Linux Rootkit系列一:LKM的基础编写及隐藏

免责声明:本文介绍的安全知识方法以及代码仅用于渗透测试及安全教学使用,禁止任何非法用途,后果自负

前言: 作者最近在学习有关linux rootkit的原理与防范,在搜索资料中发现,在freebuf上,对rootkit进行介绍的文章并不是很多。在此我斗胆献丑,总结了下我最近的学习收获,打算发表一系列关于linux rootkit的文章在freebuf上,希望能够帮助到大家。

对于这个系列文章,我的规划如下:这一系列文章的重点集中在介绍linux rootkit中最讨论最多也是最受欢迎的一种:loadable kernel module rootkit(LKM rootkit)。

首先介绍最基础的lkm模块的编写与加载以及如何让lsmod命令无法发现我们的模块(也就是本文的内容),然后是介绍lkm rootkit中最重要的技术,系统调用挂钩,我将会给大家介绍三种不同的系统调用挂钩技术,以便于在不同的场景中选择最恰当的一种。接下来便是系统实战,使用我们之前的知识来进一步完善我们的rootkit,包括如何隐藏进程,隐藏端口,彻底隐藏lkm,以及如何向现有的系统LKM模块注射我们的代码来改造成我们自己的lkm模块。

LKM(可加载内核模块)

LKM的全称为Loadable Kernel Modules,中文名为可加载内核模块,主要作用是用来扩展linux的内核功能。 LKM的优点在于可以动态地加载到内存中,无须重新编译内核。由于LKM具有这样的特点,所以它经常被用于一些设备的驱动程序,例如声卡,网卡等等。当然因为其优点,也经常被骇客用于rootkit技术当中。

1.基本的LKM的编写

下面是一个最基本的LKM的实现,接下来我会对这个例子进行讲解

 

这个程序并不是很复杂:其中我们的lkm_init()是初始化函数,在该模块被加载时,这个函数被内核执行,有点构造函数的感觉;与之相对应的,lkm_init()是清除函数,当模块被卸载时,内核将执行该函数,有点类似析构函数的感觉, 注意,如果一个模块未定义清除函数,则内核不允许卸载该模块。

为什么我们的初始化与清除函数中,使用的是printk()函数,而并非是我们熟悉的printf()函数呢?注意下我们这个程序包含的头文件,在LKM中,是无法依赖于我们平时使用的C库的,模块仅仅被链接到内核,只可以调用内核所导出的函数,不存在可链接的函数库。这是内核编程与我们平时应用程序编程的不同之一。printk()函数将内容纪录在系统日志文件里,当然我们也可以用printk()将信息输出至控制台:

其中KERN_ALERT指定了消息的优先级。

module_init和module_exit是内核的特殊宏,我们需要利用这两个特殊宏告诉内核,我们所定义的初始化函数和清除函数分别是什么。

代码的描述就到这里,接下来我们需要对我们的LKM程序进行编译,下面是编译所需的Makefile:

接下来我们键入make命令开始编译,除去编译的中间产物外,我们仅仅需要的是lkm.ko。

装载LKM我们需要insmod命令。键入

回车,这时你会发现什么都没有发生,没有关系,这是因为我们并没有对于我们的消息指定KERN_ALERT优先级,此时printk将消息传输到了系统日志syslog中,我们可以在/var/log/messages中查看,当然,在不同的发行版以及不同的syslog配置中,该文件的路径不同。

我们可以cat /var/log/messages或者利用dmesg命令查看printk输出的消息,如下图所示:

为了方便起见我只显示了最后一条信息,也就是我们LKM中初始化函数所输出的信息。

我们再输入lsmod命令查看我们的模块。lsmod命令的作用是显示已载入系统的模块。如下图:

