Une plateforme pour une injection plus silencieuse des Rootkits au sein des noyaux Linux, sans utiliser de module noyau et avec /dev/mem

Par Xavier Poli, secuobs.com
Le 15/04/2009

---

Résumé : Une nouvelle plateforme, à venir cette semaine, vise à implémenter une technique innovante qui facilite l'injection de Rootkits au sein du noyau Linux et cela de façon plus silencieuse que ce qu'implique généralement l'utilisation de Rootkits LKM lors de cette phase de l'exploitation. - Lire l'article



Les Rootkits ( lien ) sont une composante essentielle des menaces visant les systèmes informatiques, leur complexité grandissante les rend plus difficiles à détecter et à éradiquer. D'autant plus en ce qui concerne les Rootkits opérant directement au niveau noyau ( LKM - lien ) des systèmes GNU/Linux. Ce type de Rootkits étant par ailleurs de plus en plus répandu et privilégié puisqu'il présente l'avantage de pouvoir rivaliser à armes égales avec les protections système les plus avancées de par ses privilèges d'exécution.

Un chercheur spécialisé dans l'ingénierie inverse, Anthony Lineberry ( Flexilis - lien ), vient de donner ( lien ) un avant-goût d'une nouvelle méthode innovante permettant d'injecter des Rootkits au sein du noyau des systèmes GNU/Linux et cela de façon plus silencieuse que l'injection par LKM. Cette méthode devrait être exposée plus en détails et démontrée dès cette semaine lors de la présentation ( lien ) qu'il a prévu d'effectuer à la conférence Black Hat Europe se déroulant actuellement à Amsterdam.

Cette technique permet d'injecter directement du code dans le noyau Linux via l'interface /dev/mem ( lien ) qui pilote la mémoire physique addressable. En marge des démonstrations, Anthony Lineberry devrait donner plus d'éléments de compréhension sur cette nouvelle méthodologie Rootkits qui se destinent aux noyaux Linux de branche 2.6 ( lien ), et notamment la localisation des structures importantes, la manipulation de la mémoire depuis l'interne et le détournement système.

Selon le MAN de Mem : « Mem est un périphérique caractères représentant une image de la mémoire principale de l'ordinateur. Il peut être utilisé pour examiner (et même éditer) la mémoire système. Les adresses dans mem sont interprétées comme des adresses physiques. Examiner et éditer la mémoire est susceptible de conduire à des résultats indésirables quand les bits lecture-seule ou écriture-seule sont concernés. ». /dev/mem peut être ouvert comme un fichier texte pour y lire ou pour y écrire, il est principalement utilisé pour le DEBUG du noyau Linux.

Une preuve de concept (PoC) a été développée pour lire la mémoire noyau et y écrire afin de stocker des codes éventuellement malveillants dans le noyau. Anthony Lineberry prévoit de publier lors de la conférence une plateforme implémentant ce PoC. Les Rookits générés pourront être insérés silencieusement au sein du noyau afin par exemple de permettre de cacher des processus liés à des codes malicieux, de détourner des appels systèmes et d'installer des Backdoors ( lien ) ouvrant la prise en main à distance par l'attaquant de la machine ciblée.

Un avantage de cette approche étant que l'insertion des Rootkits LKM est plutôt « bruyante » et « facilement » détectable, /dev/mem permettant lui de manipuler directement la mémoire et s'en trouve dès lors plus furtif de ce point de vue. Exploiter un noyau Linux avec /dev/mem n'est pas révolutionnaire, cependant y injecter un Rooktit est déjà plus innovant, Anthony Lineberry admet que beaucoup savent déjà ce qu'il est possible de faire avec /dev/mem et auparavant avec /dev/kmem, mais qu'il n'a jamais vu auparavant de Rootkits l'utilisant ( phalanx-b6 - lien ).

Cette technique n'est cependant pas aussi simple que le développement d'un Rootkit LKM, elle est fastidieuse et requiert une connaissance approfondie des mécanismes noyau et système. La plateforme, à venir (libmemrk), devrait permettre de simplifier cela, insérer un Rootkit via /dev/mem n'étant néanmoins qu'une étape intermédiaire lors d'une attaque. Après avoir exploité ces systèmes et obtenu un accès super-administrateur, elle ne permet en effet « que » de maintenir cet accès par des moyens comme cacher des fichiers/processus ou contrôler le trafic réseau.

L'objectif de cette présentation est d'éduquer les administrateurs sur les risques liés à /dev/mem. La communauté GNU/Linux a cependant déjà fourni un correctif ( /usr/src/linux/drivers/char/mem.c - #ifdef CONFIG STRICT DEVMEM ) pour limiter les accès externes en lecture/écriture vers /dev/mem. Le principal problème posé par les Rootkits noyau étant qu'ils sont aptes à détecter/contourner les contre-mesures de par leurs privilèges, c'est une course à l'intérieur du noyau pour celui qui verra l'autre en premier, il est de ce fait impératif d'empêcher l'injection initiale.

Le papier technique ( lien )

Source : Dark Reading ( lien )