Un kernel in esecuzione può essere protetto da anelli sottostanti, BIOS ecc.?

1

Per lo più ho trovato esempi al contrario: compromettere il sistema operativo, ad es. attraverso un BIOS compromesso o Intel ME. Ma ci sono esempi noti in cui roba viene eseguita sotto il kernel e può essere utilizzata per proteggerla o il sistema operativo in generale? Per quanto riguarda la modalità ring -1 / hypervisor ho trovato alcuni esempi ma non ho potuto trovare altro. Non sto pensando a SecureBoot e altri ma alla protezione da exploit di un kernel in esecuzione.

    
posta ballab 23.08.2017 - 13:56
fonte

2 risposte

1

, con vari gradi di successo. Di questi, solo il primo è comunemente usato in produzione:

  • RKP (protezione del kernel in tempo reale) di Samsung Knox, che blocca l'accesso non autorizzato o modifica al codice del kernel per userspace, e monitora le credenziali sensibili nel kernel.
  • Vari hypervisor sperimentali basati su BitVisor, come SecVisor , con diversi obiettivi.
  • Cappsule di Quarkslab, che esegue una copia CoW del kernel per ogni processo generato.
  • McAfee DeepSAFE , un hypervisor che fornisce una vista a prova di manomissione degli eventi di sistema.
  • Protezione dell'integrità basata sul coprocessore come la Copilot .

Credo che ci fosse anche un modulo Intel ME di breve durata personalizzato ("ring -3") progettato per scopi simili, ma ho dimenticato il nome. SMM ("ring -2") potrebbe anche essere teoricamente utilizzato per l'integrità, a seconda di quali eventi possono attivare un SMI (System Management Interrupt). Si noti che questi non sono anelli di protezione "veri", come ho spiegato in maggior dettaglio in un'altra risposta .

    
risposta data 27.12.2017 - 08:19
fonte
-1

Sei molto vago. Riducilo: quale sistema operativo? Quali protezioni del processore?

PROSPETTIVA DELL'ATTACKER

Se stai parlando di Linux, puoi usare il kernel per sovvertire il kernel (insmod un modulo del kernel).

Windows è un po 'meno semplice a seconda della piattaforma (x64 richiede driver firmati, ecc.).

A seconda dell'hardware, è possibile utilizzare Rowhammer, ecc.

PROSPETTIVA DEL DEFENDER

Windows: dal basso verso l'alto, la maggior parte degli AV rilasciano driver per eseguire hooking I / O Request Packet (IRP), riscrivere / installare o collegare il proprio System Dispatch Table Table (SSDT), manipolare la Intterupt Descriptor Table (IDT), o persino manipolare le tabelle di importazione (IAT) di tutti i processi, ecc.:

link

Puoi anche vederlo con lo strumento gmer AV: link

Linux: non ho molta familiarità con RE su Linux, solo OSX. Tuttavia, ci può essere qualche merito in un kernel formalmente verificato, ad es. SEL4: link

    
risposta data 06.10.2017 - 19:53
fonte

Leggi altre domande sui tag