聊一聊基于“ebpf xdp“的rootkit

最新推荐文章于 2024-09-28 07:25:06 发布
转载 最新推荐文章于 2024-09-28 07:25:06 发布 · 501 阅读 · 1 ·
CC 4.0 BY-SA版权
原文链接:https://xz.aliyun.com/t/11639
文章标签:

#网络 #linux #服务器

本文探讨了XDP(eXpress Data Path)后门相较于BPF后门的优势,如更隐蔽,无法通过tcpdump捕获流量。作者分享了一个XDP UDP后门的实现Demo,并介绍了遇到的加载错误及其解决方案。此外,还讨论了如何检测XDP后门,并提到了使用bpftool进行程序和地图信息检查。最后,文章提及了一个名为TripleCross的完善XDP后门实例。

声明

以下内容,来自先知社区的leveryd作者原创,由于传播,利用此文所提供的信息而造成的任何直接或间接的后果和损失,均由使用者本人负责,长白山攻防实验室以及文章作者不承担任何责任。

背景

在《全流量入侵检测系统的性能分析》中提到"包解析需要高性能"这个需求场景,和 pf_ring、dpdk 类似,xdp也是一种经常被讨论的高性能包处理技术。

在《lkm和ebpf rootkit分析的简要记录》中提到一个基于ebpf实现的rootkit boopkit。这个后门通信部分当前是基于libpcap,还有一个未公开的xdp实现。

因此我感觉xdp在网络编程、网络安全上都能应用上,值得研究。于是我从实现"xdp ebpf后门"来学习xdp。

本文主要记录以下内容,希望对主机安全有兴趣的读者有点帮助。内容包括:

  • xdp ebpf后门相比于 bpf 后门的优点

  • xdp后门demo

  • demo编写时的关键点

  • 检测角度来看,xdp后门的特征

关于ebpf和xdp的背景知识你可以参考《Linux网络新技术基石 |eBPF and XDP》

xdp ebpf后门和bpf后门对比

已经有了bpf后门,为什么还有人要研究xdp ebpf后门呢?

在实现后门时,xdp ebpf和bpf技术都是为了获取数据包,可以做到不需要监听端口、客户端可以向服务端做单向通信。它俩的区别在于,xdp ebpf后门比bpf后门更加隐蔽,在主机上用tcpdump可以抓取bpf后门流量,但无法抓取xdp ebpf后门流量。

为什么会这样呢?

bpfdoor 、 boopkit 等bpf后门都是基于af_packet抓包、bpf filter过滤包,它工作在链路层。

关于bpfdoor的分析可以参考 BPFDoor - An Evasive Linux Backdoor Technical Analysis

xdp有三种工作模式,不论哪一种模式,在接收数据包时都比bpf后门要早。

tcpdump这种抓包工具的原理和bpf后门是一样的,也是工作在链路层。所以网卡接收到数据包后,会先经过xdp ebpf后门,然后分别经过bpf后门和tcpdump。

如果xdp ebpf后门在接收到恶意指令后把数据包丢掉,tcpdump就抓不到数据包。

xdp后门demo

demo的源码我放到了github上:

https://github.com/leveryd/ebpf-app/tree/master/xdp_udp_backdoor

最终实现了的后门demo效果如下, 控制端通过udp协议和被控端单向通信,被控端从通信流量中提取出payload后执行命令。

图片

  • 通信数据格式是:| eth header | ip header | udp header | MAGIC_START command MAGIC_END |

  • 被控端(xdp程序)提取udp数据后,通过BPF_MAP_TYPE_ARRAY类型的map将udp数据传给用户态程序

  • 用户态程序执行system(command)执行系统命令后,清理map数据

关于xdp编程的基本概念,我就不复述网络上已有的内容了。如果你和我一样是ebpf xdp新手,我推荐你看 Get started with XDP 这篇入门文章。另外代码注释中的参考文章也不错。

在实现demo、加载xdp程序时,我遇到过两个报错。如果你也遇到,就可以参考我的解决办法。

第一个报错如下

root@08363214ec12:/mnt# ip link set eth0 xdpgeneric obj xdp_udp_backdoor_bpf.o sec xdp_backdoor
BTF debug data section '.BTF' rejected: Invalid argument (22)!
 - Length:       741
Verifier analysis:
...

