針對KASLR的Linux計(jì)時(shí)攻擊方法

叢 眸，張 平，王 寧

（1.長春理工大學(xué) 計(jì)算機(jī)科學(xué)技術(shù)學(xué)院，長春 130022；2.陸軍裝甲兵學(xué)院 北京 100072；3.公安部第三研究所，北京 100142）

0 概述

計(jì)算機(jī)技術(shù)的迅速發(fā)展在提高人類生產(chǎn)力的同時(shí)也給個(gè)人信息安全帶來挑戰(zhàn)。在計(jì)算機(jī)硬件設(shè)計(jì)上，由于硬件的自身設(shè)計(jì)缺陷而造成的安全問題頗受學(xué)術(shù)界關(guān)注，并且此問題從軟件層面難以徹底解決，從而致使個(gè)人信息泄露。側(cè)信道分析［1］就是一種利用計(jì)算機(jī)物理缺陷的攻擊方法，其通過分析計(jì)算機(jī)元器件泄露的電磁、電流、聲音、時(shí)間等信息來獲取計(jì)算機(jī)的私密信息。這種攻擊方式徹底顛覆了傳統(tǒng)攻擊理念，并且很難對其進(jìn)行防御。

Cache 計(jì)時(shí)攻擊是一種側(cè)信道分析［1］方法。根據(jù)計(jì)算機(jī)存儲(chǔ)系統(tǒng)中多級(jí)層次存儲(chǔ)器的結(jié)構(gòu)，Cache的讀寫速度遠(yuǎn)高于內(nèi)存。設(shè)計(jì)Cache 是為了減少CPU 訪問主存的次數(shù)，從而加快計(jì)算機(jī)的運(yùn)算速度。所有進(jìn)程在運(yùn)行時(shí)都會(huì)使用到Cache，同時(shí)CPU 也會(huì)從Cache 中讀取指令和數(shù)據(jù)進(jìn)行運(yùn)算。雖然進(jìn)程之間相互隔離，但是從硬件的角度分析，不同的進(jìn)程使用同一個(gè)Cache，因此，Cache 存在泄漏進(jìn)程信息的可能。此外，在CPU 中的兩條進(jìn)程，其中一條進(jìn)程能夠通過Cache 泄漏的信息窺探另一條進(jìn)程的數(shù)據(jù)。Cache 計(jì)時(shí)攻擊［2-3］就是利用Cache 信息泄露，通過側(cè)信道分析方式非法獲取其他進(jìn)程數(shù)據(jù)的一種攻擊方式。

側(cè)信道分析是目前信息安全領(lǐng)域最主要的安全威脅之一，如2018年爆發(fā)的處理器A級(jí)漏洞Meltdown（熔斷）［4］和Spectre（幽靈）［5］均對個(gè)人信息安全帶來了極大的挑戰(zhàn)，利用這種攻擊方式不僅對個(gè)人計(jì)算機(jī)造成威脅，同時(shí)還對云服務(wù)商的安全問題提出了新的要求。雖然能以軟件的方式給系統(tǒng)打補(bǔ)丁，但是基于這2 個(gè)漏洞的變種仍然可以實(shí)現(xiàn)攻擊，以打補(bǔ)丁的方式不僅不能完全封堵漏洞，而且還會(huì)損失芯片5%～30%的性能作為代價(jià)。造成這兩個(gè)漏洞的本質(zhì)是利用Cache 這個(gè)共享部件，通過使用Cache 計(jì)時(shí)攻擊來獲取系統(tǒng)內(nèi)核內(nèi)容和其他進(jìn)程信息。

