Merge pull request #14520 from wxy/20190626-Tracking-down-library-injections-on-Linux

PRF&PUB:20190626 Tracking down library injections on Linux
This commit is contained in:
Xingyu.Wang 2019-07-09 22:41:34 +08:00 committed by GitHub
commit 4d2347408e
No known key found for this signature in database
GPG Key ID: 4AEE18F83AFDEB23

View File

@ -1,26 +1,27 @@
[#]: collector: (lujun9972) [#]: collector: (lujun9972)
[#]: translator: (LuuMing) [#]: translator: (LuuMing)
[#]: reviewer: ( ) [#]: reviewer: (wxy)
[#]: publisher: ( ) [#]: publisher: (wxy)
[#]: url: ( ) [#]: url: (https://linux.cn/article-11079-1.html)
[#]: subject: (Tracking down library injections on Linux) [#]: subject: (Tracking down library injections on Linux)
[#]: via: (https://www.networkworld.com/article/3404621/tracking-down-library-injections-on-linux.html) [#]: via: (https://www.networkworld.com/article/3404621/tracking-down-library-injections-on-linux.html)
[#]: author: (Sandra Henry-Stocker https://www.networkworld.com/author/Sandra-Henry_Stocker/) [#]: author: (Sandra Henry-Stocker https://www.networkworld.com/author/Sandra-Henry_Stocker/)
追溯 Linux 上的库注入 追溯 Linux 上的库注入
====== ======
<ruby>库注入<rt>Library injections</rt></ruby>在 Linux 上不如 Windows 上常见,但它仍然是一个问题。下来看看它们如何工作的,以及如何鉴别它们。 > <ruby>库注入<rt>Library injections</rt></ruby>在 Linux 上不如 Windows 上常见,但它仍然是一个问题。下来看看它们如何工作的,以及如何鉴别它们。
![Sandra Henry-Stocker][1]
尽管在 Linux 系统上几乎见不到但库Linux 上的共享目标文件)注入仍是一个严峻的威胁。在采访了来自 AT&amp;T 公司 Alien 实验室的 Jaime Blasco 后,我更加意识到了其中一些攻击是多么的易实施。 ![](https://img.linux.net.cn/data/attachment/album/201907/09/223222gje7l6a2hjhk364a.jpg)
在这篇文章中,我会介绍一种攻击方法和它的几种检测手段。我也会提供一些展示攻击细节的链接和一些检测工具。首先,引入一个小小的背景。 尽管在 Linux 系统上几乎见不到但库Linux 上的共享目标文件)注入仍是一个严峻的威胁。在采访了来自 AT&T 公司 Alien 实验室的 Jaime Blasco 后,我更加意识到了其中一些攻击是多么的易实施。
在这篇文章中,我会介绍一种攻击方法和它的几种检测手段。我也会提供一些展示攻击细节的链接和一些检测工具。首先,引入一个小小的背景信息。
### 共享库漏洞 ### 共享库漏洞
DLL 和 .so 文件都是允许代码(有时候是数据)被不同的进程共享的共享库文件。公用的代码可以放进一个文件中使得每个需要它的进程可以重新使用而不是多次被重写。这也促进了对公用代码的管理。 DLL 和 .so 文件都是允许代码(有时候是数据)被不同的进程共享的共享库文件。公用的代码可以放进一个文件中使得每个需要它的进程可以重新使用而不是多次被重写。这也促进了对公用代码的管理。