这个报错的原因是某些ip命令不支持btf。如果你想要解决这个报错,有两种方式,一是centos系统上可以用xdp-loader工具替代ip命令加载xdp程序,二是基于libbpf库的bpf_set_link_xdp_fd接口编程实现加载xdp程序,就像demo中那样。

第二个报错如下,提示 BPF程序指令过多,超过1000000条的限制。

[root@instance-h9w7mlyv xdp_backdoor]# make load
[root@instance-h9w7mlyv xdp_backdoor]# make load
clang -O2 -g -Wall -target bpf -c xdp_udp_backdoor.bpf.c -o xdp_udp_backdoor_bpf.o
ip link set eth0 xdpgeneric off
ip link set eth0 xdpgeneric obj xdp_udp_backdoor_bpf.o sec xdp_backdoor
...
BPF program is too large. Processed 1000001 insn
processed 1000001 insns (limit 1000000) max_states_per_insn 18 total_states 18267 peak_states 4070 mark_read 5
libbpf: -- END LOG --
libbpf: failed to load program 'xdp_func'
libbpf: failed to load object 'xdp_udp_backdoor_bpf.o'

这个报错的原因是在加载ebpf程序时,会经过内核中ebpf Verification的校验,其中它会检查是否有ebpf程序是否可能出现死循环。

下面代码编译后的ebpf程序就会检查失败,出现上面的报错信息

void mystrncpy(char *dest, const char *src, size_t count)
{
      char *tmp = dest;
      // #pragma clang loop unroll(full)
      while (count) {
              if ((*tmp = *src) != 0)
                      src++;
              tmp++;
              count--;
      }
}

