Download presentation
Presentation is loading. Please wait.
1
仮想マシンを用いた 既存IDSのオフロード
九州工業大学 飯田貴大 九州工業大学/JST CREST 光来健一
2
侵入検知システム(IDS) IDSは攻撃者の侵入を検知するために用いられる IDSが攻撃を受けると検知できなくなる
ファイル、ネットワーク、OSなどを監視 例:chkrootkit 攻撃者によって仕込まれたrootkitを発見 rootkitはファイルの改ざん等を行う攻撃者用ツール IDSが攻撃を受けると検知できなくなる psコマンドが置き換えられるとchkrootkitが騙される 攻撃者 サーバ chkrootkit コマンド群 置換 rootkit
3
仮想マシンを用いたIDSのオフロード サーバを仮想マシン上で動かし、IDSだけ別の仮想マ シン上で動かす手法 IDSが停止される恐れがない
ログが改ざんされる恐れがない IDS-VM サーバVM 攻撃者 サーバ IDS 侵入
4
IDSをオフロードする際の問題 サーバVMを監視するようにIDSを修正する必要があ る
単純にIDS-VMで動かすだけではIDS-VMの監視を行ってし まう chkrootkitのpsはIDS-VMのプロセス情報を返す VMをまたがって監視を行うには特殊なアクセス方法を用い る必要がある 例:サーバVMのメモリを覗く VMwatcher [Jiang et al.’07] VIX [Hay et al.’08] IDS-VM サーバVM IDS IDS IDS-VMの 監視 サーバVMの 監視
5
提案:Transcall IDSに修正を加えることなくオフロードを可能にするシ ステム
サーバVMの監視を行うための実行環境であるVMシャドウを 提供 VMシャドウ内のIDSはサーバVM内と同様に実行できる サーバVMの情報を安全に取得 VMシャドウ IDS システムコール エミュレータ シャドウ ファイルシステム Transcall サーバVM IDS-VM
6
システムコール・エミュレータ VMシャドウ内のIDSが発行したシステムコールに対し て必要に応じてサーバVMの情報を返す
カーネルについての情報の取得 不必要ならIDS-VMのカーネルにシステムコールを発行 メモリ管理 ネットワーク処理 VMシャドウ IDS システムコール エミュレータ Transcall サーバVM IDS-VM カーネル
7
例:unameのエミュレーション unameシステムコールが返す情報をサーバVMから 取得
サーバVMのカーネルメモリの中からutsname構造体を発見 カーネル名、ホスト名、バージョン等が格納されている init_task変数からたどることができる unameが返す情報を上書き VMシャドウ IDS システムコール エミュレータ Transcall サーバVM IDS-VM カーネル init_task Linux server-vm task_struct utsname uname
8
サーバVMのメモリを直接見る必要性 サーバVMのカーネルが改ざんされない限り、正しい 情報を取得できる サーバVMへのRPCは脆弱
OS名を改ざんされるとOSに依存した攻撃を見逃す危険性 Transcall VMシャドウ IDS サーバVM IDS-VM RPC サーバ カーネル 攻撃 uname uname
9
シャドウファイルシステム VMシャドウ内のIDSからサーバVMで使われている ファイルシステム全体を参照可能 サーバVMの仮想ディスク
ファイルシステムの整合性を保つために読み込み専用でマウン ト 特殊なファイルシステム サーバVMを参照して エミュレート proc、sys、dev VMシャドウ IDS シャドウ ファイルシステム カーネル Transcall サーバVM IDS-VM 仮想ディスク
10
シャドウprocファイルシステム サーバVMのプロセス情報を返すファイルシステム
Linuxのprocファイルシステムと同じインタフェースを提供 /proc/PID/statはサーバVM上のプロセス番号PIDのプロセス 情報を返す プロセス情報はサーバVMのカーネルメモリから直接取得 init_task変数から順番にたどれるtask_struct構造体を参照 VMシャドウの/procにマウントする IDS-VM サーバVM カーネル シャドウprocfs Transcall IDS VMシャドウ init_task task_struct /proc/100/stat
11
psコマンドの実行例 psコマンドは/proc を参照しながら実行 /proc/self をチェック
サーバVM上にpsプロセスは存在しない IDS-VMで実行中のpsプロセスの情報を返す(例外処理) /proc 上のディレクトリエントリ一覧を取得 サーバVM上で動いているプロセスのPIDの一覧を返す 各プロセスのディレクトリからstat、statusファイルを読み込 む 実行されている端末、実行時間、コマンド名などを取得 サーバVM カーネル シャドウprocfs Transcall PS IDS-VM VMシャドウ ps
