面向入侵的取證系統(tǒng)框架

摘要：在分析常見入侵攻擊的基礎(chǔ)上抽象出入侵過程的一般模式，提出針對入侵攻擊的取證系統(tǒng)應滿足的特征。提出了入侵取證模型，并基于這一取證模型在操作系統(tǒng)內(nèi)核層實現(xiàn)了取證系統(tǒng)原型KIFS(kernel intrusion forensic system)。在對實際入侵的取證實驗中，根據(jù)KIFS得到的證據(jù)，成功記錄并重構(gòu)了一個針對FreeBSD系統(tǒng)漏洞的本地提升權(quán)限攻擊的完整過程。

關(guān)鍵詞：入侵攻擊; 計算機取證; 操作系統(tǒng); 內(nèi)核

中圖分類號：TP393．08文獻標志碼：A

文章編號：1001－3695(2008)04－1117－03

近年來，隨著互聯(lián)網(wǎng)的飛速發(fā)展，網(wǎng)絡(luò)入侵攻擊事件的數(shù)量也在以驚人的速度逐年增長。根據(jù)CERT/CC的最新統(tǒng)計[1]，2001—2003年期間每年的入侵事件均比上一年增長50%以上。其中，僅在2003年CERT就處理了137 529個入侵事件。計算機取證技術(shù)著眼于記錄入侵證據(jù)，記錄所得的入侵數(shù)據(jù)可以作為調(diào)查入侵案件的證據(jù)，也可以用來研究未知的入侵攻擊并預防其他系統(tǒng)受到同樣的攻擊。早在20世紀90年代初，E·H. Spafford等人首次提出了軟件取證(software forensics)的概念[2]，他提出利用入侵程序中一些具有特征性的細節(jié)，來追蹤程序的作者并將這種技術(shù)叫做軟件取證。隨著互聯(lián)網(wǎng)的爆炸性擴展，計算機安全問題日益嚴重，相應的數(shù)字取證技術(shù)越來越受到信息安全界的關(guān)注。第一屆國際數(shù)字取證研究會議(DFRW)將計算機取證定義為[3]：為了重構(gòu)犯罪案件的細節(jié)和衡量未授權(quán)行為的破壞性，在電子證據(jù)的保護、采集、驗證、鑒別、分析、轉(zhuǎn)譯、記錄和陳述的過程中采用的可驗證的科學方法。

目前計算機取證技術(shù)主要采用事后取證的方式，取證專家們發(fā)明了各種方法試圖在已經(jīng)停機的可疑系統(tǒng)中發(fā)現(xiàn)與案件相關(guān)的蛛絲馬跡。著名的工具包括商用的EnCase[4]和開源的The Coroner’s Toolkit取證分析工具包[5]，Brian Carrier在TCT工具包的基礎(chǔ)上，開發(fā)了功能更加強大的The Sleuth Kit[6]，該工具包按照不同級別的抽象層次[7]，分別提供了對文件、文件系統(tǒng)、數(shù)據(jù)塊、磁盤扇區(qū)的證據(jù)采集工具。這些工具都僅僅著眼于案發(fā)后硬盤殘留的數(shù)據(jù)，不能提供足夠的信息以便重構(gòu)整個案發(fā)過程，而且有經(jīng)驗的入侵者可以通過刪除或掩蓋敏感數(shù)據(jù)的方法破壞證據(jù)。

為了更加有效地對入侵攻擊進行取證，筆者提出了針對入侵攻擊的取證系統(tǒng)框架，對入侵攻擊的整個過程實施進程監(jiān)控和證據(jù)采集，并提供一套證據(jù)保護的機制防止入侵者破壞取證系統(tǒng)。

1入侵

1．1入侵過程分析

入侵整個過程可以分為幾個階段：首先入侵者需要確定攻擊的目標，如帶有緩沖區(qū)溢出漏洞的服務(wù)程序；接下來需要獲取系統(tǒng)中的一些基本權(quán)限，如緩沖區(qū)溢出攻擊需要向服務(wù)器發(fā)送數(shù)據(jù)的權(quán)限，這種權(quán)限一般很容易滿足；通過入侵技術(shù)攫取系統(tǒng)的控制權(quán)，即使用緩沖區(qū)溢出攻擊得到具有服務(wù)進程權(quán)限的控制臺；獲得系統(tǒng)控制權(quán)后，入侵者可以竄改系統(tǒng)文件、竊取機密信息并掩蓋入侵攻擊的痕跡，甚至以此系統(tǒng)為跳板對其他系統(tǒng)實施攻擊。根據(jù)以上分析，入侵攻擊的一般模式可以總結(jié)為以下的過程（圖1）：a)確定攻擊目標；b)獲取普通用戶權(quán)限；c)獲取特權(quán)用戶權(quán)限；d)掩蓋入侵痕跡；e)安裝后門程序；f)利用目標機器進行其他非法行為，如竊取機密文件、攻擊其他目標等。