在Linux操作系統(tǒng)中使用內(nèi)核地址空間布局隨機(jī)化（Kernel Address Space Layout Randomization，KASLR）防護(hù)技術(shù)是為了提高系統(tǒng)安全性。在沒有使用KASLR 技術(shù)時(shí)，系統(tǒng)會(huì)把低位的虛擬地址默認(rèn)分配給內(nèi)核的物理地址，在這種情況下，內(nèi)核的存放位置幾乎對攻擊者是透明的。而使用KASLR 技術(shù)將內(nèi)核的物理地址隨機(jī)映射到虛擬地址中，就能保護(hù)內(nèi)核映射情況不被攻擊者知曉，從而提高系統(tǒng)的安全性。在內(nèi)核地址映射到系統(tǒng)虛擬地址的過程中，不可避免地要使用Cache，這就使Cache 計(jì)時(shí)攻擊獲取內(nèi)核地址的偏移位成為可能。文獻(xiàn)［6］利用側(cè)信道分析對分支目標(biāo)緩沖區(qū)（Branch Target Buffer，BTB）進(jìn)行攻擊，突破了KASLR 防護(hù)，獲取了內(nèi)核的地址和受害者進(jìn)程信息。文獻(xiàn)［7］利用側(cè)信道分析對內(nèi)存管理系統(tǒng)進(jìn)行攻擊，繞過KASLR 并獲取系統(tǒng)特權(quán)，證實(shí)了該方法在X86 CPU 實(shí)現(xiàn)的可行性，并且適用于虛擬機(jī)，會(huì)給云服務(wù)帶來安全威脅。文獻(xiàn)［8］利用CPU 預(yù)測執(zhí)行和亂序執(zhí)行的漏洞，使用Cache 計(jì)時(shí)攻擊突破KASLR 防護(hù)并破解密碼算法等私密信息。

本文根據(jù)CPU 在處理數(shù)據(jù)時(shí)會(huì)預(yù)取指令的特點(diǎn)，將數(shù)據(jù)存放在Cache 中，利用Cache 計(jì)時(shí)攻擊對內(nèi)核地址偏移位進(jìn)行探測，獲取內(nèi)核地址的虛擬地址偏移位，從而突破Linux系統(tǒng)的KASLR 技術(shù)防護(hù)，將內(nèi)核地址暴露在普通用戶層面，致使系統(tǒng)處于高風(fēng)險(xiǎn)狀態(tài)。

1 基礎(chǔ)知識(shí)

1.1 Cache 計(jì)時(shí)攻擊原理

計(jì)時(shí)攻擊的原理主要是根據(jù)訪問數(shù)據(jù)時(shí)間的長短，并利用計(jì)算機(jī)硬件設(shè)計(jì)的缺陷來實(shí)現(xiàn)攻擊。Cache 的設(shè)計(jì)目的是為了解決CPU 運(yùn)算速度和內(nèi)存訪問速度不對等的問題，但是Cache 具有共享特性，容易造成線程數(shù)據(jù)泄露［9］。Cache 計(jì)時(shí)信息可分為多種，采集部件容量越小，攻擊準(zhǔn)確度越高。傳統(tǒng)的Cache 計(jì)時(shí)攻擊需要將整個(gè)Cache 清空來采集計(jì)時(shí)信息，容易受到其他進(jìn)程影響，采集的信息噪聲大，導(dǎo)致在分析階段非常困難，攻擊效果較差。之后研究者對Cache 計(jì)時(shí)攻擊提出了多種改進(jìn)方法，如將采集部件由整個(gè)Cache 改進(jìn)為一個(gè)Cache 組，甚至可為一個(gè)Cache 行，使計(jì)時(shí)攻擊采集的計(jì)時(shí)信息更準(zhǔn)確，其他進(jìn)程影響逐漸降低，從而提高攻擊準(zhǔn)確度，并且降低分析階段的難度。例如Evict+Time［10］、Prime+Probe［11］、Flush+Reload［12-14］、Evict+Reload［15-16］、Flush+Flush［17］攻擊模型，只需要清空一個(gè)具體的Cache 組或者一個(gè)Cache 行，而不再需要清空整個(gè)Cache 來采集計(jì)時(shí)信息。2018 年1 月爆出的Intel CPU 設(shè)計(jì)漏洞，主要原因仍在于Cache 泄露的計(jì)時(shí)信息，攻擊者通過改進(jìn)的計(jì)時(shí)攻擊模型對Cache 進(jìn)行攻擊來獲取用戶私密信息。

Cache 計(jì)時(shí)攻擊可分為基于時(shí)序驅(qū)動(dòng)、基于訪問驅(qū)動(dòng)和基于蹤跡驅(qū)動(dòng)［18］的攻擊，本文以基于訪問驅(qū)動(dòng)模型的攻擊為研究對象。模型的實(shí)現(xiàn)需要以下3 點(diǎn)假設(shè)：