12
Transcallのポリシファイル VMシャドウ内のIDSがIDS-VM上のファイルを使うこ とを可能にする
/boot/vmlinuz /var/log/a.log
13
ポリシファイルの記述例 IDSがアクセスするパスとIDS-VM上のパスの対応を 記述
Tripwireの例 TripwireのポリシファイルはサーバVMごとに異なるパスに置く サイトキーは共通のパスに置く ログはサーバVMごとに異なるパスに保存 それ以外のファイルはサーバVMを参照 /etc/tripwire/tw.pol /etc/tripwire/VM1/tw.pol /etc/tripwire /etc/tripwire /var/lib/tripwire /var/lib/tripwire/VM1
14
実装 Xenを使ってIDSのオフロードを実現 Transcallはカーネルを変更せずに実現
ドメイン0をIDS-VM、ドメインUをサーバVMとする Transcallはカーネルを変更せずに実現 システムコールエミュレータの子プロセスとしてIDSを実行 FUSEを用いてシャドウprocファイルシステムを実装 IDS Linux ドメインU ドメイン0 FUSE シャドウ procfs カーネル システムコール エミュレータ Transcall カーネル
15
システムコールのトラップ ptraceシステムコールを用いてシステムコールのト ラップを行う エミュレートするシステムコールの場合
uname 引数が指すメモリの内容を書き換える ファイル関連のシステムコールの場合 open,stat 引数のパス名を置換する ポリシ /proc / IDS uname(buf) open("/proc") システムコール エミュレータ
16
サーバVMのカーネル情報の取得 カーネルの内部データ構造を基にメモリを解析 あらかじめカーネルの型情報やシンボル情報を取得しておく
デバッグ情報やSystem.mapを利用 サーバVMのメモリページをIDS-VMにマップしてアクセス 仮想アドレス→疑似物理アドレス→マシンアドレスへの変換 1 Transcall ページ テーブル 3 2 ターゲット VMM P2Mテーブル
17
実験:Transcallの性能 VMシャドウ内で動かしたpsコマンドの実行時間を測 定 サーバVMで直接動かした場合の3.3倍
原因はptraceおよびFUSEを用いたことによるオーバヘッド サーバVMからの情報取得のオーバヘッドは含まれない VMシャドウの作成時に取得しているため 平均実行時間 (ミリ秒) ps(サーバVM) 20 Transcall+ps (IDS-VM) 66 表1 実行速度比較 実験環境 CPU Intel Quad 2.83GHz メモリ 4GB Xen3.4.0 ドメイン0Linux ドメインU Linux
18
実験:隠しプロセスの発見 Transcallを用いて隠しプロセスの発見ができるかど うかの実験を行った
VMシャドウ内とサーバVM上でのpsの実行結果を比較 サーバVMではinitプロセスを隠蔽するpsコマンドを実行 隠蔽されたinitプロセスの発見を行えた
19
関連研究(1/2) HyperSpector [Kourai et al.’05] IDS-VMからサーバVMを監視するシステム
シャドウファイルシステム、シャドウプロセスを提供 既存のIDSが利用可能だが、設定の変更は必要 OSの仮想化機能を利用 名前空間の操作だけでサーバVMの情報を参照できる Transcallはシステムレベルの仮想化を前提 サーバVMの情報を取得するのは容易ではない
![関連研究(1/2) HyperSpector [Kourai et al.’05] IDS-VMからサーバVMを監視するシステム](http://slidesplayer.net/slide/16394356/95/images/19/%E9%96%A2%E9%80%A3%E7%A0%94%E7%A9%B6%281%2F2%29+HyperSpector+%5BKourai+et+al.%E2%80%9905%5D+IDS-VM%E3%81%8B%E3%82%89%E3%82%B5%E3%83%BC%E3%83%90VM%E3%82%92%E7%9B%A3%E8%A6%96%E3%81%99%E3%82%8B%E3%82%B7%E3%82%B9%E3%83%86%E3%83%A0.jpg "シャドウファイルシステム、シャドウプロセスを提供. 既存のIDSが利用可能だが、設定の変更は必要. OSの仮想化機能を利用. 名前空間の操作だけでサーバVMの情報を参照できる. Transcallはシステムレベルの仮想化を前提. サーバVMの情報を取得するのは容易ではない.")