Linux 进程经常使用这些共享库。`ldd`(显示共享对象依赖)命令可以为任何程序显示共享库。这里有一些例子: Linux 进程经常使用这些共享库。(显示共享对象依赖的)`ldd` 命令可以对任何程序文件显示其共享库。这里有一些例子:
``` ```
$ ldd /bin/date $ ldd /bin/date
@ -39,7 +40,7 @@ $ ldd /bin/netstat
`linux-vdso.so.1` (在一些系统上也许会有不同的名字)是内核自动映射到每个进程地址空间的文件。它的工作是找到并定位进程所需的其他共享库。 `linux-vdso.so.1` (在一些系统上也许会有不同的名字)是内核自动映射到每个进程地址空间的文件。它的工作是找到并定位进程所需的其他共享库。
利用这种库加载机制的一种方法是通过使用 `LD_PRELOAD` 环境变量。正如 Jaime Blasco 在他的研究中所解释的那样,“`LD_PRELOAD` 是最简单且最受欢迎的方法来在进程启动时加载共享库。可以使用共享库的路径配置环境变量,以便在加载其他共享对象之前加载该共享库。” 对库加载机制加以利用的一种方法是通过使用 `LD_PRELOAD` 环境变量。正如 Jaime Blasco 在他的研究中所解释的那样,“`LD_PRELOAD` 是在进程启动时加载共享库的最简单且最受欢迎的方法。可以将此环境变量配置到共享库的路径,以便在加载其他共享对象之前加载该共享库。”
为了展示有多简单,我创建了一个极其简单的共享库并且赋值给我的(之前不存在) `LD_PRELOAD` 环境变量。之后我使用 `ldd` 命令查看它对于常用 Linux 命令的影响。 为了展示有多简单,我创建了一个极其简单的共享库并且赋值给我的(之前不存在) `LD_PRELOAD` 环境变量。之后我使用 `ldd` 命令查看它对于常用 Linux 命令的影响。
@ -47,7 +48,7 @@ $ ldd /bin/netstat
$ export LD_PRELOAD=/home/shs/shownum.so $ export LD_PRELOAD=/home/shs/shownum.so
$ ldd /bin/date $ ldd /bin/date
linux-vdso.so.1 (0x00007ffe005ce000) linux-vdso.so.1 (0x00007ffe005ce000)
/home/shs/shownum.so (0x00007f1e6b65f000) <== there it is /home/shs/shownum.so (0x00007f1e6b65f000) <== 它在这里
libc.so.6 => /lib/x86_64-linux-gnu/libc.so.6 (0x00007f1e6b458000) libc.so.6 => /lib/x86_64-linux-gnu/libc.so.6 (0x00007f1e6b458000)
/lib64/ld-linux-x86-64.so.2 (0x00007f1e6b682000) /lib64/ld-linux-x86-64.so.2 (0x00007f1e6b682000)
``` ```
@ -58,13 +59,13 @@ $ ldd /bin/date
### osquery 工具可以检测库注入 ### osquery 工具可以检测库注入
`osquery` 工具(可以在 [osquery.io][4]下载)提供了一个非常独特的方式来照看 Linux 系统。它基本上将操作系统表示为高性能关系数据库。然后,也许你会猜到,这就意味着它可以用来查询并且生成 SQL 表,该表提供了诸如以下的详细信息: `osquery` 工具(可以在 [osquery.io][4]下载)提供了一个非常独特的查看 Linux 系统的方式。它基本上将操作系统视作一个高性能的关系数据库。然后,也许你会猜到,这就意味着它可以用来查询并且生成 SQL 表,该表提供了诸如以下的详细信息:
* 运行中的进程 * 运行中的进程
* 加载的内核模块 * 加载的内核模块
* 进行的网络链接 * 打开的网络链接
一个提供了进程信息的内核表叫做 `process_envs`。它提供了各种进程使用环境变量的详细信息。Jaime Blasco 提供了一个相当复杂的查询,可以使用 `osquery` 识使用 `LD_PRELOAD` 的进程。 一个提供了进程信息的内核表叫做 `process_envs`。它提供了各种进程使用环境变量的详细信息。Jaime Blasco 提供了一个相当复杂的查询,可以使用 `osquery`别出使用 `LD_PRELOAD` 的进程。
注意,这个查询是从 `process_envs` 表中获取数据。攻击 IDT1055参考 [Mitre 对攻击方法的解释][5]。 注意,这个查询是从 `process_envs` 表中获取数据。攻击 IDT1055参考 [Mitre 对攻击方法的解释][5]。