1）受害計(jì)算機(jī)中存在攻擊者部署的間諜進(jìn)程（Spy Process）。

2）攻擊者能夠獲取被攻擊進(jìn)程的數(shù)據(jù)在Cache中的映射關(guān)系，并且能夠清除被攻擊進(jìn)程在Cache中的數(shù)據(jù)。

3）攻擊者能夠通過計(jì)時(shí)手段來判斷訪問的數(shù)據(jù)是否在Cache 中。

實(shí)現(xiàn)攻擊的難點(diǎn)在于第3 步，通過計(jì)時(shí)手段來判斷數(shù)據(jù)是否加載到Cache 中，在Intel 處理器中，能夠使用rdtsc 或rdtscp 指令來獲取CPU 時(shí)鐘周期為精度的計(jì)時(shí)。圖1 所示為Intel i7-6700 CPU 中訪問一次Cache 數(shù)據(jù)命中與失效的時(shí)間，從中能夠明顯地區(qū)分訪問命中和失效，Cache 計(jì)時(shí)攻擊就是通過這種時(shí)間的微妙差異來實(shí)現(xiàn)攻擊。

圖1 訪問一次數(shù)據(jù)所需要的時(shí)間Fig.1 Time spent on accessing data once

由于操作系統(tǒng)的其他程序進(jìn)程也需要訪問Cache，在探測內(nèi)核地址的同時(shí)，難以阻止其他程序進(jìn)程訪問攻擊地址，一旦攻擊地址被其他進(jìn)程訪問，攻擊就會(huì)受到干擾，容易對結(jié)果造成影響，因此Cache 計(jì)時(shí)攻擊在分析階段時(shí)，就需要先排除噪聲等影響才能獲取正確的數(shù)據(jù)。

1.2 KALSR 技術(shù)

KASLR 是一種保持計(jì)算機(jī)內(nèi)核地址的隱蔽性以防受到緩沖區(qū)溢出等攻擊的計(jì)算機(jī)安全技術(shù)。如果內(nèi)核地址映射到一個(gè)固定的地址，攻擊者能夠在內(nèi)存中跳轉(zhuǎn)到特定的函數(shù)位置以執(zhí)行非法程序，獲取受害者的私密數(shù)據(jù)。2001 年，KASLR 技術(shù)首次被設(shè)計(jì)實(shí)現(xiàn)，到2002 年10 月，KASLR 技術(shù)被應(yīng)用于Linux 內(nèi)核地址隨機(jī)化實(shí)現(xiàn)過程中，相比于其他實(shí)現(xiàn)方式，KASLR 技術(shù)還提供了更多的熵，能夠增加攻擊者預(yù)測目標(biāo)地址的困難性并阻礙攻擊。

如果沒有使用KASLR 技術(shù)，Kernel image 將會(huì)按照vmlinux 鏈接腳本中的鏈接地址去映射虛擬地址，而使用KASLR 技術(shù)，則會(huì)將Kernel Image 再次映射到虛擬地址中，此次映射將會(huì)按照鏈接地址+offset 的新地址。由于Offset 會(huì)隨著計(jì)算機(jī)的每次開機(jī)而隨機(jī)變化，因此Kernel Image 映射到虛擬地址每次都會(huì)不同，從而實(shí)現(xiàn)內(nèi)核地址隨機(jī)化。

KASLR 技術(shù)能夠有效防止系統(tǒng)內(nèi)核受到攻擊，內(nèi)核負(fù)責(zé)進(jìn)程、內(nèi)存管理、硬件I/O 等操作，沒有root權(quán)限的用戶不會(huì)影響到內(nèi)核程序的正常運(yùn)行，從而能夠確保內(nèi)核運(yùn)行處于一個(gè)安全穩(wěn)定的狀態(tài)。內(nèi)核空間是共享的，如果KASLR 技術(shù)被突破，將直接暴露內(nèi)核地址，使攻擊更為簡單，通過攻擊能夠使普通用戶提權(quán)，監(jiān)控內(nèi)核中運(yùn)行的程序，直接獲取用戶輸入的賬戶、銀行卡號(hào)、手機(jī)號(hào)等秘密信息，并且控制內(nèi)核后還能直接破壞系統(tǒng)的正常運(yùn)行，刪除、更改、破壞用戶重要數(shù)據(jù)，給社會(huì)安全帶來嚴(yán)重的隱患。