可以尝试使用#pragma clang loop unroll(full)告诉编译器编译时对循环做展开,来解决这个报错问题。

这个解决办法是在 https://rexrock.github.io/post/ebpf1/ 文中看到的

检测:xdp后门的特征

bpftool prog能看到xdp程序信息、bpftool map能看到xdp程序和应用程序通信用到的map信息

图片

应用程序文件描述符中也有map id信息

图片

应用程序想要执行命令时也会有一些特征,比如demo中使用system执行系统命令时,会有fork系统调用。

应用程序如果想要将命令结果回传、或者反弹shell,主机上也能抓到这一部分流量。

总结

xdp概念、xdp编程的知识都在参考链接中,本文非常粗浅地分析一点xdp后门的优点和检测方式,希望能对你有点帮助。

在搞完这个demo后,我才发现有一个看起来很完善的xdp后门TripleCross。

在研究ebpf和主机安全过程中,参考了美团师傅博客上的几篇文章,博客链接是 https://www.cnxct.com/

VED-eBPF款基于eBPF的内核利用和Rootkit检测工具
FreeBuf_的博客
02-10 1871
VED-eBPF使用了eBPF来跟踪安全敏感的内核行为,并检测潜在安全漏洞或Rootkit所引发的异常。当前版本的VED-eBPF提供了下列两种检测功能:1、wCFI(控制流完整性)跟踪内核调用栈,以检测控制流劫持攻击。它可以生成个有效调用站点的位图,并验证每个返回地址是否与已知调用站点匹配;2、PSD(权限提升检测)跟踪对内核中凭据结构的更改行为,以检测未经授权的权限升级情况;
Rootkit检测技术发展现状
sangfor_edu的博客
04-14 1919
Rootkit概念最早出现于上个世纪九十年代初期,CERT Coordination Center(CERT/CC) 于1994年在 CA-1994-01 这篇安全咨询报告中使用了 Rootkit 这个词汇。在这之后 Rootkit 技术发展迅速,这种快速发展的态势在 2000 年达到了顶峰。2000年后,Rootkit 技术的发展也进入了低潮期,但是对于 Rootkit 技术的研究却并未停滞。在 APT 攻击日益流行的趋势下,Rootkit 攻击和检测技术也同样会迎来新的发展高潮。 在往期的Roo
利用eBPF探测Rootkit漏洞
Peter的专栏
07-11 695
作者简介:许庆伟,Linux Kernel Security Researcher & Performance Develope如今,云原生平台越来越多的使用了基于eBPF的安全探测技术。这项技术通过创建安全的Hook钩子探针来监测内部函数和获取重要数据,从而支持对应用程序的运行时做监测和分析。Tracee是用于Linux的运行时安全和取证的开源项目,它基于eBP...
Linux中基于eBPF的恶意利用与检测机制(rootkit、驱动)
墨痕诉清风的博客
03-10 2250
前言 近几年来,云原生领域飞速发展,k8s成为公认的云操作系统。容器的高频率部署、短暂的生命周期、复杂的网络路由,都给内核带来了新的挑战。系统内核在面对复杂性不断增长,性能、可扩展性新需求的同时,还需要保障系统稳定可用,这是极其困难的事情。 eBPF出现,以较小的子系统改动,保障了系统内核的稳定。具备实时动态加载的特性,将业务逻辑加载到内核,实现热更新的动态执行。eBPF技术的出现,衍生新业务场景的同时,也带来了安全威胁。 现状分析 在解决很多技术难题的同时,eBPF技术的出现也带来了新的恶意利用
eBPF-AntiRootkit
SenberHu的博客
05-17 577
背景: 针对最近几年频繁出现的通过eBPF进行容器逃逸、rootkit等攻击,需要考虑如何收敛服务器ebpf相关权限,防止被黑客利用。 静态方案: 宿主机层面: 非root用户不赋予CAP_BPF及CAP_SYS_ADMIN 注:3.15 - 5.7 内核不赋予CAP_SYS_ADMIN即可 5.8及以后内核需要同时不存在CAP_BPF及CAP_SYS_ADMIN权限 非root用户禁止调用ebpf功能 /proc/sys/kernel/unprivileged_bpf_disabled 设置为1
eBPF监控隐藏网络连接的三种内核Rootkit检测方法
文档重点展开“三种eBPF监控方法”的核心技术路线:第种是基于套接字操作(socket operations)的监控,通过追踪如tcp_v4_connect、tcp_close等核心函数的执行,记录所有新建与关闭的TCP连接,即使Rootkit屏蔽了...
Linux中基于eBPF的恶意利用与检测机制
Jay
04-18 1273
容器的高频率部署、短暂的生命周期、复杂的网络路由,都给内核安全带来了新的挑战。此时,eBPF出现,它以较小的子系统改动,保障了系统内核的稳定,还具备实时动态加载的特性,能将业务逻辑加载到内核,实现热更新的动态执行。ip命令的参数中包含bpf字节码文件名,ip进程打开.o字节码的FD,通过NETLINK发IFLA_XDP类型消息(子类型IFLA_XDP_FD)给内核,内核调用dev_change_xdp_fd函数,由网卡接管FD,引用计数器递增,用户空间的ip进程退出后,BPF程序依旧工作。
云原生安全攻防|使用eBPF逃逸容器技术分析与实践
Tencent_SRC的博客
11-03 3602
作者:pass、neargle @ 腾讯安全平台部前言容器安全是个庞大且牵涉极广的话题,而容器的安全隔离往往是套纵深防御的体系,牵扯到AppArmor、Namespace、Capabi...
BPF测试项目源码分析与应用
而基于eBPF的工具(如bcc工具集中的funccount、offcputime、profile等)则能提供更精确的观测能力。例如,可以通过kprobe动态附加到某个内核函数上,记录其被调用次数及参数值;也可以利用uprobe监控用户态应用程序...
BPF-HookDetect:内核Rootkit检测利器
gitblog_00736的博客
09-28 1114
BPF-HookDetect:内核Rootkit检测利器 项目介绍 BPF-HookDetect 是个用于检测内核Rootkit的工具,特别是那些通过钩取系统调用来隐藏文件、进程或建立隐蔽通道的Rootkit。项目利用eBPF(Extended Berkeley Packet Filter)技术,通过捕获和分析特定的系统调用,来检测这些Rootkit的存在。 项目技术分析 eBPF技术 eBPF...