@ -74,16 +75,16 @@ SELECT process_envs.pid as source_process_id, process_envs.key as environment_va
注意 `LD_PRELOAD` 环境变量有时是合法使用的。例如,各种安全监控工具可能会使用到它,因为开发人员需要进行故障排除、调试或性能分析。然而,它的使用仍然很少见,应当加以防范。 注意 `LD_PRELOAD` 环境变量有时是合法使用的。例如,各种安全监控工具可能会使用到它,因为开发人员需要进行故障排除、调试或性能分析。然而,它的使用仍然很少见,应当加以防范。
同样值得注意的是 osquery 可以交互使用或是作为定期查询的守护进程去运行。了解更多请查阅文章末尾给出的参考。 同样值得注意的是 `osquery` 可以交互使用或是作为定期查询的守护进程去运行。了解更多请查阅文章末尾给出的参考。
你也能够通过查看用户的环境设置定位到 `LD_PRELOAD` 的使用。如果 `LD_PRELOAD` 使用用户账户配置,你可以使用这样的命令来查看(在认证了个人身法之后): 你也能够通过查看用户的环境设置来定位 `LD_PRELOAD` 的使用。如果在用户账户中使用了 `LD_PRELOAD`,你可以使用这样的命令来查看(假定以个人身份登录后):
``` ```
$ env | grep PRELOAD $ env | grep PRELOAD
LD_PRELOAD=/home/username/userlib.so LD_PRELOAD=/home/username/userlib.so
``` ```
如果你之前没有听说过 osquery别太在意。它正在成为一个更受欢迎的工具。事实上就在上周Linux 基金会宣布用新的 [osquery 基金会][6]支持 osquery 社区。 如果你之前没有听说过 `osquery`别太在意。它正在成为一个更受欢迎的工具。事实上就在上周Linux 基金会宣布打造了新的 [osquery 基金会][6]以支持 osquery 社区。
#### 总结 #### 总结
@ -93,15 +94,13 @@ LD_PRELOAD=/home/username/userlib.so
重要的参考和工具的链接: 重要的参考和工具的链接:
* [用 osquery 追寻 Linux 库注入][7]AT&amp;T 网络安全 * [用 osquery 追寻 Linux 库注入][7]AT&T Cybersecurity
* [Linux我的内存怎么了][8]TrustedSec * [Linux我的内存怎么了][8]TrustedSec
* [osquery 下载网站][4] * [下载 osquery][4]
* [osquery 关系模式][9] * [osquery 模式][9]
* [osquerydosquery 守护进程)][10] * [osquerydosquery 守护进程)][10]
* [Mitre 的攻击框架][11] * [Mitre 的攻击框架][11]
* [新的 osquery 基金会宣布][6] * [新的 osquery 基金会成立][6]
在 [Facebook][12] 和 [LinkedIn][13] 上加入网络会议参与讨论。
-------------------------------------------------------------------------------- --------------------------------------------------------------------------------
@ -110,7 +109,7 @@ via: https://www.networkworld.com/article/3404621/tracking-down-library-injectio
作者:[Sandra Henry-Stocker][a] 作者:[Sandra Henry-Stocker][a]
选题:[lujun9972][b] 选题:[lujun9972][b]
译者:[LuuMing](https://github.com/LuuMing) 译者:[LuuMing](https://github.com/LuuMing)
校对:[校对者ID](https://github.com/校对者ID) 校对:[wxy](https://github.com/wxy)
本文由 [LCTT](https://github.com/LCTT/TranslateProject) 原创编译,[Linux中国](https://linux.cn/) 荣誉推出 本文由 [LCTT](https://github.com/LCTT/TranslateProject) 原创编译,[Linux中国](https://linux.cn/) 荣誉推出