1.3 CPU 數(shù)據(jù)預(yù)取

CPU 的發(fā)展給計(jì)算機(jī)帶來了巨大的變革，但硬盤的存儲(chǔ)速度與CPU 處理速度存在巨大的差距，傳統(tǒng)硬盤無法滿足CPU 的處理速度，從而催生Cache存儲(chǔ)，以彌補(bǔ)存儲(chǔ)速度之間的差距［19］。雖然Cache能夠彌補(bǔ)存儲(chǔ)速度之間的差異，但是CPU 訪問數(shù)據(jù)發(fā)生一次Cache 失效也會(huì)帶來巨大的開銷。為提高CPU 的性能，數(shù)據(jù)預(yù)取技術(shù)被提出，其在可能會(huì)發(fā)生Cache 失效之前提前將數(shù)據(jù)加載到Cache 中，以避免發(fā)生Cache 失效，從而提高CPU 性能，并且預(yù)取指令只對數(shù)據(jù)有效，而對指令預(yù)取無效。

Cache 預(yù)取實(shí)現(xiàn)方式可分為硬件實(shí)現(xiàn)和軟件實(shí)現(xiàn)［20］。硬件實(shí)現(xiàn)是通過專門的硬件來監(jiān)控程序正在執(zhí)行的指令或處理的數(shù)據(jù)、預(yù)測程序下步需要的數(shù)據(jù)或指令并提前預(yù)取到處理器中；軟件實(shí)現(xiàn)是利用編譯器對代碼進(jìn)行分析，通過在程序編譯時(shí)往代碼段中插入prefetech 指令，在執(zhí)行過程中以觸發(fā)數(shù)據(jù)或指令預(yù)取操作。軟件實(shí)現(xiàn)的優(yōu)點(diǎn)是不會(huì)阻塞內(nèi)存操作，并且不會(huì)改變CPU 狀態(tài)或?qū)е马撳e(cuò)誤，缺點(diǎn)是預(yù)取指令同樣需要消耗CPU 時(shí)鐘周期。本文主要以預(yù)取數(shù)據(jù)軟件實(shí)現(xiàn)為研究對象，在Intel 處理器中，軟件實(shí)現(xiàn)的預(yù)取指令主要有prefetcht0、prefetcht1、prefetcht2、prefetchnta 和prefetchw，這5 種預(yù)取指令的特性如表1 所示。

表1 預(yù)取指令的特性Table 1 The characteristics of prefetch instructions

一旦數(shù)據(jù)被預(yù)取到Cache 中，就能夠避免發(fā)生Cache 失效，從而提高CPU 的性能，但另一方面，內(nèi)核地址映射預(yù)取到Cache 中，能夠通過計(jì)時(shí)攻擊得到內(nèi)核地址映射的offset，從而可以更容易地觸發(fā)其他類型的攻擊。

2 本文攻擊方法的原理與實(shí)現(xiàn)

2.1 攻擊原理

與Flush+Reload 攻擊模型不同，本文使用的Cache 計(jì)時(shí)攻擊不需要重新加載數(shù)據(jù)和監(jiān)控其他進(jìn)程的信息，并且不需要任何特權(quán)，而只需要簡單地從Cache 中驅(qū)逐指定虛擬地址的數(shù)據(jù)，然后再次計(jì)算預(yù)取該地址數(shù)據(jù)的時(shí)間。如圖2（a）所示，普通程序分配的虛擬地址數(shù)據(jù)被加載到Cache 中，同樣地，隨機(jī)化的內(nèi)核地址數(shù)據(jù)也被加載到Cache 中。由于沒有root 權(quán)限，使用簡單的匯編指令沒有權(quán)限將內(nèi)核地址數(shù)據(jù)從Cache 中驅(qū)逐。本文方法利用這一點(diǎn)對KASLR 技術(shù)的內(nèi)核起始位置進(jìn)行探測，如圖2（b）所示。當(dāng)能夠明確無法驅(qū)逐內(nèi)核地址數(shù)據(jù)時(shí)，表明內(nèi)核地址數(shù)據(jù)依然存在于Cache 中，如圖2（c）所示。再次預(yù)取指定數(shù)據(jù)時(shí)，通過使用rdtsc 或rdtscp 指令對預(yù)取數(shù)據(jù)進(jìn)行計(jì)時(shí)，得到預(yù)取數(shù)據(jù)所消耗的時(shí)間，對所消耗的時(shí)間進(jìn)行分析，則能得到內(nèi)核地址的起始地址。

