Per lo più ho trovato esempi al contrario: compromettere il sistema operativo, ad es. attraverso un BIOS compromesso o Intel ME. Ma ci sono esempi noti in cui roba viene eseguita sotto il kernel e può essere utilizzata per proteggerla o il sistema operativo in generale? Per quanto riguarda la modalità ring -1 / hypervisor ho trovato alcuni esempi ma non ho potuto trovare altro. Non sto pensando a SecureBoot e altri ma alla protezione da exploit di un kernel in esecuzione.
Sì , con vari gradi di successo. Di questi, solo il primo è comunemente usato in produzione:
Credo che ci fosse anche un modulo Intel ME di breve durata personalizzato ("ring -3") progettato per scopi simili, ma ho dimenticato il nome. SMM ("ring -2") potrebbe anche essere teoricamente utilizzato per l'integrità, a seconda di quali eventi possono attivare un SMI (System Management Interrupt). Si noti che questi non sono anelli di protezione "veri", come ho spiegato in maggior dettaglio in un'altra risposta .
Sei molto vago. Riducilo: quale sistema operativo? Quali protezioni del processore?
PROSPETTIVA DELL'ATTACKER
Se stai parlando di Linux, puoi usare il kernel per sovvertire il kernel (insmod un modulo del kernel).
Windows è un po 'meno semplice a seconda della piattaforma (x64 richiede driver firmati, ecc.).
A seconda dell'hardware, è possibile utilizzare Rowhammer, ecc.
PROSPETTIVA DEL DEFENDER
Windows: dal basso verso l'alto, la maggior parte degli AV rilasciano driver per eseguire hooking I / O Request Packet (IRP), riscrivere / installare o collegare il proprio System Dispatch Table Table (SSDT), manipolare la Intterupt Descriptor Table (IDT), o persino manipolare le tabelle di importazione (IAT) di tutti i processi, ecc.:
Puoi anche vederlo con lo strumento gmer AV: link
Linux: non ho molta familiarità con RE su Linux, solo OSX. Tuttavia, ci può essere qualche merito in un kernel formalmente verificato, ad es. SEL4: link