VED-eBPF:使用 eBPF 進行內核漏洞和 Rootkit 檢測
Shawn the R0ck 寫道:我們很高興地介紹 VED-eBPF,這是一種創新的概念驗證實現,展示了 eBPF(擴展伯克利數據包過濾器)技術在為 Linux 系統提供強大的內核安全監控和漏洞檢測方面的能力。VED-eBPF 利用 eBPF 的功能,提供對內核漏洞和 Rootkit 的運行時分析和檢測。開源版本使用 AGPLv3 許可證發布。
使用 eBPF 增強內核安全 eBPF 是一種內核中的虛擬機,可以在內核中執行代碼,無需修改內核源代碼。通過 VED-eBPF,我們利用 eBPF 的潛力來跟蹤安全敏感的內核行為并檢測可能表示惡意活動的異常情況。
VED-eBPF 的關鍵特性:
控制流完整性(wCFI):VED-eBPF 包含 wCFI,專注于檢測控制流劫持攻擊。通過跟蹤內核調用棧,VED-eBPF 生成一個有效調用位置的位圖,并根據此位圖驗證返回地址。任何無效的返回地址(表示堆棧已被破壞)都會觸發安全事件進行進一步分析。
特權提升檢測(PSD):VED-eBPF 集成了 PSD,用于檢測未經授權的特權提升。通過監視內核中的憑證結構的變化,VED-eBPF 在特定函數調用之前和之后比較憑證,以識別任何未經授權的修改。當檢測到非法特權提升時,會生成一個安全事件進行分析。
VED-eBPF 的工作原理 VED-eBPF 將 eBPF 程序附加到相關的內核函數,實現執行流程的跟蹤和安全事件的提取。然后,這些事件將通過 perf 緩沖區提交到用戶空間進行進一步分析,確保實時檢測潛在威脅。
加入我們,探索 eBPF 的安全能力 我們邀請所有對利用 eBPF 進行安全緩解感興趣的安全愛好者、研究人員和開發人員一起探索 VED-eBPF。通過利用 eBPF 的跟蹤能力和 perf 緩沖區,VED-eBPF 展示了如何實時提取和分析關鍵的安全事件,以識別新出現的內核威脅。
