2. BPF在攻防中的应用
hook 系统调用和用户空间函数调用
操作用户空间数据结构
修改系统调用返回值
调用 system() 创建新进程(bpftrace内置特性)
某些 BPF 程序可以直接操作硬件设备(如网卡)
针对 BPF 代码的供应链攻击的可能性
配合安全检测工具使用(例如,hook bpf自身)
eBPF 几乎可以实现内核态 Rootkit 所有的隐藏功能,一般的内核模块的挂钩系统调用、虚拟文件系统,eBPF 程序可以使用不同的跟踪点程序类型完成相同功能。
eBPF 利用可以分为两个方面,网络侧和系统侧,分别通过网络类型程序和跟踪点类型程序实现,端口敲门、链路控制、权限提升、隐藏恶意程序行为等。
2.2 系统侧
在系统侧,一般 BPF 使用跟踪类型的程序,对系统调用的入口处进行跟踪,可以篡改发送给内核的函数参数,在系统调用的退出处可以篡改内核的返回值,触发内核 eBPF 后可以发送 event 事件到用户态程序。
在 entry 系统调用处,监测发送给内核的参数
在 exit 系统调用处,监测内核的返回值
而且由于可以监测到传递至系统调用的参数,那么就可以只针对特定进程名或进程号进行劫持。比如,通过 bpf_get_current_comm,只对 sudo 进程进行处理。
如果参数或返回值是指向用户空间内存的指针,则可以通过两个 eBPF 辅助函数进行读写。
bpf_probe_read_user
bpf_probe_write_user
BPF 实现恶意利用(包括但不限于):
隐藏进程/文件等恶意程序行为
可以根据:进程 ID、进程名称、用户名、函数参数、函数返回,来执行拦截或修改系统调用和返回值:kill、waitpid、openat、...
隐藏我们的 BPF 程序本身:map、程序
通过篡改 /proc/[pid] 文件夹的内容来隐藏特定进程
当程序调用 execve 劫持执行时更改可执行文件
覆盖敏感文件的内容
将用户添加到 /etc/passwd
从lsmod隐藏内核模块
……
比如,通过篡改 /proc/[pid] 文件夹的内容来隐藏特定进程。
比如,从 lsmod 隐藏内核模块。
eBPF 与传统的内核态 Hook 或 Kprobe 不同,使用跟踪点(tracepoint)的 eBPF 程序不会改变函数的地址或代码,因此部分 HIDS 无法感知,用户空间和内核之间的 eBPF 程序。
是可以从三个方面进行检测和防御:
3.1 禁用BPF
当业务场景不使用 BPF 特性时,可以直接禁用 BPF。
/proc/sys/kernel/unprivileged_bpf_disabled,可以开启或禁用 BPF。
值为0表示允许非特权用户调用 BPF
值为1表示禁止非特权用户调用 BPF,且该值不可再修改,只能重启后修改
值为2表示禁止非特权用户调用 BPF,可以再次修改为0或1
或者修改内核选项,重新编译内核,禁用 BPF。
CONFIG_BPF=y
CONFIG_BPF_SYSCALL=y
CONFIG_BPF_JIT=y
CONFIG_HAVE_EBPF_JIT=y
CONFIG_BPF_EVENTS=y
CONFIG_FTRACE_SYSCALLS=y
……
3.2 监控BPF系统调用
比较有效的方式是监控 BPF 系统调用,只有受信任的程序才允许使用 eBPF。
可以通过内核模块提前挂钩 BPF 系统调用,监控之后的 BPF 系统调用情况,阻止新的 eBPF 程序的加载。
也可以通过 eBPF 程序,监控 BPF 系统调用,对后续的 BPF 调用进行判断是否允许加载。比如,使用 bpftrace 对 BPF 系统调用进行检测。
3.3 kprobe监控以及内核代码完整性校验
使用内核探针(Kprobe)类型的 eBPF 程序会改变函数的地址或代码,因此是可以通过 kprobes 调用和内核完整性校验进行检测。
对内核 kprobe list 进行读取检测,检测是否存在异常的内核函数探针,
对内核代码区域进行完整性校验,如果发生改变,进行告警。
3.4 bpftool检测BPF程序
bpftool 可以帮助我们检测系统中是否存在 BPF 程序,比如,显示已加载的BPF 程序,比如,map、perf、net 等类型,而且可以 dump 出 BPF 字节码进行分析。
bpftool prog show
bpftool map show
bpftool net show
bpftool btf dump id xx
……
部分攻击者可能会对抗bpftool,执行bpftool时杀掉bpftool进程。最简单的反对抗方法是重命名bpftool文件后执行。
3.5 ip或tc检测BPF程序
ip或tc程序是针对网络类型的BPF程序,ip命令可以发现网卡上是否存在xdp程序,并且卸载xdp程序。tc程序可以发现tc分类器类型的bpf程序。
ip link show
ip link set dev ens0 xdp off
tc filter show dev ens0 [ingress|egress]
3.6 bpflist-bpfcc检测BPF程序
bpflist-bpfcc -vv 命令可以看到当前服务器运行的部分 BPF 程序列表。
3.7 eBPF IDA pro
BPF程序也是 ELF 文件,使用 LLVM + Libbpf 编译的程序很容易分辨,设置的跟踪点名称会以相同名称显示在 ELF 节中。
使用 bpftool + Libbpf 编译的程序,跟踪点名称则加载到 .rodata,需要手动提取。提取后的数据,可以通过 IDA eBPF 插件解析为 BPF 字节码,显示BPF 指令。
3. 最后
植入内核态 Rootkit 可能带来极大的风险
eBPF 消除了这种风险,使运行安全、可移植的 Rootkit 成为可能
eBPF Hook 系统调用和用户空间函数调用,修改系统调用返回值
eBPF 程序可以直接操作硬件设备(如网卡)
eBPF 程序重启后,需要重新加载执行
利用 eBPF 开发 HIDS,检测 eBPF 利用(例如ehids)
reference
https://www.ebpf.top/post/ebpf_c_env/
https://www.ebpf.top/post/offensive-bpf-bpftrace/
https://git.kernel.org/pub/scm/linux/kernel/git/bpf/bpf-next.git/commit/?id=ec24704492d8
https://www.cnblogs.com/charlieroro/p/14244276.html
https://www.cnxct.com/ebpf-rootkit-how-boopkit-works/
https://embracethered.com/blog/posts/2021/offensive-bpf-bpftrace/
https://www.brendangregg.com/BPF/bpftrace-cheat-sheet.html
https://github.com/xdp-project/xdp-tools/releases/tag/v1.2.3
https://www.libhunt.com/r/bad-bpf
https://blog.tofile.dev/2021/08/01/bad-bpf.html
https://www.blackhat.com/us-21/briefings/schedule/#with-friends-like-ebpf-who-needs-enemies-23619