1．2面向入侵的取證機制

目前常用的取證技術(shù)主要通過收集目標計算機硬盤中的數(shù)據(jù)來進行事件重構(gòu)以確認入侵實施的時間、地點和方式。在發(fā)現(xiàn)系統(tǒng)入侵之后，取證人員才對目標計算機進行證據(jù)采集、證據(jù)恢復、證據(jù)分析等調(diào)查工作。然而，硬盤中殘留數(shù)據(jù)的信息量是非常有限的，甚至數(shù)據(jù)本身是不可信的。計算機系統(tǒng)在運行狀態(tài)中產(chǎn)生的大量信息，包括文件讀寫操作、進程地址空間、進程間通信等，不會在硬盤中留下痕跡。此外，入侵者會通過刪除或者破壞數(shù)據(jù)記錄來掩蓋入侵的痕跡，一些簡單的修改足以使硬盤數(shù)據(jù)失去作為證據(jù)的能力。這些情況極大限制了計算機取證技術(shù)的實際可操作性，迫切需要設(shè)計一種新的取證機制加強對入侵攻擊的取證能力。

根據(jù)對入侵模式的分析筆者認為，一套有效的取證機制應該包括以下幾個要點：

a)實時地記錄用戶和進程的操作，而不局限于操作產(chǎn)生的結(jié)果；

b)實施嚴格的證據(jù)保護機制，防止證據(jù)被竄改或刪除；

c)具有一定程度的通用性，可以針對不同種類的入侵進行必要的定制。

2模型

根據(jù)前一部分給出的面向入侵取證的設(shè)計目標，本文提出了取證系統(tǒng)模型，如圖2 所示。KIFS取證模型主要由安全保護模塊、配置模塊、實時取證模塊、證據(jù)庫協(xié)同完成基于系統(tǒng)調(diào)用的實時取證、取證安全保護、動態(tài)配置。

2．1實時取證模塊

根據(jù)上面總結(jié)的入侵一般模式，認為取證系統(tǒng)首先需要具備一個要素就是實時性。在入侵攻擊的每個階段，入侵者為了達到其目的，必須借助于操作系統(tǒng)提供的系統(tǒng)調(diào)用和服務(wù)。入侵攻擊程序在調(diào)用操作系統(tǒng)服務(wù)時，會在內(nèi)存中產(chǎn)生大量的系統(tǒng)調(diào)用信息，利用這些信息可以確定入侵者的攻擊步驟、攻擊目標進程、入侵手段、入侵時間等，甚至可以通過入侵機器的IP地址確定其入侵者的地理位置。然而，傳統(tǒng)的取證過程要求在發(fā)現(xiàn)入侵之后盡快關(guān)閉主機，以便采集硬盤數(shù)據(jù)進行分析。在主機掉電后，內(nèi)存信息會全部丟失，臨時文件也會在進程退出后被刪除，采用數(shù)據(jù)恢復技術(shù)也不能完全恢復這些數(shù)據(jù)。

實時取證模塊在開機時啟動，以后臺進程的形式運行，全程地監(jiān)督系統(tǒng)運行時系統(tǒng)調(diào)用事件，向證據(jù)庫輸出證據(jù)數(shù)據(jù)。此模塊可以理解成以系統(tǒng)調(diào)用事件和取證范圍為輸入變量，輸出相應的證據(jù)數(shù)據(jù)的單一映射函數(shù)。系統(tǒng)事件與證據(jù)數(shù)據(jù)一一對應的關(guān)系，保證了取證結(jié)果的法律有效性。

2．2取證配置模塊

系統(tǒng)調(diào)用是操作系統(tǒng)提供給用戶態(tài)程序的一組接口，是用戶進程調(diào)用操作系統(tǒng)服務(wù)的惟一途徑。換句話說，可以通過用戶進程調(diào)用的系統(tǒng)調(diào)用序列確定進程的行為。在KIFS中使用系統(tǒng)調(diào)用作為事件的標志，以系統(tǒng)調(diào)用為基礎(chǔ)記錄用戶進程的行為，進行事件的重構(gòu)。

取證配置模塊的任務(wù)是根據(jù)入侵攻擊的特點和系統(tǒng)一些默認參數(shù)，生成實時取證模塊啟動所需的初始化配置和取證范圍信息。取證配置模塊通過一個安全數(shù)據(jù)緩沖區(qū)向?qū)崟r取證模塊傳遞信息，該數(shù)據(jù)緩沖區(qū)處在安全保護模塊的監(jiān)控下，由安全保護模塊保證信息傳遞的機密性和完整性。根據(jù)取證配置模塊輸出的數(shù)據(jù)，實時取證模塊可以動態(tài)地調(diào)整當前的取證對象包含的范圍，即當前案件所關(guān)心的系統(tǒng)事件的集合，然后對關(guān)心的系統(tǒng)事件進行取證，忽略集合以外的系統(tǒng)事件。