圖2 本文Cache 計(jì)時(shí)攻擊模型Fig.2 The proposed Cache timing attack model

2.2 方法實(shí)現(xiàn)

筆者通過對Intel手冊進(jìn)行分析發(fā)現(xiàn)，在Intel CPU中，預(yù)取“未映射到物理頁面的地址”會(huì)導(dǎo)致不確定的性能損失。對此，可以利用預(yù)取指令時(shí)所需要的時(shí)間消耗來探測內(nèi)核映射的起始地址，使得Cache計(jì)時(shí)攻擊成為可能。

首先將指定地址數(shù)據(jù)從Cache 中驅(qū)逐，保證再次預(yù)取普通程序數(shù)據(jù)時(shí)，該數(shù)據(jù)是未緩存到Cache中的，然后使用rdtscp 指令對預(yù)取數(shù)據(jù)進(jìn)行計(jì)時(shí)。本文方法中預(yù)取指令使用prefetcht2，因?yàn)樵贗ntel CPU多級(jí)Cache 存儲(chǔ)結(jié)構(gòu)中，只需要使用prefetcht2 指令將數(shù)據(jù)預(yù)取到L3 Cache 中就能達(dá)到攻擊效果，不會(huì)對Cache 造成污染，同時(shí)能夠提高攻擊效率。攻擊Linux 內(nèi)核地址的步驟如下：

步驟1將數(shù)據(jù)從Cache 中驅(qū)逐。

步驟2觸發(fā)prefetch2 指令并計(jì)算指令消耗周期。

步驟3使用rdtscp指令計(jì)算預(yù)取每一行地址數(shù)據(jù)的時(shí)間消耗。

對于開啟KASLR 防護(hù)的Linux 操作系統(tǒng)，無法猜測內(nèi)核的起始地址，只有通過遍歷內(nèi)存地址來探測每一個(gè)可能的起始地址。一個(gè)Cache 行的大小為64 Byte，在攻擊過程中，傳入地址的遞增梯度為64 Byte，然后依次循環(huán)探測地址，直到找到內(nèi)核地址偏移位為止。攻擊過程中需要探測每一個(gè)內(nèi)存地址，如果按照64 Byte 的遞增梯度，攻擊的精度能精確到Cache 行，但是這種方式將會(huì)消耗大量的時(shí)間，在分析prefetcht2 預(yù)取指令時(shí)，預(yù)取指令預(yù)取數(shù)據(jù)時(shí)可以只加載一個(gè)Cache 行，也可以設(shè)置加載一個(gè)內(nèi)存頁到Cache 中，并且KASLR 在映射內(nèi)核地址時(shí)會(huì)4K 對齊。在攻擊實(shí)現(xiàn)時(shí)，本文將預(yù)取數(shù)據(jù)的大小設(shè)置為一個(gè)內(nèi)存頁，如果梯度仍設(shè)為64 Byte，在一個(gè)內(nèi)存頁的范圍內(nèi)預(yù)取數(shù)據(jù)消耗的時(shí)間都會(huì)很短，從而造成不必要的地址探測。鑒于此，攻擊實(shí)現(xiàn)以一個(gè)內(nèi)存頁大小為遞增梯度，以加快探測內(nèi)核地址偏移位的速度，在Linux 操作系統(tǒng)中，默認(rèn)的內(nèi)存頁大小為4 KB，一個(gè)內(nèi)存頁的數(shù)據(jù)需要64 個(gè)Cache 行來存儲(chǔ)，使用內(nèi)存頁作為遞增梯度不僅不會(huì)影響計(jì)時(shí)攻擊的準(zhǔn)確率，而且能夠大幅提高攻擊的效率。

