RootKit...
이름은 많이 들어본것 같이 익숙한듯 낯설다.
그리하여, RootKit에 대해 알아보았다.
RootKit
- 특정 시스템을 해킹 한 후 시스템의 제어권을 획득할 목적으로 설치하는 악성 프로그램.
(Post Exploit에 해당한다.)
Rootkit의 성능 지표
1) 원하는 대로 제어권을 획득 할 수 있는지
2) 탐지 되지 않는지
이 조건을 높은 수준으로 충족시키기 위해서는 커널 모드에서 동작하는 RootKit을 작성하여야 한다.
...!
....!
RootKit을 한번 제작해보고 싶어졌다. (아주 간단한 옛날 버전의 리눅스더라도...!)
그래서 나의 프로젝트에 RootKit 제작이 추가되었다.
현재, 학교의 엄청난 과제양과 이미 벌려놓은 수많은 프로젝트들이 있지만,
그래도 정말 하고싶다.! 그래서 시작!!!
(성능좋은) RootKit을 제작하기 위해서는 커널 영역에서 놀 줄 알아야한다.
그러한 의미로 LKM을 공부해보았다.
LKM 입문? 정도다.
LKM은 Loadable Kernel Module 이다.
- 커널영역은 유저영역에서 직접 접근할 수 없다. 커널영역을 사용해야할 때는 system call을 이용하여 커널영역을 사용하게 된다.
- 커널 모듈은 커널에 올라가는 모듈이다. 운영체제 리눅스는 커널 모듈들의 모음이라고 할 수 있다. 다양한 커널모듈들이 있고 각각의 모듈들이 디바이스를 관리하는 역할을 한다. 우리는 LKM을 간단히 만들어 커널영역에 올리는 작업을 해볼 것이다.
그러기 위해 필요한 것이 있다. 바로 linux 헤더이다.
(linux-headers)
먼저 search로 검색을 한 후,
알맞은 운영체제 버전을 선택해서 설치하면 된다.
(설치)
간단한 LKM 을 만들기 위해
hello.c 파일을 작성하였다.
(hello.c)
그 아래 static으로 변수를 만들어 주었다.
주의할 점은 이러한 모듈을 만들 때 전역변수를 함부로 사용하면 안된다. 이유는 이 모듈은 커널에 올라가게 되는데, 전역변수를 사용하게 되면 이곳저곳의 프로세스에 영향을 줄 수 있기 때문이다. 그렇기에 static으로 하여 해당 모듈에서만 영향력있게 만든다. 전역변수를 썼다가 혹여나 다른 프로세스에서 겹치는 변수가 있게 되어 꼬여버릴 수 있기 때문이다.
그 아래 module_param 함수는 변수에 관한 설정을 해주는 것이다. 첫번째는 변수 이름이고, 두번째는 type이다. 여기서는 char pointer 이므로 charp 라고 적어준 것이다. 마지막은 접근 권한이다.
그 아래 init과 exit 함수가 있다. init 함수는 모듈이 올라갈 때 실행되며, exit 함수는 모듈이 해제될 때 실행되는 함수이다. 여기서는 printk를 이용하여 커널 로그에다가 print하는 코드를 넣었다.
맨 마지막에 module_init과 module_exit함수로 init함수와 exit 함수를 지정해준다.
이 파일을 컴파일 하기 위하여 Makefile을 만든다.
(Makefile)
make 를 입력하여 컴파일한다.
(컴파일 완료)
그러면 hello.ko 가 생기게 된다. 이 커널 오브젝트 파일은 모듈인데 이 모듈을 올려보도록 할 것이다.
(커널 모듈 올리기)
올라간 모듈은 lsmod를 통하여 확인 할 수 있다.
(올라간 모듈 확인)
올라간 모듈을 해제하는 법은 rmmod 이다.
(모듈 해제)
커널 로그를 확인해보겠다.
아까 우리가 init과 exit 에 printk를 넣었으니, 모듈이 올라갈 때 내려갈 때 로그가 찍혔을 것이다.
(로그 확인)
이번에는 아까 만든 변수에 값을 넘겨주며 올려보겠다.
(인자 넘기기)
이 올라간 모듈에 대한 정보는 어디있을까?
/sys/module에 들어가본다.
(모듈 확인)
올라간 모듈 hello에 들어가본다.
(모듈 정보)
여기서 우리는 parameters를 확인해 볼 것이다.
(변수 확인)
이 값을 수정할 수 있을까 했더니
(파일 권한)
마지막으로 인자를 넘긴 모듈을 해제해보겠다.
(모듈 해제)
그렇다면 kern.log는?
(커널 로그)
LKM에 대해 간단히 이해를 해보았다.
RootKit을 만들고, 이해하는데 커널영역을 더 공부할 필요가 있을 것 같다.
참조
- http://derekmolloy.ie/writing-a-linux-kernel-module-part-1-introduction/
'Hacking > System Hacking' 카테고리의 다른 글
(RootKit) Simple Rootkit (0) | 2018.04.12 |
---|---|
malloc에서 사용하는 syscall (0) | 2018.02.21 |
System Hacking - jmp (반복문) (0) | 2017.04.19 |
System Hacking - jmp (분기문) (0) | 2017.04.18 |
System Hacking - 어셈블리어(사칙연산) (0) | 2017.04.14 |