面向入侵的取證系統框架

摘要：在分析常見入侵攻擊的基礎上抽象出入侵過程的一般模式，提出針對入侵攻擊的取證系統應滿足的特征。提出了入侵取證模型，并基于這一取證模型在操作系統內核層實現了取證系統原型KIFS(kernel intrusion forensic system)。在對實際入侵的取證實驗中，根據KIFS得到的證據，成功記錄并重構了一個針對FreeBSD系統漏洞的本地提升權限攻擊的完整過程。

關鍵詞：入侵攻擊; 計算機取證; 操作系統; 內核

中圖分類號：TP393．08文獻標志碼：A

文章編號：1001－3695(2008)04－1117－03

近年來，隨著互聯網的飛速發展，網絡入侵攻擊事件的數量也在以驚人的速度逐年增長。根據CERT/CC的最新統計[1]，2001—2003年期間每年的入侵事件均比上一年增長50%以上。其中，僅在2003年CERT就處理了137 529個入侵事件。計算機取證技術著眼于記錄入侵證據，記錄所得的入侵數據可以作為調查入侵案件的證據，也可以用來研究未知的入侵攻擊并預防其他系統受到同樣的攻擊。早在20世紀90年代初，E·H. Spafford等人首次提出了軟件取證(software forensics)的概念[2]，他提出利用入侵程序中一些具有特征性的細節，來追蹤程序的作者并將這種技術叫做軟件取證。隨著互聯網的爆炸性擴展，計算機安全問題日益嚴重，相應的數字取證技術越來越受到信息安全界的關注。第一屆國際數字取證研究會議(DFRW)將計算機取證定義為[3]：為了重構犯罪案件的細節和衡量未授權行為的破壞性，在電子證據的保護、采集、驗證、鑒別、分析、轉譯、記錄和陳述的過程中采用的可驗證的科學方法。

目前計算機取證技術主要采用事后取證的方式，取證專家們發明了各種方法試圖在已經停機的可疑系統中發現與案件相關的蛛絲馬跡。著名的工具包括商用的EnCase[4]和開源的The Coroner’s Toolkit取證分析工具包[5]，Brian Carrier在TCT工具包的基礎上，開發了功能更加強大的The Sleuth Kit[6]，該工具包按照不同級別的抽象層次[7]，分別提供了對文件、文件系統、數據塊、磁盤扇區的證據采集工具。這些工具都僅僅著眼于案發后硬盤殘留的數據，不能提供足夠的信息以便重構整個案發過程，而且有經驗的入侵者可以通過刪除或掩蓋敏感數據的方法破壞證據。

為了更加有效地對入侵攻擊進行取證，筆者提出了針對入侵攻擊的取證系統框架，對入侵攻擊的整個過程實施進程監控和證據采集，并提供一套證據保護的機制防止入侵者破壞取證系統。

1入侵

1．1入侵過程分析

入侵整個過程可以分為幾個階段：首先入侵者需要確定攻擊的目標，如帶有緩沖區溢出漏洞的服務程序；接下來需要獲取系統中的一些基本權限，如緩沖區溢出攻擊需要向服務器發送數據的權限，這種權限一般很容易滿足；通過入侵技術攫取系統的控制權，即使用緩沖區溢出攻擊得到具有服務進程權限的控制臺；獲得系統控制權后，入侵者可以竄改系統文件、竊取機密信息并掩蓋入侵攻擊的痕跡，甚至以此系統為跳板對其他系統實施攻擊。根據以上分析，入侵攻擊的一般模式可以總結為以下的過程（圖1）：a)確定攻擊目標；b)獲取普通用戶權限；c)獲取特權用戶權限；d)掩蓋入侵痕跡；e)安裝后門程序；f)利用目標機器進行其他非法行為，如竊取機密文件、攻擊其他目標等。

1．2面向入侵的取證機制

目前常用的取證技術主要通過收集目標計算機硬盤中的數據來進行事件重構以確認入侵實施的時間、地點和方式。在發現系統入侵之后，取證人員才對目標計算機進行證據采集、證據恢復、證據分析等調查工作。然而，硬盤中殘留數據的信息量是非常有限的，甚至數據本身是不可信的。計算機系統在運行狀態中產生的大量信息，包括文件讀寫操作、進程地址空間、進程間通信等，不會在硬盤中留下痕跡。此外，入侵者會通過刪除或者破壞數據記錄來掩蓋入侵的痕跡，一些簡單的修改足以使硬盤數據失去作為證據的能力。這些情況極大限制了計算機取證技術的實際可操作性，迫切需要設計一種新的取證機制加強對入侵攻擊的取證能力。