攻擊實(shí)現(xiàn)在普通用戶環(huán)境下實(shí)現(xiàn)，在遍歷的一個(gè)地址時(shí)，由于普通用戶權(quán)限受限問題，無法從Cache中驅(qū)逐Linux系統(tǒng)內(nèi)核的數(shù)據(jù)，但是可以正常驅(qū)逐其他程序的數(shù)據(jù)，因此，攻擊的實(shí)現(xiàn)不會(huì)受到用戶權(quán)限的影響。在預(yù)取數(shù)據(jù)時(shí)，其他程序地址數(shù)據(jù)預(yù)取時(shí)消耗CPU 周期較長，預(yù)取內(nèi)核地址數(shù)據(jù)時(shí)較短，如果探測到內(nèi)核地址的偏移位，預(yù)取數(shù)據(jù)消耗周期會(huì)出現(xiàn)跳躍并且會(huì)連續(xù)一段地址，然后通過分析消耗時(shí)間的差異以確定內(nèi)核數(shù)據(jù)映射的起始位置。

獲取內(nèi)核地址后，能夠更使緩存溢出、旁路攻擊、提權(quán)等攻擊方式更容易實(shí)現(xiàn)。在提供prefetch2指令的Intel CPU 中，這種攻擊很容易實(shí)現(xiàn)，盡管攻擊的效率不高，但是能夠準(zhǔn)確獲取內(nèi)核地址，并且受影響的范圍廣。針對這種攻擊方式，可設(shè)計(jì)相應(yīng)的對抗方法，如利用控制精確計(jì)時(shí)、使用權(quán)限、監(jiān)控Cache 驅(qū)逐率等方式來阻止攻擊。

3 實(shí)驗(yàn)與結(jié)果分析

通過攻擊實(shí)驗(yàn)來驗(yàn)證本文方法的有效性。利用計(jì)時(shí)攻擊來獲取內(nèi)核地址的偏移位，為驗(yàn)證計(jì)時(shí)攻擊的可行性，在同一硬件環(huán)境下對開啟KASLR 和未開啟KASLR 的Linux 操作系統(tǒng)進(jìn)行測試，并在不同硬件環(huán)境下的計(jì)算機(jī)中進(jìn)行攻擊測試，以驗(yàn)證計(jì)時(shí)攻擊的普適性。攻擊實(shí)驗(yàn)計(jì)算機(jī)硬件環(huán)境CPU為Intel i7-4720HQ和Intel i7-6700，兩臺(tái)計(jì)算機(jī)的CPU 都是4 核8 線程，且L3 Cache 大小分別為6 MB 和8 MB；實(shí)驗(yàn)環(huán)境內(nèi)存為4 GB，攻擊目標(biāo)為Ubuntu 16.04 版本，計(jì)時(shí)攻擊的實(shí)現(xiàn)在普通用戶權(quán)限下進(jìn)行。

在實(shí)際環(huán)境中，無法確認(rèn)內(nèi)核地址偏移位的大概位置，攻擊時(shí)采用暴力遍歷法，通過遍歷每個(gè)地址來判斷內(nèi)核地址的偏移位。攻擊第一步需要將傳入的探測地址中的數(shù)據(jù)清除掉，使用clflush 指令將傳入的地址從Cache 中驅(qū)逐，由于遞增地址為4 KB，因此每次驅(qū)逐數(shù)據(jù)時(shí)需要驅(qū)逐以傳入地址為起始地址的一個(gè)內(nèi)存頁大小。

在未開啟KASLR 防護(hù)的Ubuntu 操作系統(tǒng)中，內(nèi)核映射的起始位置為0x00000000，在32 位操作系統(tǒng)中，前1 GB 大小虛擬地址空間的內(nèi)存預(yù)留給內(nèi)核，剩下的地址空間用戶使用。攻擊起始地址為0x00000000。如圖3 所示，每一行數(shù)據(jù)表示一個(gè)虛擬內(nèi)存地址，每一列數(shù)據(jù)表示一次預(yù)取數(shù)據(jù)消耗的CPU 時(shí)鐘周期。每一個(gè)地址探測實(shí)驗(yàn)進(jìn)行12 次，結(jié)果如圖3 中各列所示。從地址0xc0000000 開始，后續(xù)的地址數(shù)據(jù)預(yù)取時(shí)所消耗的周期明顯增加，由此可以推測0xc0000000 為內(nèi)核映射的尾地址，與真實(shí)情況下的內(nèi)核地址映射是一致的。實(shí)驗(yàn)結(jié)果表明，對于沒有開啟KASLR 防護(hù)的Linux 操作系統(tǒng)，計(jì)時(shí)攻擊能夠準(zhǔn)確探測內(nèi)核地址。