DPDK and XDP and ebpf
thinker
05-04 3959
另外除了以下文章还有个ebpf https://qiita.com/sg-matsumoto/items/8194320db32d4d8f7a16 图片上传有问题,原文参考 https://cloud.tencent.com/developer/article/1484793 预备知识 tcp/ip TCP/IP网络模型 链路层:负责封装和解封装IP报文,发送和接受ARP/RARP报...
网络通讯组件性能优化之路
LCDZhao的艺术世界
05-05 1459
除了操作系统的代码本身更加卓越,其执行比以前更节省CPU资源以外,用户态可感知到的主要为:操作系统尽可能地减少了用户态代码完成项任务所需要的调用系统调用的次数。ESA RestClient 是个基于 Netty 的全链路异步事件驱动的高性能轻量级的HTTP客户端。//快速创建RestClient,各项配置均为默认配置。//如果用户想自定义些配置,则可以使用RestClient.create()来进行自定义配置。
CVE-2022-42920 BCEL 任意文件写漏洞
include_voidmain的博客
11-23 1120
这些方法返回常量池的索引。所以对于漏洞的利用只需要在常量数组中前面写入足够长的垃圾数据,后面写入恶意常量数据,将会在通过getFinalConstantPool方法返回对应的ConstantPool对象之后调用其dump方法从二进制流到文件流的转换。
F5 BIGIP CVE-2021-22986认证绕过漏洞分析
include_voidmain的博客
06-15 2561
F5 BIGIP CVE-2021-22986认证绕过漏洞分析
CVE-2022-1040 Sophos Firewall 服务架构与认证绕过漏洞分析之旅
include_voidmain的博客
07-21 2475
CVE-2022-1040 Sophos Firewall 服务架构与认证绕过漏洞分析之旅
Hessian反序列化漏洞学习记录
include_voidmain的博客
10-13 1115
Hessian反序列化漏洞学习记录
openharmony编译时,出现OHOSException,ninja phase failed,具体错误经常变化
a3265463b的博客
08-05 1994
参考: https://blog.csdn.net/qq_35616222/article/details/120358499。
LLVM PASS PWN(
include_voidmain的博客
11-01 722
LLVM PASS PWN
linux ebpf xdp
最新发布
07-10
### 三级标题:XDP 技术概述 XDP(Express Data Path)是种用于快速数据包处理的技术,它允许在数据包到达网络堆栈的最早阶段进行处理。这意味着,在数据包进入操作系统协议栈之前,eBPF 程序就可以对其进行过滤、丢弃、转发或重定向[^2]。 ### 三级标题:eBPFXDP 模式下的优势 eBPF 的高性能网络处理能力使其成为 DDoS 防御的理想选择,尤其是在 XDP 模式下。通过直接访问数据包的DMA缓冲区,从网络驱动程序运行特定类型的 BPF 程序,可以实现对数据包的高效处理[^3]。 ### 三级标题:应用实例 #### SYN Flood 防御 在 XDP 层对传入的 SYN 包进行分析,如果发现大量的无效 SYN 包或来自同源 IP 的大量 SYN 包,可以直接丢弃这些包,而不必让它们占用内核资源,从而有效缓解 SYN Flood 攻击[^2]。 #### UDP Flood 防御 对于 UDP Flood 攻击,eBPF 可以在 XDP 层识别并丢弃大量伪造源 IP 的 UDP 包[^2]。 #### IP 黑白名单 直接在 XDP 层实现 IP 黑白名单过滤,将恶意 IP 的流量在早期阶段就阻断,保护后端服务[^2]。 #### 协议解析与流量分类 eBPF 程序可以解析数据包头部,识别协议类型(TCP、UDP、ICMP、HTTP 等),并根据流量特征进行分类,将恶意流量与合法流量分离[^2]。 #### Rate Limiting(速率限制) 对特定源 IP、目的端口或协议的流量进行速率限制。当某个 IP 地址的请求速率超过阈值时,eBPF 程序可以临时丢弃或延迟来自该 IP 的数据包,防止其耗尽服务器资源[^2]。 #### Bypassing Kernel Stack 对于需要快速响应的 DDoS 攻击,传统方法需要数据包遍历整个内核网络堆栈,效率较低。XDP eBPF 直接在数据链路层操作,绕过了大部分内核网络堆栈,大大提高了处理速度和吞吐量[^2]。 ### 代码示例 下面是个简单的 eBPF 程序示例,展示了如何编写个基本的 XDP 程序: ```c #include <vmlinux.h> #include <bpf/bpf_helpers.h> SEC("xdp") int xdp_prog_simple(struct xdp_md *ctx) { void *data = (void *)(long)ctx->data; void *data_end = (void *)(long)ctx->data_end; struct ethhdr *eth = data; if (eth + 1 > data_end) return XDP_DROP; /* Example: Drop all packets */ return XDP_DROP; } char _license[] SEC("license") = "GPL"; ``` ### 三级标题:总结 随着网络带宽的不断增加,大型网站的不断出现,导致大规模的并发不断出现,从而使得数据量以无法想象的速度快速增长。通用型的设计在面对这些场景时往往力不从心。XDP 技术就是为了解决这个问题而设计的,它利用 eBPF 的可编程特性,实现了在网络堆栈中最先处理数据包的能力,从而显著提升了性能[^4]。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值