容器逃逸的攻防研究-Container escape in 2021-2021黑客大会.pdf

CONTAINER ESCAPE IN 2021 关于我 l 基础设施安全工程师@蚂蚁集团 l 安全研究与研发 l Linux 内核/虚拟化/容器/底层安全 l HITB, CanSecWest, Syscan360… 目录 l 容器逃逸简介 l 新的容器逃逸方法 l 防御方法 1. 容器逃逸简介 容器简介 l Docker诞生于2013年，OS层的虚拟化技术 l 应用级别的抽象 l 轻量，标准，隔离 Docker简介 l namespaces: 隔离 l cgroups: 资源控制 l UnionFS: 镜像共享与分发 容器安全 l 天下没有免费的午餐：性能vs 安全 l 容器与宿主机弱隔离 l 共享同一个内核 容器逃逸类型 l 容器引擎漏洞 l 不当的权限配置 l 内核漏洞 特权CAP l CAP_SYS_MODULE l CAP_SYS_ADMIN l CAP_DAC_READ_SEARCH 敏感mounts l sysfs/procfs/tracingfs/debugfs Usermode helper程序：概念 l 从Linux 内核发起的程序执行 通过Usermode helper进行逃逸 C: 准备helper程序 C: 将helper写入内核 H: 触发helper被执行 H: helper读取宿主机/etc/shadow H: helper将/etc/shadow 写入容器 C: 读取宿主机/etc/shadow Usermode helper例子 l /proc/sys/kernel/modprobe l /proc/sys/kernel/core_pattern l /sys/kernel/uevent_helper l /sys/fs/cgroup/*/release_agent l /proc/sys/fs/binfmt_misc, 尚无公开exploit 2. 新的容器逃逸方法 通过binfmt_misc进行容器逃逸 binfmt_misc简介 l proc文件系统 l 用户态能够注册可执行文件处理器 l Linux 内核允许任意文件格式执行 binfmt_misc接口 binfmt_misc揭秘: 用法 l 注册: /proc/sys/fs/binfmt_misc/register l 显示: /proc/sys/fs/binfmt_misc/name l 清除: echo -1 /proc/sys/fs/binfmt_misc/name binfmt_misc揭秘: 内核 l 内核中维护着文件类型处理器的链表formats l execve的时候有哪些信誉好的足球投注网站有哪些信誉好的足球投注网站该链表 匹配之后执行load_binary binfmt_misc揭秘: 注册自定义handler l 用户注册的misc_format被插入formats链表头 l 如果有两个handler 匹配 同一个可执行文件, misc_format会被选中 通过binfmt_misc进行容器逃逸 l 可以为ELF/bash/… 注册文件执行处理器 通过binfmt_misc进行容器逃逸: poc1 l 可以为ELF/bash/… 注册文件执行处理器 通过binfmt_misc进行容器逃逸: poc1(继续） l 替换#!/bin/sh开头文件的解释器 通过binfmt_misc进行容器逃逸: poc1 l 替换#!/bin/sh开头文件的解释器 通过binfmt_misc进行容器逃逸: poc2 通过eBPF进行容器逃逸 eBPF简介 l 从1992年的cBPF发展而来 l 最开始用于网络包过滤 l eBPF能够在运行时向内核添加受限的代码 l eBPF之于内核就如JavaScript之于浏览器 l 内核领域发展最快的子系统之一 eBPF典型项目 l 网络策略 l 内核跟踪 l 运行时安全 Cilium bpftrace Falco eBPF架构 eBPF核心概念 l eBPF 程序类型，决定eBPF代码执行时机 l eBPF map, 用于存储数据，内核/用户态通信 l eBPF verifier, 确保eBPF程序不会对内核造成伤害 l eBPF helper, eBPF程序能够使用的库函数 kprobe与eBPF l kprobe, 几乎能够在内