其中lkm当然是我们的模块名称,676则代表的是模块大小,0表示模块的被使用次数。有兴趣的同学可以自己试试lsmod命令查看下系统所加载的其他模块。

OK,现在我们可以对我们的LKM进行卸载了,卸载LKM的命令是rmmod。键入

后,我们再查看下系统日志:

可以看出清除函数中的信息也成功输出,这时再试试lsmod命令,你会发现我们的模块在其中不复存在了。

2.从lsmod命令中隐藏我们的模块

现在有个小问题,如果我们既不想让dmesg也不想让lsmod这两个命令察觉到我们的模块呢?对于rootkit来说,隐蔽性是非常重要的,一个lsmod命令就可以让我们的lkm遁形,这显然谈不上隐蔽。对于dmesg命令,我们只要删除掉printk()函数就好,这个函数所起的仅仅是示范作用。但是如何让lsmod命令无法显示我们的模块呢。

在这里我简单介绍下lsmod原理,以便于读者理解之后我是如何在lsmod命令中隐藏我的模块的。 lsmod命令是通过/proc/modules来获取当前系统模块信息的。而/proc/modules中的当前系统模块信息是内核利用struct modules结构体的表头遍历内核模块链表、从所有模块的struct module结构体中获取模块的相关信息来得到的。结构体struct module在内核中代表一个内核模块。 通过insmod(实际执行init_module系统调用)把自己编写的内核模块插入内核时,模块便与一个 struct module结构体相关联,并成为内核的一部分,所有的内核模块都被维护在一个全局链表中,链表头是一个全局变量struct module *modules。任何一个新创建的模块,都会被加入到这个链表的头部,通过modules->next即可引用到。为了让我们的模块在lsmod命令中的输出里消失掉,我们需要在这个链表内删除我们的模块:

 

 

现在我们将"list_del_init(&__this_module.list);"加入到我们的初始化函数中,保存,编译,装载模块,再输入lsmod,这时你会发现,输出中我们的模块已经找不到了,我们在lsmod命令中成功的隐藏了我们的模块!

3.从sysfs中隐藏我们的模块

当然我们还不能高兴的太早,除了lsmod命令和相对应的查看/proc/modules以外,我们还可以在sysfs中,也就是通过查看/sys/module/目录来发现现有的模块。

‍ 这个问题也很好解决,在初始化函数中添加一行代码即可解决问题:

THIS_MODULE在include/linux/module.h中的定义如下

 

可以看出THIS_MODULE的作用是指向当前模块。&THIS_MODULE->mkobj.kobj则代表的是struct module结构体的成员struct module_kobject的一部分,结构体的定义如下:

 

其中kobj是一个struct kobject结构体,而kobject是组成设备模型的基本结构。这时我们又要简单介绍下sysfs这个概念,sysfs是一种基于ram的文件系统,它提供了一种用于向用户空间展现内核空间里的对象、属性和链接的方法。sysfs与kobject层次紧密相连,它将kobject层次关系表现出来,使得用户空间可以看见这些层次关系。通常,sysfs是挂在在/sys目录下的,而/sys/module是一个sysfs的一个目录层次, 包含当前加载模块的信息. 我们通过kobject_del()函数删除我们当前模块的kobject就可以起到在/sys/module中隐藏lkm的作用。

好了,这时再将"kobject_del(&THIS_MODULE->mkobj.kobj);"也添加在初始化函数里,保存,编译,装载模块,然后再去看看/sys/module,是不是什么也看不到了?

结语

对于lkm的入门以及lkm的简单隐藏办法已经介绍完了,但是这只是通向lkm rootkit的长征路上第一步,在下次的文章中,我会介绍lkm rootkit编写中最为关键的技术:system call hook,也就是系统调用挂钩技术。

参考资料

关于lkm的编写,《linux设备驱动程序(第三版)》的第二章"构造和运行模块"里有基础的讲解。

关于proc和sysfs文件系统,可以参考《深入linux内核架构》中的第十章"无持久存储的文件系统"。

作者gmail邮箱:arciryas.yang