看雪编辑按:事物总是不断向前发展的,Windows系统演变同样如是。在 Windows
10系统中,微软引入了许多新的特性和功能,而每一次内核结构调整对研究者来说都是新的挑战,同时也充满了机遇。就内核漏洞,除了早已千疮百孔的
Win32k 外,能走的路还有很多。此次议题是由上海高重信息科技陆麟带来的有关 WSL(Windows Subsystem for
Linux)的安全研究,其中涉及的内容很是有料,例如与大小写敏感相关的 0day 等,为此微软刚在前几天释出 Windows 10 build
17046 新版本用于修复 WSL 组件中的一些 bug。相信各位都能从中得到启发,另外,演讲者对于技术的热爱可谓溢于言表,谈笑间也尽显
Windows 内核大师风采。
以下内容为陆麟演讲实录,由看雪学院(微信公众号:ikanxue)整理。
陆麟
陆麟,中国最老的十大黑客之一,Windows系统内核专家!原NEC中科院软件研究所专家。现任上海高重信息科技有限公司CIO。长期研究系统内核。多年耕耘信息安全领域。
陆麟:感谢大家的捧场。今天的议题之前大家都看到了很多之前冒出来的洞,还有一些是大家历史上已经总结出来很多经验,如何对付黑产、灰产。现在我是临危授命要一些活着的东西给大家看看,之前已经爆料过了,据我所知是没有的,目前为止也没有任何解决方案,大家可以先看一下。这是之前我们通过使用Windows的Linux子系统,顺便看到的一些成果。当我们装完一个Windows
subsystem for
Linux以后我们得来的一些额外能力,额外能力的几个关键点是在于我们可以直接在Windows下直接执行的Linux的应用了,除了有这样一个改变以外,Linux系统是文件系统是大小写是敏感的,为了支持这个系统暴露了一些毛病。
现在可以看一下,右边的窗很典型,大家也已经看到了,是Linux系统典型的输出,我们其中有同样文件名的两个东西存在,一个叫A,一个文件是a,四个字节我们在里面看一下到底是什么内容。两个文件的内容区别在于大小写。左边的黑框是我们平常的Cmd框,也是可以看到两个不同A的文件存在,我们用一个Windows
可以看内容的Linux来看一下。我们突然发现这两边显示的内容对不上号了,无论我想尝试打开哪一个叫A的文件,它显示的内容都是大写的A,而大写的A是我们刚才所看到的Linux系统下面大写的A,这样一个小小的地方了其实暴露了一堆的问题,我们至少可以看到两样。首先,打开文件可能看到的内容是错的,Windows
文件读错了就算了,后面还有其他的错误,这个错误在哪边?大家可以看到输出的内容也错了。4字节的内容显示了8个字节。
[略去python演示内容]无论执行哪一个脚本,出来的都是A.py。像这样的漏洞是非常全局性的,[删除部分文字略去原因]。带来的后果,很可能相当长的时间内都没有办法修复,我们接下来就开始回到正题了,我要开始我的演讲了。
Windows下跑Linux应用的发展变迁 我的名字叫做陆麟,我现在是在上海高重信息科技有限公司CIO,是这个公司联合创始人之一,我们这个公司也是专注于攻防信息安全这一块的。我们这个课题讲的东西是什么,另外一个角度看待我们的主机安全攻防。
Windows下跑的Linux应用,它本身不是第一天了,从Windows2003的时代就已经开始要打这个主意了,让原先Unix的系统全部跑起来了,当时没有一个模式使得操作系统可以执行Unix下的可执行文件,当时采取了一些变通的方式,那个变通的方式是什么,叫做posix子系统。到windows
2003,SFU提供了一大堆工具集,还能跑Gcc,Gcc编出来的东西是Windows的,不是Unix的。再往后演化就变为的一个SUA的系统,它适用的范围是vista-win7,它也是独立的文件包,到了Windows10开始,一本正经微软开始支持直接跑Unix的应用,大家认为还是比较好用的,带来了很大的便利。
Windows
7下的SUA是怎么一回事?直接就是操作系统内置的安装里面了,装好一下我们可以看到黑色的图,最终的效果是安装完毕,所有的组建都是在Windows目录下有一个SUA的目录,可执行文件还是MZ的格式,通过一个特定目录可以访问到C盘的数据,而且还可以执行大小写。
到了Windows10之后演化出来的东西到底如何装起来,【演示】把这个模式先打开,适用于Unix的Windows子系统,通过开发人员模式就可以把这个系统安上。基本上这个功能覆盖度相当齐全了,大部分的功能都可以用。
安装完以后对Unix的应用其实还是有一些革命性的转变。装在哪边?首先是用户的目录下。多出来一个子目录叫做LXSS,通过操作系统可以装出来的Linux是Ubuntu。在Windows应用商店能下载安装suse。大家都可以下载。
安装的OS部件不重要,因为机制都一样的,怎么跑都会出毛病,它不是Linux出毛病,而是这些特性给整个操作系统带来一些问题。这样ELF的程序直接可以在Windows上执行。