20
関連研究(2/2) VIX [Hay et al.’08] VMwatcher [Jiang et al.’07]
IDS-VMからサーバVMの情報を取得するコマンド群を提供 提供されているコマンドを使わないIDSは修正が必要 VMwatcher [Jiang et al.’07] IDS-VMで既存のアンチウィルスを動かすことができる サーバVMのファイルシステムを参照するのみ スキャンするパスをマウント先に変更する必要がある Proxos [Ta-min et al.’06] 機密情報を扱うプロセスを別のVMで実行 ポリシファイルに従ってシステムコールのRPCを行う 元のVMのカーネルの修正が必要
![関連研究(2/2) VIX [Hay et al.’08] VMwatcher [Jiang et al.’07]](http://slidesplayer.net/slide/16394356/95/images/20/%E9%96%A2%E9%80%A3%E7%A0%94%E7%A9%B6%282%2F2%29+VIX+%5BHay+et+al.%E2%80%9908%5D+VMwatcher+%5BJiang+et+al.%E2%80%9907%5D.jpg "IDS-VMからサーバVMの情報を取得するコマンド群を提供. 提供されているコマンドを使わないIDSは修正が必要. VMwatcher [Jiang et al.’07] IDS-VMで既存のアンチウィルスを動かすことができる. サーバVMのファイルシステムを参照するのみ. スキャンするパスをマウント先に変更する必要がある. Proxos [Ta-min et al.’06] 機密情報を扱うプロセスを別のVMで実行. ポリシファイルに従ってシステムコールのRPCを行う. 元のVMのカーネルの修正が必要.")
21
まとめ 既存のIDSを変更することなく、VMを用いてオフロー ドできるようにするシステムTranscallを提案
VMシャドウ内でIDSを動作させる IDS-VMからサーバVMを監視するための実行環境 Transcallの構成 システムコール・エミュレータ シャドウファイルシステム シャドウprocファイルシステム ポリシファイル 既存のpsを動作させて隠しプロセスを見つけられた
22
今後の課題 シャドウprocファイルシステムを完成させる 既存のIDSをオフロードできるようにする
取得できる情報がまだ不完全 実行中のプログラムのパス名が取得できない 既存のIDSをオフロードできるようにする Tripwire ポリシファイルの実装を完成させる必要がある chkrootkit netstatコマンドもオフロードできるようにする必要がある Transcallのオーバヘッドを削減する
24
仮想ディスクのマウント 仮想ディスクがLVMを使っている場合 仮想ディスクに使われているループバックデバイスを探す
/dev/loop1 見つかったループバックデバイスに対してデバイスマップを 作成 LVMでなければ作成したデバイスを直接マウント可能 物理ボリュームを探してから、論理ボリュームを探す 物理ボリューム名が一意である必要 /dev/VolGroupXen00/LogVol00 論理ボリュームをアクティブにしてマウント
Similar presentations