根據對入侵模式的分析筆者認為，一套有效的取證機制應該包括以下幾個要點：

a)實時地記錄用戶和進程的操作，而不局限于操作產生的結果；

b)實施嚴格的證據保護機制，防止證據被竄改或刪除；

c)具有一定程度的通用性，可以針對不同種類的入侵進行必要的定制。

2模型

根據前一部分給出的面向入侵取證的設計目標，本文提出了取證系統模型，如圖2 所示。KIFS取證模型主要由安全保護模塊、配置模塊、實時取證模塊、證據庫協同完成基于系統調用的實時取證、取證安全保護、動態配置。

2．1實時取證模塊

根據上面總結的入侵一般模式，認為取證系統首先需要具備一個要素就是實時性。在入侵攻擊的每個階段，入侵者為了達到其目的，必須借助于操作系統提供的系統調用和服務。入侵攻擊程序在調用操作系統服務時，會在內存中產生大量的系統調用信息，利用這些信息可以確定入侵者的攻擊步驟、攻擊目標進程、入侵手段、入侵時間等，甚至可以通過入侵機器的IP地址確定其入侵者的地理位置。然而，傳統的取證過程要求在發現入侵之后盡快關閉主機，以便采集硬盤數據進行分析。在主機掉電后，內存信息會全部丟失，臨時文件也會在進程退出后被刪除，采用數據恢復技術也不能完全恢復這些數據。

實時取證模塊在開機時啟動，以后臺進程的形式運行，全程地監督系統運行時系統調用事件，向證據庫輸出證據數據。此模塊可以理解成以系統調用事件和取證范圍為輸入變量，輸出相應的證據數據的單一映射函數。系統事件與證據數據一一對應的關系，保證了取證結果的法律有效性。

2．2取證配置模塊

系統調用是操作系統提供給用戶態程序的一組接口，是用戶進程調用操作系統服務的惟一途徑。換句話說，可以通過用戶進程調用的系統調用序列確定進程的行為。在KIFS中使用系統調用作為事件的標志，以系統調用為基礎記錄用戶進程的行為，進行事件的重構。

取證配置模塊的任務是根據入侵攻擊的特點和系統一些默認參數，生成實時取證模塊啟動所需的初始化配置和取證范圍信息。取證配置模塊通過一個安全數據緩沖區向實時取證模塊傳遞信息，該數據緩沖區處在安全保護模塊的監控下，由安全保護模塊保證信息傳遞的機密性和完整性。根據取證配置模塊輸出的數據，實時取證模塊可以動態地調整當前的取證對象包含的范圍，即當前案件所關心的系統事件的集合，然后對關心的系統事件進行取證，忽略集合以外的系統事件。

2．3證據庫

后端的證據庫模塊是與取證主機相連的一臺單獨的數據庫服務器，它通過一個私有的界面接收來自實時取證模塊的證據數據，并按照預設的數據格式存儲證據文件。為了防止證據庫被入侵者攻擊，本文將證據庫服務器與網絡隔離，只與取證主機通過私有網絡連接。同時，在證據庫中加入了對于取證模塊發送的證據數據的驗證機制，以防止入侵者竄改證據后向證據庫傳送偽證。

2．4安全保護模塊

1)取證模塊的保護

由于取證模塊往往存在于不安全的系統中，取證系統本身的安全性是首先應該考慮的問題。取證安全保護模塊就是要保證取證模塊在配置和運行的過程中不會被竄改，保證取證功能的正常完成。對于取證模塊的保護包括：

a)安全配置。對取證模塊的配置文件采用加密和訪問控制機制予以保護，防止惡意用戶破壞配置文件的完整性。

b)安全運行。取證模塊是以系統進程的形式運行的，采用強制訪問控制機制可保證在取證進行中不被惡意用戶影響。

2)證據數據的保護

(1)證據的完整性。保證證據的真實性，保證證據在出示時能夠被證實確實沒有被竄改過。

(2)證據的機密性。保證證據的內容不會被非法用戶獲取。

(3)證據的可鑒別性。能識別證據的采集者、處理者以及創建者。

3實驗

3．1實現方法

3．1．1 實時取證

實時取證功能的實現：將取證模塊編譯在內核中，該模塊隨系統啟動自動加載，然后以后臺進程的形式運行，實時地截取系統調用信息，監控并記錄用戶進程的執行過程。KIFS數據采集點為系統調用的入口和出口。具體實現方法如圖3 所示。

forensic_syscall_enter(int syscall_num， void *args) 

在系統調用的入口調用該函數，用于判定是否對該系統調用進行取證和新建取證記錄，獲取證據信息。syscall_num是系統調用的編號；args是證據信息，此參數為可變參數，不同的事件取不同的值，是一個參數列表。

forensic_syscall_exit(int value)

在系統調用返回之前調用該函數，其作用是將取證記錄進行存儲。Value代表系統調用的返回值，通過該返回值可以確定系統調用的運行結果。

3．1．2 動態配置

KIFS實時取證模塊實現了動態改變取證范圍的功能，即根據實際需要調整進行取證的范圍。為每個系統調用均設置了一個取證開關變量，根據開關變量的當前狀態確定是否對此系統調用進行取證。在用戶進程從系統調用返回前，取證模塊首先判斷開關變量狀態。如果此系統調用需要取證，則將進程結構中的證據記錄寫入證據文件；否則丟棄證據記錄直接返回，如圖4所示。

3．2攻擊方法

本地提升權限攻擊（local privilege escalation attack）是常見的入侵攻擊方法之一。它的一般特征是普通權限用戶通過調用特權程序，并使用緩沖區溢出攻擊或其他手段獲得特權程序的權限。如果調用的特權程序具有root用戶權限，普通用戶就可以獲得root權限從而取得完全的系統控制權。筆者在實驗中就采用本地提升權限的方法攻擊一臺已經配置了KIFS的主機，然后通過KIFS采集的證據文件重構出攻擊事件的細節。

FreeBSD 4.3 存在一個設計上的漏洞(CVE－2001－1180)，用戶通過該漏洞實現本地提升權限攻擊，獲取root權限。當采用rfork(RFPROC|RFSIGSHARE) 以共享信號量的方式創建子進程時，如果子進程執行一個具有setuid屬性的程序，只要給父進程設置一個信號量處理函數，這個信號量處理函數會在子進程中被復制， 發送一個信號給子進程將會導致該信號量處理函數以setuid程序所有者的權限執行。利用此漏洞，通過運行所有者為root的setuid程序，本地攻擊者能取得 root 權限。

3．3證據分析

利用本地提升權限攻擊成功入侵FreeBSD系統之后，查看KIFS采集的證據文件如表1所示。分析上述證據記錄，可以明顯地發現利用系統漏洞非法提升權限攻擊的特征：563號進程先是rfork出564號子進程，然后設置SIGINT信號的響應函數地址“0xbfbfef59”（指向/tmp/sh），由于系統的設計問題，此時564號進程也被設置了同樣的信號響應函數，接著563號進程又在564號進程調用特權程序login的過程中向它發出SIGINT信號，使/tmp/sh以root（euid為0）權限啟動，從而獲得了對系統的控制權。在這個入侵案例中，通過分析KIFS采集的證據，筆者發現了系統的漏洞并掌握了針對該漏洞的入侵機制。由于KIFS的取證機制是與特定系統無關的，可以通過分析KIFS的結果捕獲未知系統漏洞；另一方面，還可以根據取證記錄，對新出現的入侵攻擊進行預警。

4結束語

本文提出了一種面向入侵模式的取證模型，并實現了基于該取證模型的取證系統KIFS。不同于傳統取證的事后取證方式，KIFS可以采集入侵進程的實時運行數據，進而可以重構入侵攻擊的完整過程，對于研究入侵攻擊的特征和搜集入侵證據均有重要意義。本文還設計了取證保護機制，采集的證據文件將會保存在一個安全隔離的證據庫服務器中，防止入侵者竄改、刪除證據文件。為了提高KIFS取證系統的通用性，本文實現了根據入侵類型可以動態定制系統取證范圍的功能。實驗表明，利用KIFS采集的系統運行時信息，能發現針對已知漏洞的攻擊，還有根據未知攻擊產生的數據發現系統中新的安全漏洞。在下一步的工作中，筆者打算詳細測試KIFS取證系統的內核運行負載，研究在實際的商用服務器中配置取證系統的可能性。另外，根據KIFS采集的入侵數據建立數據庫，研究對未知入侵攻擊進行預警的方法。

參考文獻：

［1］CERT/CC statistics 1988—2006 [EB/OL]. [2007－01]. http://www.cert.org/stats.

［2］SPAFFORD E H， WEEBER S A. Software forensics: can we track code to its authors，Technical Report CSD TR 92－010[R]. [S.l.]: Department of Computer Science， Purdue University，1992.

［3］PALMER G. A road map for digital forensic research[C]//Proc of the 1st Digital Forensics Research Workshop. Utica， NY:[s.n]， 2001.

［4］The EnCase forensic tool [EB/OL]. [2007]. http://www.guidancesoftware. com/products/ef_index.aspx， January.

［5］The coroner’s toolkit[EB/OL]. [2007－01]. http://www.porcupine.org/foren sics/tct.html.

［6］The sleuth kit[EB/OL].[2007－01]. http://www.sleuthkit.org.

［7］CARRIER B. Defining digital forensic examination and analysis tools[C]//Proc of the 2nd Digital Forensics Research Workshop. Syracuse， NY：[s.n]， 2002.

“本文中所涉及到的圖表、注解、公式等內容請以PDF格式閱讀原文”