除了能直接执行ELF文件,Linux子系统把Proc FS也实现了。微软做了相当大的努力进行兼容。默认情况下,子系统把C盘以及D盘也mount好了。【演示】所有目录上面显示了,mount point是在mnt的目录下。
这一系列的背景其实都是非常管用,在将来漏洞利用的整个攻击链中,这一些背景知识是逃不掉的,哪里找C盘,哪里找D盘,改写哪些程序和哪些配置,需要自己要动脑筋的。
这个系统我顺便跟大家报告一下,大家看到的有问题的系统,是九月份微软发布的Windows10最新版本(秋季创新者版),补丁也一直打到11月份,就是说处于所有补丁都齐全的状态。目前为止还是有缺陷。之前的几个版本WSL网络毛病比较多一点,今年三月份升级完了以后的系统,基本上整体可运行性非常好了,要想找出来毛病大家还是可有机会的。今天披露问题时考虑到大会上听众水平不一,咱们如果列一大堆的代码大家可能看起来比较头大,通过几个命令的执行就直接看到后果的话效果会好一点。
WSL漏洞的成因
为什么会出这些问题?就需要反过来考察子系统本身到底是怎么一回事,怎么带进来的?曾经微软做的操作系统的子系统叫OS/2,以及POSIX。兼容非windows的子系统一直都有,但当时一直无法回避需要源代码编译到windows下跑的毛病。后来可能还是因为linux的可执行程序数量太大了,最终走上ELF可执行这条路是免不掉的,为了支持这么一件事情,Windows的内核进行了非常大的改造,每一轮的大改造就成了大家的机会。如果是做攻防目前这一块机会比较多。
为了实现ELF文件的直接执行,除了利用现存OS功能,需要改造以及实现一大批新的操作系内核功能。我们可看到新的模块名字叫做Pico
Provider,从图上我们可看到微软已经基本上把Vfs和Sys以及Dve等关键组件都实现了出来。这张图是微软自己披露的,系统结构的框图。
做安全,需要考虑攻击方会有哪些手法,而做防守会有哪些方面工具和能力。当能力到达一定条件下就能料敌先机。现在新的系统产生出来给现有安全机制带来很多方面的影响。有一个角度是安全软件没有办法监视系统的进程派生关系,系统进程派生关系是很多安全软件核心观察角度,比如说我们用了很多的漏洞技术,最终也就是执行一个什么东西。比如在浏览器下面跑个马,当一个不该跑的东西出来瞬间我们已经知道异常。
因此wsl对于大家原先派生关系的整个监控机制产生的挑战,按照原先的写法无法实时看到wsl下的进程派生关系。当然微软也发现了这个问题,提出了新的API接口,大家不去使用新的api,就没有办法观察到新wsl的进程关系。
网络监控这一块功能我们很明确的说,下一版本的Windows甚至是内部版本的时候,有一大堆的网络安全的软件会有相当一部分的功能受损,损在哪里?监视网络如果要用到TDI这个接口就不行。后续OS升级要把TDI都bypass掉,这样以来,借助TDI接口监控的安全软件就会损失功能。整个过程会有相当长的时间窗口出现。
回头来讲我们做杀毒软件,有很大的局限,大部分只能看到PE文件,现在又多了一个ELF格式。脚本也认不出来,刚刚一位讲师讲的Flash恶意软件也认不出来。
在操作系统在自身演变的过程当中带来了不少能导致崩溃的问题。甚至像原子操作也有带来崩溃的,我们没有看这些崩溃有无可能利用,如果能利用那漏洞就是内核级的。蓝屏最底线就是DoS。
刚刚讲到的新出来的接口在红框上给大家新标出来【略去部分演讲说明】。
这里比较有趣的挑战是什么?比如说一个进程跑出来我要知道他是什么进程,Windows很简单,有一个可执行文件就在那边了,直接就拿出来了。
但是传统的linux以及Unix不同【略去机制说明】如果改造一下执行模式,我们看到1和2,这个时候还是可以看到原来的程序在执行的,在这个过程当中留了一堆的事情,再就是EXEC一个新的可执行程序,pid不变,一个pid一会儿是A,一会儿是B,杀毒软件会头大,到底是什么东西搞出来的鬼,给大家形成一个判断上的挑战。
【略去部分说明】,我们可以预见相当长的时间,这个形势会愈演愈烈。现在利用工具大家还比较少见,将来会出来一大批。这个特性影响波及面实在太广了,只要是Windows的应用都受到影响。【略去部分说明】。这个里面还带来了一个特别有趣的东西,我把红圈出来了,刚刚没有仔细跟大家讲。我们实际的文件内容是AAA,再加一个换行,一共四个字。Windows里面冒出来了变了两行,给大家再仔细看看。A是在这边的这个框,小写a的这个文件内容有三个小写的a,文件名大写的A内容是大写的三个A文件,我们如果在Windows的下用type命令看我们发现有六个字冒出来,一个长度4字节的文件,type出来变成8个字节。【略去部分演讲内容】
演示的内容大致上就是这些,通过今天的课题,应该给大家一些比较有趣的启发,知道了接下来的路在哪里。如果是渗透团队机会在哪一边,防御团队知道自己缺陷在哪里,有相当多的路可以走,希望可以给大家一些启示,有什么问题可以会后交流。
谢谢。
附件为本次演讲PPT
[培训]内核驱动高级班,冲击BAT一流互联网大厂工作,每周日13:00-18:00直播授课
上传的附件: