Безпековий моніторинг інформаційних систем за допомогою еBPF

Размещено на http://www.allbest.ru/

Размещено на http://www.allbest.ru/

Кафедра комп'ютерних наук та економічної кібернетики

Вінницький національний аграрний університет

Безпековий моніторинг інформаційних систем за допомогою еBPF

Хрущак Сергій Вікторович

кандидат технічних наук, старший викладач

Бойко Олексій Романович

кандидат технічних наук, старший викладач

Терьохіна Мар'яна Юріївна, студентка

Анотація

У статті розглянуто використання систем, заснованих на технології eBPF для забезпечення безпекового моніторингу в інформаційних системах, а саме запобіганню використання прихованих каналів передачі даних за допомогою ICMP трафіку. eBPF (розширений фільтр пакетів Берклі) - це сучасна технологія, що дозволяє безпечно виконувати код у віртуальній машині всередині ядра Linux чи завантаженим безпосередньо на мережеву карту й таким чином надає багато можливостей по розширенню ядра, без необхідності внесення змін у саме ядро. З часом ця технологія стала ключовою для побудови багатьох сучасних систем моніторингу подій ядра та мережі. Описано призначення та можливості технології eBPF, зокрема її використання для моніторингу події системи, включаючи мережевий трафік та системні виклики, для вчасного виявлення потенційних загроз.

Проведено аналіз методів початкового зараження систем основними найбільш вживаними фреймворками віддаленого керування та ботнетами і виділено шляхи покращення для їх виявлення. Основна увага у статті приділяється розробці механізму, який може виявляти і аналізувати ICMP пакети в реальному часі для визначення потенційних замаскованих каналів зараження мережі, не накладаючи значного навантаження на систему. Описано підхід до розробки та впровадження програми з використанням eBPF, що забезпечує фільтрацію та обробку ICMP трафіку в мережі. Проведено тестування розробленої системи з використанням

Висвітлено можливі проблеми, які можуть виникнути під час реалізації системи моніторингу на основі eBPF та розглядаються можливі напрями подальших досліджень у цій галузі. Ця стаття може бути використана фахівцями з інформаційної безпеки та адміністраторами комп'ютерних мереж, які цікавляться використанням передових технологій для забезпечення безпеки даних та інформаційних систем.

Ключові слова: моніторинг, eBPF, інформаційні системи, виявлення загроз, кіберзахист, розширення ядра, ICMP.

Khrushchak Sergii Victorovych PhD, senior teacher of Computer Sciences and economical cybernetics, Vinnytsia National Agrarian University, Vinnytsia

Boiko Oleksii Romanovych PhD, senior teacher of Computer Sciences and economical cybernetics, Vinnytsia National Agrarian University, Vinnytsia

Teryokhina Maryana Yuriivna student of Computer Sciences and economical cybernetics, Vinnytsia National Agrarian University, Vinnytsia,

Secure monitoring of informational systems using еEBPF

Abstract

The article discusses the use of a system based on eBPF technology to provide security monitoring in information systems, namely, preventing the use of closed data transmission channels using ICMP traffic. eBPF (Extended Berkeley Packet Filter) is a state-of-the-art technology that allows code to be safely maintained in a virtual machine inside the Linux kernel or loaded over a network card and thus provides many features for the extended kernel without having to make changes to the kernel itself. Over time, this technology has become key to building many modern kernel and network event monitoring systems. The capabilities of eBPF technology are described and assigned, including its use for event monitoring systems, including network traffic and system calls, for early detection of existing threats.

An analysis of the methods of initial infection of the system by the main most used remote control frameworks and botnets was carried out and ways of improvement for their implementation were removed. The main focus of the paper is to develop a mechanism that can detect and analyze ICMP packets in real-time to identify detected masked network infection channels without imposing significant system load. An approach to the development and implementation of a program using eBPF, which provides filtering and processing of ICMP traffic in the network, is described. The developed system was tested using

Problems that may arise during the implementation of the eBPF-based monitoring system are identified, and opportunities for further research in this area are considered. This article can be used by information security professionals and computer network administrators who are interested in using advanced technologies to ensure the security of data and information systems.

Keywords: security monitoring, eBPF, informational systems, threat detection, cyber protection, kernel extensions, ICMP.

Вступ

Постановка проблеми. Забезпечення безпеки інформаційних систем є надзвичайно важливим та складним завданням для організацій у різних галузях. З урахуванням постійно зростаючого рівня загроз та все більш складних кібератак стає критичним використання передових технологій, які пропонують надійні засоби раннього виявлення загроз та захисту від них. Однією з таких технологій, яка привернула значну увагу в останні роки, є eBPF (розширений фільтр пакетів Berkeley). Це технологія спочатку розроблена для фільтрації мережевих пакетів у ядрі Linux, однак з часом вона перетворилась на універсальний інструмент для моніторингу будь-яких подій в ядрі системи в реальному часі. У цій статті досліджено можливості eBPF та їх застосування в сфері безпеки інформаційних систем на прикладі виявлення зловмисного ICMP трафіку.

Аналіз останніх досліджень і публікацій. eBPF є порівняно новою технологією, яка відкрила безліч можливостей для створення засобів моніторингу та безпеки, які мають кращу швидкодію, більше контекстної інформації та безпечніші в використанні, порівняно з існуючими на той час системами. Проблемою застосування технології eBPF займались такі світові експерти, як Джонатан Корбет [1], Гійом Фурньєр [2], та провідних компаній, таких як Google, Datadog, Amazon. Серед українських дослідників використання eBFP для виявлення вірусів-вимагачів займались Журавчак Д, Кійко Е., Дудикевич В. [3].

В даній статті розглянуто використання eBFP для виявлення та боротьби з методами зараження та підвищення привілеїв, які застосовуються в популярних СС (Command and conquer) системах та піднімається питання більш тісної інтеграції розроблених модулів з наявними системами безпекового моніторингу.

Мета статті - проаналізувати сучасні підходи до застосування технології eBFP для виявлення та боротьби з кіберзагрозами з використанням засобів прихованого віддаленого адміністрування та розробити модуль для їх виявлення. Дослідити методи та проблеми інтеграції отриманого рішення з існуючими системами моніторингу.

Виклад основного матеріалу

eBPF (розширений фільтр пакетів Берклі) - це технологія ядра Linux, яка дозволяє динамічне та ефективне відстеження різноманітних подій системи, таких як мережеві пакети, виклики функцій та інші системні події. Ця технологія започаткована як розширення існуючої з 1992 року технології BPF (фільтр пакетів Берклі), яка використо - вувалась для обробки та фільтрації мережевих пакетів, однак її можливості зараз виходять далеко за рамки роботи з пакетами й дозволяють отримати доступ до будь-яких системних викликів, що відбуваються в ядрі Linux.

Однією з основних переваг eBPF є можливість динамічно завантажувати та вивантажувати програми, які виконуються в просторі ядра та отримують доступ до обмеженого набору його функцій без необхідності написання та підтримки модулів ядра, чи навіть його перезавантаження. Це значно прискорює інновації, оскільки будь-які зміни в самому ядрі системи це довгий процес що також несе багато потенційних безпекових ризиків, також саме ядро змінюється й тому вбудовані модулі потребують постійної підтримки. Саме тому останнім часом з'явилось багато систем, які використовують eBFP для моніторингу, телеметрії, відладки чи обробки мережевого трафіку, таких як Cilium, Falco, Pixie, Tetragon та інші. В основному це розробки в екосистемі Linux, часто інтегровані з існуючими популярними системами оркестрації контейнерів [2], однак також ведеться робота по інтеграції даної технології з ядром Windows [4].

Технологічно eBFP є віртуальною машиною, вбудованою в ядро системи, тобто eBPF програми виконуються в обмеженому оточенні всередині ядра. Перед виконанням програма проходить статичний аналізатор, який перевіряє, що програма є направленим ациклічним графом, виявляє потенційні проблеми та гарантує, що програма не коректно працюватиме для всіх станів та виконається за кінцевий проміжок часу. Так, наприклад, розмір стеку кожної програми eBPF не може перевищувати 512 кілобайт, та є обмеження на виконання циклів [5]. Хоча ці обмеження можуть здаватися дуже обмежувальними, саме вони є причиною популярності eBPF у засобах трасування та моніторингу. Вони забезпечують безпеку програми та знижують навантаження на систему. Самі програми eBPF можуть бути написані мовою, схожою на мову C з певними обмеженнями, і скомпільовані у байт-код, який може безпечно виконуватися в ядрі. Для виконання програм застосовується JIT (Just-in-Time) компілятор, який транслює байт-код програм в машинні інструкції, отримуючи код по швидкодії близький до нативних програм. Крім того, eBPF має низькі накладні витрати, що означає, що його можна використовувати в ситуаціях, де важливою є продуктивність системи [6, 7]. Програми eBPF, встановлені в контексті виконання в режимі ядра, можуть під'єднуватися до різних обробників викликів ядра і викликати різноманітні допоміжні API, надані програмним інтерфейсом eBPF (рис. 1).

Рис.1. Виклики ядра Linux, які можуть бути перехоплені в eBPF

безпековий моніторинг інформаційна система

Найбільш очевидним використанням eBPF є моніторинг і забезпечення безпеки мережі. Це зумовлено тим, що першопочатково BPF був доданий до ядра саме для фільтрації мережевих пакетів. Однак eBPF також може бути використаний для забезпечення виконання політик безпеки шляхом блокування або модифікації певних системних подій на основі попередньо визначених правил. Це дозволяє забезпечувати дотримання внутрішніх політик безпеки та реагувати на потенційні загрози автоматично.

В нашому випадку дослідження фокусується на безпеці під час виконання програм, яка полягає в ранньому виявленні наперед заданих індикаторів, які можуть означати, що систему скомпроментовано. При спрацюванні індикаторів система або ж група реагування на інциденти може вчасно вжити контрзаходи та нівелювати загрозу. Зазвичай такі індикатори збирають як на рівні всієї мережі, це зазвичай моніторинг мережевого трафіку в критичних точках інфраструктури та виявлення аномальної мережевої активності чи відомих шкідливих сигнатур. Або ж системи для виявлення ненормальної поведінки процесів на рівні окремого хоста, як то доступ до системних API або підозрілих змін у використанні ресурсів. Інформація з усіх елементів мережі зазвичай збирається і обробляється централізованого на одному сервері чи кластері й такі системи називають системами виявлення вторгнень - IDS.

Основну увагу в дослідженні приділено саме протидії початковому зараженню відомими системами C2 (Command and Conquer). Це зазвичай готові фреймворки дозволяють атакуючим віддалено виконувати віддалені команди (RAT) на інфікованих машинах, стежити за їх станом, збирати необхідні дані як про машину так і мережу. Ці фреймворки відіграють важливу роль у координації і керуванні мережами інфікованих пристроїв, які часто називаються ботнетами. Згідно останніх досліджень Spamhouse найбільш популярними фреймворками для зараження систем та створення ботнетів серед досліджених 8438 заражень, наразі є Cobalt Strike, Qakbot, AsyncRAT, Sliver так інші [8]. Ці програми зазвичай мають складні механізми для уникнення виявлення і видалення антивірусними системами, які включають шифрування деяких компонентів, зміна та перекомпіляція вихідного коду під конкретні зараження та інше.

Для початкового зараження можуть використовуватись різні методики такі як фішинг, соціальна інженерія, макроси чи відомі вразливості в системах. Однак всі згадані системи відносяться до post-exploitation фреймворків, тобто спільною їх характеристикою є те, що вони поетапно розгортаються на вже початково інфікованих пристроях з використанням завантажувачів. Завантажувачі відіграють ключову роль в доставці та активації компонентів C2, оскільки самі компоненти зазвичай досить об'ємні та легше виявляються, щоб використовуватись на початкових етапах зараження. Зазвичай завантажувачі при початковому запуску одразу перевіряють наявність антивірусних систем, завантажують та налаштовують персистентність та запуск коду самого фреймворку. При цьому часто використовуються такі техніки як DLL-ін'єкції чи завантаження шкідливого коду в простір легітимного процесу системи (process hollowing) [9]. Зазвичай існуючі файрволи та IDS досить непогано виявляють роботу завантажувачів в мережі, що змушує зловмисників до застосування більш складних технік для запобіганню виявленню шкідливого трафіку, як наприклад використання нестандартних способів передачі трафіку для завантаження компонентів C2 [3].