圖3 針對未開啟KASLR 防護(hù)系統(tǒng)的攻擊結(jié)果Fig.3 Attack result for Linux system without KASLR protection

在開啟KASLR 防護(hù)的Ubuntu 操作系統(tǒng)中，驗(yàn)證計(jì)時(shí)攻擊探測內(nèi)核地址的可能性。實(shí)驗(yàn)環(huán)境與在攻擊未開啟KASLR 防護(hù)的環(huán)境保持不變，攻擊起始地址為0x00000000，遞增梯度為4 KB。圖4 為計(jì)時(shí)攻擊發(fā)現(xiàn)內(nèi)核地址映射偏移位的部分截圖，在攻擊地址0x1c000000 時(shí)，數(shù)據(jù)預(yù)取時(shí)間周期明顯縮短，并且預(yù)取連續(xù)地址消耗的時(shí)鐘周期很短，因此，推測內(nèi)核映射的offset 為0x1c000000。

圖4 針對開啟KASLR 防護(hù)系統(tǒng)的攻擊結(jié)果Fig.4 Attack result for Linux system with KASLR protection

為驗(yàn)證計(jì)時(shí)攻擊的可靠和普適性，在其他CPU中重復(fù)進(jìn)行上述實(shí)驗(yàn)，探測出不同環(huán)境下的內(nèi)核地址映射的偏移位。因?yàn)殚_啟KASLR 技術(shù)的操作系統(tǒng)在每一次開機(jī)都會(huì)重新映射內(nèi)核，偏移位會(huì)發(fā)生變化，因此將同一臺(tái)機(jī)器在兩次開機(jī)情況下進(jìn)行，比較內(nèi)核映射偏移位的區(qū)別。如表2 所示，對不同CPU 中進(jìn)行攻擊，每臺(tái)機(jī)器都進(jìn)行兩次實(shí)驗(yàn)，并且兩次獲取的內(nèi)核映射偏移位都不同，經(jīng)過多次實(shí)驗(yàn)獲取內(nèi)核地址偏移位，并在操作系統(tǒng)的root 環(huán)境下獲取內(nèi)核地址偏移位進(jìn)行比對。結(jié)果表明，計(jì)時(shí)攻擊探測出Ubuntu 16.04系統(tǒng)內(nèi)核地址映射偏移位的成功率為100%。

表2 在不同CPU 設(shè)備下的攻擊結(jié)果Table 2 Attack results under different CPU devices

4 結(jié)束語

在使用KASLR 防護(hù)技術(shù)的Linux系統(tǒng)中，雖然內(nèi)核地址能夠得到有效防護(hù)，但存在CPU 預(yù)取指令會(huì)泄露計(jì)時(shí)信息的不足。本文利用這一漏洞，設(shè)計(jì)一種計(jì)時(shí)攻擊方法來獲取Linux 內(nèi)核映射地址。實(shí)驗(yàn)結(jié)果表明，本文攻擊方法能夠準(zhǔn)確獲取內(nèi)核映射偏移位，并且可在不同CPU 設(shè)備中實(shí)現(xiàn)。因?yàn)镃ache 作為所有進(jìn)程共享的部件，所以計(jì)時(shí)攻擊方式能夠突破虛擬機(jī)之間的隔離，達(dá)到窺探其他主機(jī)內(nèi)核數(shù)據(jù)的目的，對云服務(wù)商造成嚴(yán)重威脅。本文攻擊實(shí)現(xiàn)需要遍歷探測內(nèi)存地址，效率較低，下一步將分析CPU 亂序執(zhí)行和預(yù)執(zhí)行的特性，對計(jì)時(shí)攻擊模型進(jìn)行改進(jìn)，以提高攻擊效率。同時(shí)針對這種攻擊方式提出相應(yīng)的安全解決方案，以確保信息安全。