2．3證據(jù)庫

后端的證據(jù)庫模塊是與取證主機相連的一臺單獨的數(shù)據(jù)庫服務(wù)器，它通過一個私有的界面接收來自實時取證模塊的證據(jù)數(shù)據(jù)，并按照預設(shè)的數(shù)據(jù)格式存儲證據(jù)文件。為了防止證據(jù)庫被入侵者攻擊，本文將證據(jù)庫服務(wù)器與網(wǎng)絡(luò)隔離，只與取證主機通過私有網(wǎng)絡(luò)連接。同時，在證據(jù)庫中加入了對于取證模塊發(fā)送的證據(jù)數(shù)據(jù)的驗證機制，以防止入侵者竄改證據(jù)后向證據(jù)庫傳送偽證。

2．4安全保護模塊

1)取證模塊的保護

由于取證模塊往往存在于不安全的系統(tǒng)中，取證系統(tǒng)本身的安全性是首先應該考慮的問題。取證安全保護模塊就是要保證取證模塊在配置和運行的過程中不會被竄改，保證取證功能的正常完成。對于取證模塊的保護包括：

a)安全配置。對取證模塊的配置文件采用加密和訪問控制機制予以保護，防止惡意用戶破壞配置文件的完整性。

b)安全運行。取證模塊是以系統(tǒng)進程的形式運行的，采用強制訪問控制機制可保證在取證進行中不被惡意用戶影響。

2)證據(jù)數(shù)據(jù)的保護

(1)證據(jù)的完整性。保證證據(jù)的真實性，保證證據(jù)在出示時能夠被證實確實沒有被竄改過。

(2)證據(jù)的機密性。保證證據(jù)的內(nèi)容不會被非法用戶獲取。

(3)證據(jù)的可鑒別性。能識別證據(jù)的采集者、處理者以及創(chuàng)建者。

3實驗

3．1實現(xiàn)方法

3．1．1 實時取證

實時取證功能的實現(xiàn)：將取證模塊編譯在內(nèi)核中，該模塊隨系統(tǒng)啟動自動加載，然后以后臺進程的形式運行，實時地截取系統(tǒng)調(diào)用信息，監(jiān)控并記錄用戶進程的執(zhí)行過程。KIFS數(shù)據(jù)采集點為系統(tǒng)調(diào)用的入口和出口。具體實現(xiàn)方法如圖3 所示。

forensic_syscall_enter(int syscall_num， void *args) 

在系統(tǒng)調(diào)用的入口調(diào)用該函數(shù)，用于判定是否對該系統(tǒng)調(diào)用進行取證和新建取證記錄，獲取證據(jù)信息。syscall_num是系統(tǒng)調(diào)用的編號；args是證據(jù)信息，此參數(shù)為可變參數(shù)，不同的事件取不同的值，是一個參數(shù)列表。

forensic_syscall_exit(int value)

在系統(tǒng)調(diào)用返回之前調(diào)用該函數(shù)，其作用是將取證記錄進行存儲。Value代表系統(tǒng)調(diào)用的返回值，通過該返回值可以確定系統(tǒng)調(diào)用的運行結(jié)果。

3．1．2 動態(tài)配置

KIFS實時取證模塊實現(xiàn)了動態(tài)改變?nèi)∽C范圍的功能，即根據(jù)實際需要調(diào)整進行取證的范圍。為每個系統(tǒng)調(diào)用均設(shè)置了一個取證開關(guān)變量，根據(jù)開關(guān)變量的當前狀態(tài)確定是否對此系統(tǒng)調(diào)用進行取證。在用戶進程從系統(tǒng)調(diào)用返回前，取證模塊首先判斷開關(guān)變量狀態(tài)。如果此系統(tǒng)調(diào)用需要取證，則將進程結(jié)構(gòu)中的證據(jù)記錄寫入證據(jù)文件；否則丟棄證據(jù)記錄直接返回，如圖4所示。

3．2攻擊方法

本地提升權(quán)限攻擊（local privilege escalation attack）是常見的入侵攻擊方法之一。它的一般特征是普通權(quán)限用戶通過調(diào)用特權(quán)程序，并使用緩沖區(qū)溢出攻擊或其他手段獲得特權(quán)程序的權(quán)限。如果調(diào)用的特權(quán)程序具有root用戶權(quán)限，普通用戶就可以獲得root權(quán)限從而取得完全的系統(tǒng)控制權(quán)。筆者在實驗中就采用本地提升權(quán)限的方法攻擊一臺已經(jīng)配置了KIFS的主機，然后通過KIFS采集的證據(jù)文件重構(gòu)出攻擊事件的細節(jié)。