Одним із таких способів, що робить виявлення складним є використання ICMP трафіку для завантаження тіла основного вірусу [10]. Такий підхід зазвичай дозволяє обійти правила файрволів, оскільки вони вважатимуть що це цілком легітимний трафік. Для виявлення та знешкодження таких завантажувачів необхідно проаналізувати вміст пакетів та виявити патерни, що вказуватимуть на те, що вони відносяться до зловмисних програм. Це якраз підпадає під основне застосування eBFP.

Для початку проведемо аналіз, як використання ICMP трафіку дозволяє непомітно передавати корисне навантаження. Протокол ICMP відноситься до мережевого рівня і в основному застосовується, як засіб передачі інформації про помилки та виключення при роботі протоколу IP, що дозволяє підтримувати стабільність та ефективність IP-мережі. Для передачі даних за допомогою ICMP може використовуватись підхід зі створення таємних каналів на основі ICMP Echo пакетів, які зазвичай використовуються командою ping [11]. Заборона таких прихованих каналів є складною задачею, оскільки зловмисні програми можуть використовувати як шифрування трафіку, для унеможливлення його виявлення так і вводити додаткові затримки в передачу, щоб зробити всплески трафіку менш помітними. До того ж існує багато легітимних ICMP запитів, які використовують великі ICMP пакети, тому навіть часткові обмеження ICMP трафіку можуть вплинути на функціональність всієї мережі.

Для реалізації системи виявлення шкідливого ICMP трафіку скористаємось методом, запропонованому в [12]. Для досягнення максимальної швидкодії даний метод застосовує поступовий підхід до аналізу пакетів, спочатку застосовуючи найпростіші перевірки й пакетів й переходячи до більш складних, якщо на ранніх етапах пакет було помічено як підозрілий. Основний алгоритм методу наведено на рис.2.

Рис.2. Блок схема алгоритму перевірки ICMP пакета

Для перевірки потоку ICMP пакетів застосовується алгоритм плаваючого вікна, яке розбиває неперервний потік пакетів на окремі набори елементів, обмежені розміром вікна. Для кожного вікна відбувається два етапи перевірки. Під час першого етапу перевіряється розмір поля даних ICMP пакету, в більшості випадків його розмір має бути 32 байти для Windows машин та 56 байт для Linux. Наступна перевірка підраховує кількість відповідей до кожного ICMP echo запиту, яких зазвичай повинно бути не більше одного й останньою перевіркою є порівняння частоти ICMP запитів з заданим пороговим значенням. Якщо будь-яка з зазначених умов не виконується, алгоритм переходить до наступного етапу, який потребує більш складної перевірки вмісту пакету.

Другим етапом перевірки є аналіз вмісту пакетів. Зазвичай операційні системи використовують ICMP пакети, які відповідають певному шаблону специфічному для операційної системи. Однак щоб не зменшити час обробки пакету перевірка відповідності шаблону може відбуватись тільки для частини пакету.

Для реалізації eBPF програми обрано фреймворк bcc, який дозволяє інтегрувати eBPF підпрограму в основну програму написану на Python. eBFP, яка відбирає ICMP пакети, та передає тільки необхідні в підпрограму на Python виглядає наступним чином:

#include <linux/if_ether.h>

int icmp_tracer(struct sk_buff *skbuff) {

struct ethernet_t *eth_packet = cursor_advance(cursor,

if (eth_packet->type!= ETH_P_IP) return 0;

struct ip_t *ip_packet = cursor_advance(cursor, sizeof(*ip_packet)); if (ip_packet->nextp!= IPPROTO_ICMP) return 0;

struct icmp_t *icmp_packet = cursor_advance(cursor, sizeof(*icmp_packet)); if (icmp_packet->type!= 0 && icmp_packet->type!= 43) return 0; return -1;

