程中各个阶段的实现 使用ebpf技术检测Rootkit攻击流程中的各个阶段第 三 届 e B P F 开 发 者 大 会演讲大纲第 三 届 e B P F 开 发 者 大 会Rootkit是什么?第 三 届 e B P F 开 发 者 大 会1、偷偷敲入你家的小偷不仅潜入你家,还偷走钥匙(获取系统最高权限)在你家装了隐藏的摄像头(后门程序)擦掉所有活动痕迹(清除日志)2、更可怕的它能让自己隐形(隐藏进程)你家的监控系统看不到他(欺骗安全软件和系统安全组件)他动过的东西你也发现不了(隐藏文件)他还能修改你家得监控系统(修改系
3、统功能)第 三 届 e B P F 开 发 者 大 会Rootkit行为进程网络连接隐藏自身文件第 三 届 e B P F 开 发 者 大 会Rootkit的种类和常见实现第 三 届 e B P F 开 发 者 大 会为什么采用ebpf检测内核态Rootkit?第 三 届 e B P F 开 发 者 大 会跟踪方法评判标准低开销隐蔽性强安全边界全系统可见性安全性第 三 届 e B P F 开 发 者 大 会跟踪方法横向对比#RSAC技术低开销隐蔽性强安全边界可见性安全ptraceLD_PRELOAD内核模块eBPFeBPF是最好的跟踪技术第 三 届 e B P F 开 发 者 大 会Rootk
4、it攻击流程简介命令执行建立通信通道Hooking技术内核模块隐藏内核模块加载第 三 届 e B P F 开 发 者 大 会一、内核模块加载通信通道Hooking技术内核模块加载finit_moduleinit_moduledo_init_modulekprobe内核模块隐藏命令执行第 三 届 e B P F 开 发 者 大 会一、内核模块加载和检测实验第 三 届 e B P F 开 发 者 大 会二、内核模块隐藏命令执行Hooking技术内核模块隐藏内核模块加载通信通道第 三 届 e B P F 开 发 者 大 会二、内核模块组织形式第 三 届 e B P F 开 发 者 大 会二、内核模块
5、隐藏原理第 三 届 e B P F 开 发 者 大 会二、内核模块隐藏实验第 三 届 e B P F 开 发 者 大 会三、Hooking技术命令通道通信通道Hooking技术内核模块隐藏内核模块加载第 三 届 e B P F 开 发 者 大 会三、Hooking技术#RSACSyscall Table HookingFile Operations HookingSequence Operations Hooking命令执行通信通道内核模块隐藏内核模块加载Hooking技术1、Syscall Table Hooking第 三 届 e B P F 开 发 者 大 会三、Hooking技术第 三
6、届 e B P F 开 发 者 大 会Hooking Syscall table 原理s_textKernel Spacechdir functionKernelmodulememorymapMaliciousgetdentsfunctiongetcwfunctionKernelmemorymapgetdentsfunction#Syscalltable.78getdents79getcw80chdire_text/bin/ls第 三 届 e B P F 开 发 者 大 会Hooking Syscall table Diamorphine示例第 三 届 e B P F 开 发 者 大 会Sys