HookSafe utilise l'hyperviseur XEN pour lutter contre les Rootkits KOH visant à infecter l'espace mémoire du noyau

Par Xavier Poli, secuobs.com
Le 06/11/2009

---

Résumé : HookSafe est un outil se basant sur une extension pour l'hyperviseur XEN et un dispositif noyau qui vont conjointement permettre d'utiliser des protections mémoire matérielles afin de lutter contre les Rootkits KOH qui tentent d'infecter l'espace mémoire des noyaux. - Lire l'article



HookSafe est une protection contre les RootKits ( lien ) KOH (Kernel Object Hooking) qui détournent les flux de contrôle du noyau en modifiant dans son espace mémoire les éléments (KDH - Kernel Data Hooks) pointant vers les sections .data. HookSafe ré-alloue ces KDH vers une zone dédiée de la mémoire dont les accès en écriture sont régulés matériellement par une extension de l'hyperviseur XEN ( lien ).

Concrètement, un système GNU/Linux Ubuntu 8.04, via un QEMU ( lien ) modifié, va servir à l'analyse dynamique et au profilage des écritures KDH mémoire standards du noyau. Un module noyau utilise ensuite ces profils pour installer un dispositif noyau de gestion des redirections (vers les KDH ré-alloués) et des transferts de contrôle vers l'hyperviseur. Ce module est finalement déchargé après avoir fourni à XEN les informations nécessaires à la protection de l'ensemble.

Les écritures sur les KDH ne seront dès lors autorisées que si les nouvelles valeurs sont cohérentes avec le profilage préalable. Dans un souci de performance, le transfert vers l'hyperviseur n'est pas requis lors des simples lectures. De plus, les protections matérielles fonctionnant par page mémoire, la ré-allocation des KDH dans une zone dédiée à leur centralisation permet de ne pas avoir à vérifier les écritures mémoire sur les autres types de données noyau.

A l'aide d'un prototype et de XEN.3.3.0, la surveillance de six mille KDH ré-alloués sur un système GNU/Linux Ubuntu 8.04 en production, n'a ainsi nécessité qu'une perte maximale de six pour-cents des performances système. Bien que l'installation, ou la seule furtivité, de neuf Rootkits Linux différents (LKM, /dev/mem, /dev/kmem) ait pu être déjouée, l'efficacité de HookSafe nécessite cependant la garantie d'un démarrage de confiance ( TPM - lien ) pour préserver l'intégrité de XEN.

L'installation de Rootkits SMM ( lien ) en ring -2 ou AMT ( lien ) en ring -3 permettrait en effet de contourner HookSafe pour contrôler l'hyperviseur en ring -1 et le noyau en ring 0. HookSafe supporte néanmoins la protection des registres matériels et des tables IDT ( lien ) et GDT ( lien ). L'implémentation IOMMU ( lien ) de XEN lui permet aussi de limiter les accès DMA ( lien ) vers la mémoire physique depuis les périphériques d'entrées/sorties.

Avec la collaboration des chercheurs de la société Microsoft, HookSafe est par ailleurs en cours de développement pour la version 1.2 de l'environnement expérimental WRK ( Windows Research Kernel - lien ) dont l'ensemble des codes sources et des applications fournis sont disponibles au téléchargement à des fins de recherche et d'apprentissage et sous condition d'un cadre académique.

Le papier « Countering Kernel Rootkits with Lightweight Hook Protection » ( lien )

Source : Compte Twitter @cyber_security ( lien )