Підпрограма дозволяє відібрати тільки ICMP echo пакети й передати їх на статистичну обробку в Python. Результат функції визначає чи пакет буде передано на подальшу обробку чи буде відкинутий. Передача пакету між eBPF, що знаходиться в просторі ядра в користувацький простір відбувається через RAW-сокет та є повільним процесом, тому eBPF підпрограма повинна по можливості максимально відфільтровувати пакети й передавати в основну програму тільки ті, які дійсно вважаються підозрілими. Однак, на жаль, можливості віртуальної машини обмежені й наявні структури не дозволяють повністю реалізувати зазначений алгоритм, змушуючи переносити більшість коду в користувацький простір, що негативно впливає на швидкодію перевірки.

В користувацькому просторі програма записує пакети разом з часом отримання в циклічний буфер, та опрацьовує їх відповідно до попередньо наведеного алгоритму [12]. Поточна реалізація в разі детекції підозрілого трафіку виводить повідомлення в консоль, яке може бути перехоплено й відправлено в IDS.

Для перевірки реалізації було використано 2 віртуальних машини з Windows 10 та Ubuntu 22.04. Весь аналіз трафіку відбувався на Linux машині. Для генерації легітимного трафіку використовувалась стандартна утиліта ping, для генерації зловмисного трафіку використовувався модифікований код утиліти ICMP-Shellcode-Loader, в якій прибрано виконання завантаженої програми. Ця утиліта застосовується як основа для створення ICMP завантажувачів основного коду C2. В якості даних застосовувались генератор випадкових чисел та звичайні текстові файли. В лабораторних умовах системі вдалось повністю відрізнити зловмисний трафік від звичайного. Для більш точної оцінки необхідно покращувати маскування трафіку в застосованій утиліті. Результат спрацювання детектора при виявленні підозрілого трафіку можна побачити на рис. 3.

Рис.3. Результат детекції підозрілого ICMP трафіку

Загалом, розвиток eBPF відкриває широкі можливості для створення інноваційних та ефективних інструментів моніторингу, відстеження та забезпечення безпеки як для класичних, так і для сучасних контейнеризованих середовищ, а програмний інтерфейс дозволяє отримати інформацію, яка до цього була недоступна. Вбудований статичний аналізатор програм дозволяє виправити більшість складних помилок ще на етапі розробки. Однак інтерфейс містить й певні обмеження з якими довелось зіштовхнулись під час реалізації. Серед них обмежені можливості для зберігання даних між різними викликами eBPF підпрограми, нестабільний API, який може відрізнятись для різних версій ядер, що зумовлено стрімким розвитком технології, однак укладнює підтримку різних версій операційних систем.

Висновки

Технологія eBPF є потужним інструментом для забезпечення безпеки інформаційних систем. Вона надає можливість обробляти та аналізувати події ядра системи та мережі в реальному часі, з контекстною інформацією, що не була доступна до цього. Що дозволяє вчасно реагувати на потенційні загрози безпеки, порівняно з традиційними методами, як реалізація

модулів ядра, eBPF є ефективнішим та більш гнучким інструментом, який дозволяє розгортати нові заходи захисту та реагувати на кіберзагрози значно швидше. Описане рішення можна використовувати за основу для розробки більш комплексних систем визначення атак та для детекції інших варіантів прихованої передачі даних.

Подальшим напрямом досліджень може бути інтеграція eBPF програм з існуючими системами IDS, а також інтеграція існуючих eBPF рішень з Windows. Цікавим також є виявлення підозрілої активності окремих процесів, як то використання RAW сокетів чи певних системних викликів.