FreeBSD 4.3 存在一個設(shè)計上的漏洞(CVE－2001－1180)，用戶通過該漏洞實現(xiàn)本地提升權(quán)限攻擊，獲取root權(quán)限。當采用rfork(RFPROC|RFSIGSHARE) 以共享信號量的方式創(chuàng)建子進程時，如果子進程執(zhí)行一個具有setuid屬性的程序，只要給父進程設(shè)置一個信號量處理函數(shù)，這個信號量處理函數(shù)會在子進程中被復制， 發(fā)送一個信號給子進程將會導致該信號量處理函數(shù)以setuid程序所有者的權(quán)限執(zhí)行。利用此漏洞，通過運行所有者為root的setuid程序，本地攻擊者能取得 root 權(quán)限。

3．3證據(jù)分析

利用本地提升權(quán)限攻擊成功入侵FreeBSD系統(tǒng)之后，查看KIFS采集的證據(jù)文件如表1所示。分析上述證據(jù)記錄，可以明顯地發(fā)現(xiàn)利用系統(tǒng)漏洞非法提升權(quán)限攻擊的特征：563號進程先是rfork出564號子進程，然后設(shè)置SIGINT信號的響應函數(shù)地址“0xbfbfef59”（指向/tmp/sh），由于系統(tǒng)的設(shè)計問題，此時564號進程也被設(shè)置了同樣的信號響應函數(shù)，接著563號進程又在564號進程調(diào)用特權(quán)程序login的過程中向它發(fā)出SIGINT信號，使/tmp/sh以root（euid為0）權(quán)限啟動，從而獲得了對系統(tǒng)的控制權(quán)。在這個入侵案例中，通過分析KIFS采集的證據(jù)，筆者發(fā)現(xiàn)了系統(tǒng)的漏洞并掌握了針對該漏洞的入侵機制。由于KIFS的取證機制是與特定系統(tǒng)無關(guān)的，可以通過分析KIFS的結(jié)果捕獲未知系統(tǒng)漏洞；另一方面，還可以根據(jù)取證記錄，對新出現(xiàn)的入侵攻擊進行預警。

4結(jié)束語

本文提出了一種面向入侵模式的取證模型，并實現(xiàn)了基于該取證模型的取證系統(tǒng)KIFS。不同于傳統(tǒng)取證的事后取證方式，KIFS可以采集入侵進程的實時運行數(shù)據(jù)，進而可以重構(gòu)入侵攻擊的完整過程，對于研究入侵攻擊的特征和搜集入侵證據(jù)均有重要意義。本文還設(shè)計了取證保護機制，采集的證據(jù)文件將會保存在一個安全隔離的證據(jù)庫服務(wù)器中，防止入侵者竄改、刪除證據(jù)文件。為了提高KIFS取證系統(tǒng)的通用性，本文實現(xiàn)了根據(jù)入侵類型可以動態(tài)定制系統(tǒng)取證范圍的功能。實驗表明，利用KIFS采集的系統(tǒng)運行時信息，能發(fā)現(xiàn)針對已知漏洞的攻擊，還有根據(jù)未知攻擊產(chǎn)生的數(shù)據(jù)發(fā)現(xiàn)系統(tǒng)中新的安全漏洞。在下一步的工作中，筆者打算詳細測試KIFS取證系統(tǒng)的內(nèi)核運行負載，研究在實際的商用服務(wù)器中配置取證系統(tǒng)的可能性。另外，根據(jù)KIFS采集的入侵數(shù)據(jù)建立數(shù)據(jù)庫，研究對未知入侵攻擊進行預警的方法。

參考文獻：

［1］CERT/CC statistics 1988—2006 [EB/OL]. [2007－01]. http://www.cert.org/stats.

［2］SPAFFORD E H， WEEBER S A. Software forensics: can we track code to its authors，Technical Report CSD TR 92－010[R]. [S.l.]: Department of Computer Science， Purdue University，1992.

［3］PALMER G. A road map for digital forensic research[C]//Proc of the 1st Digital Forensics Research Workshop. Utica， NY:[s.n]， 2001.

［4］The EnCase forensic tool [EB/OL]. [2007]. http://www.guidancesoftware. com/products/ef_index.aspx， January.

［5］The coroner’s toolkit[EB/OL]. [2007－01]. http://www.porcupine.org/foren sics/tct.html.

［6］The sleuth kit[EB/OL].[2007－01]. http://www.sleuthkit.org.

［7］CARRIER B. Defining digital forensic examination and analysis tools[C]//Proc of the 2nd Digital Forensics Research Workshop. Syracuse， NY：[s.n]， 2002.

“本文中所涉及到的圖表、注解、公式等內(nèi)容請以PDF格式閱讀原文”