Література

1. Jonathan Corbet. Writing your own security module. https://lwn.net/Articles/ 674949, 2016.

2. Guillaume Fournier. Runtime Security Monitoring with eBPF. SSTIC, 2020.

3. Журавчак, Д. Використання EBPF для ідентифікації вірусів-вимагачів, що використовують DNS-запити DGA / Журавчак Даниїл, Кійко Едуард, Дудикевич Валерій // Information Technology and Security. - 2023. - Vol. 11, Iss. 2 (21). - Pp. 166-174

4. eBPF for Windows https://microsoft.github.io/ebpf-for-windows/

5. Marta Rybczynska. Bounded loops in eBPF. https://lwn.net/Articles/794934, 2019.

6. Lorenzo Fontana and David Calavera. Linux Observability with BPF. November 2019.

7. eBPF Linux: How It Works, Use Cases & Best Practices URL: https://www.aquasec.com/ cloud-native-academy/devsecops/ebpf-linux/

8. Spamhause Botnet Threat Update Q2 2023 https://info.spamhaus.com/hubfs/Botnet% 20Reports/2023%20Q2%20Botnet%20Threat%20Update.pdf

9. Reviewing Qakbot loader sequences: https://www.connectwise.com/blog/cybersecurity/ reviewing-qakbot-loader-sequences-part-1

10. Practical Insider Threat Penetration Testing Cases with Scapy https://medium.com/ swlh/practical-insider-threat-penetration-testing-cases-with-scapy-shell-code-and-protocol-evasion- e18d43d50da

11. Covert Channel over ICMP https://www.exploit-db.com/docs/english/18581-covert- channel-over-icmp.pdf

12. Sirine Sayadi, Tarek Abbes, Adel Bouhoula. Detection of Covert Channels Over ICMP Protocol. 2017 IEEE/ACS 14th International Conference on Computer Systems and Applications (AICCSA), Oct 2017, Hammamet, Tunisia. pp.1247-1252, 10.1109/AICCSA.2017.60. hal-02381398

13. Combining System Visibility and Security Using eBPF URL: https://ceur-ws.org/Vol- 2315/paper05.pdf

References

1. Jonathan Corbet. Writing your own security module. https://lwn.net/Articles/ 674949, 2016.

2. Guillaume Fournier. Runtime Security Monitoring with eBPF. SSTIC, 2020.

3. Журавчак, Д. Використання EBPF для ідентифікації вірусів-вимагачів, що використовують DNS-запити DGA / Журавчак Даниїл, Кійко Едуард, Дудикевич Валерій // Information Technology and Security. - 2023. - Vol. 11, Iss. 2 (21). - Pp. 166-174

4. eBPF for Windows https://microsoft.github.io/ebpf-for-windows/

5. Marta Rybczynska. Bounded loops in eBPF. https://lwn.net/Articles/794934, 2019.

6. Lorenzo Fontana and David Calavera. Linux Observability with BPF. November 2019.

8. eBPF Linux: How It Works, Use Cases & Best Practices URL: https://www.aquasec.com/ cloud-native-academy/devsecops/ebpf-linux/

9. Spamhause Botnet Threat Update Q2 2023 https://info.spamhaus.com/hubfs/Botnet% 20Reports/2023%20Q2%20Botnet%20Threat%20Update.pdf

10. Reviewing Qakbot loader sequences: https://www.connectwise.com/blog/cybersecurity/ reviewing-qakbot-loader-sequences-part-1

11. Practical Insider Threat Penetration Testing Cases with Scapy https://medium.com/ swlh/practical-insider-threat-penetration-testing-cases-with-scapy-shell-code-and-protocol-evasion- e18d43d50da

12. Covert Channel over ICMP https://www.exploit-db.com/docs/english/18581-covert- channel-over-icmp.pdf

13. Sirine Sayadi, Tarek Abbes, Adel Bouhoula. Detection of Covert Channels Over ICMP Protocol. 2017 IEEE/ACS 14th International Conference on Computer Systems and Applications (AICCSA), Oct 2017, Hammamet, Tunisia. pp.1247-1252, 10.1109/AICCSA.2017. 60. hal-02381398

14. Combining System Visibility and Security Using eBPF URL: https://ceur-ws.org/Vol- 2315/paper05.pdf

Размещено на Allbest.ru