虚拟机逃逸检测初探

Author： asdqwe876
发布时间：March 18, 2022
1457 views
No comments
1466 words
Categories：汇编逆向技术技巧系统运维

0x1 逃逸检测

0x1.1 基础理论

目前主流的虚拟化技术按照其运行状态可以分为以下三种:

lxc/lxd:基于linux内核原生虚拟化技术
docker/chroot:基于文件系统的半虚拟化
vmware/virtualbox/kvm:依赖驱动的虚拟化

虚拟机逃逸检测理论基础:

虚拟机中运行的三环程序不可能也不会触及vmware/vb等虚拟化技术提供的虚拟化驱动接口
虚拟机逃逸大都利用虚拟机驱动,由于aslr等机制必定会导致宿主机内核中出现内存崩溃日志
稳定态虚拟机不可能通过外部介质(usb/http/ftp/...)热加载驱动代码
逃逸成功过后必定会产生文件系统变动
1. 稳定态下宿主机的文件系统应该是固定的
2. 即使是进程后门也会产生非法的pid文件
基于以上理论基础产生出主动检测以及被动检测两种基本的检测方向

0x1.2 主动检测

主动检测指的是宿主机通过现有资源环境主动分析可疑代码,有一定程度上的0day捕获能力,主要分为以下几种检测方式:

虚拟机流量监测:
1. 首先将vm/vb/等虚拟化技术提供的api接口制作成关键字词典
2. 接着在宿主机全局流量匹配,匹配到词典就说明有逃逸的嫌疑
3. 最后如果关键词api的上下文构成一定语法,可以判定为逃逸.
虚拟机文件嗅探:
1. 宿主机可以通过驱动/检查点等技术直接扫描虚拟机中的文件
2. 利用关键字/已公开exp等特征匹配文件
内存检测:
1. 利用shellcode等技术加载的二进制代码在内存中是明文并且是强特征的
2. 宿主机实时/定期扫描虚拟任务的内存区间以匹配强特征
3. 必要时检索所有内存区间

0x1.3 被动监控

被动监控主要分为以下几种方式:

检测虚拟化内核崩溃日志
- 首先监听宿主机的内核以及虚拟化服务崩溃日志
- 当某个虚拟化任务特别是某个虚拟机反复触发崩溃时可以判定为逃逸行为
检测宿主机文件系统变化
- 逃逸成功后有时会通过文件的形式来实现永久后门
- 实时监听/定期扫描宿主机文件的变动就可以捕获到逃逸行为
检测宿主机异常外链
- 稳定态宿主机的外链地址应该是固定的
- 每一个白名单外的外链都可以判定为异常
检测宿主机非法进程
- 稳定态下宿主机的进程树应该是固定的
- 出现非法进程树可以判定为逃逸行为

0x2 检测算法

io监听:

在宿主机上监听文件读写记录
但凡有docker进程读取/root,/etc/,/home等非公开目录就认为是逃逸成功
注意:需要事先采集docker原本会读取哪些目录

文件扫描:

扫描宿主机上的所有文件,检查是否出现反弹shell之类的关键字
出现就可以认为已经被逃逸了

二进制文件监听:

定期对所有二进制文件进行hash比对
系统更新后需要自动刷新hash
二进制文件hash发生异常改变可以认为是逃逸成功

mount监听:

docker逃逸后可能会挂载系统磁盘来窃取数据
监听mount表是否发生异变

Last modification：March 21, 2022

© Reprint prohibited

如果觉得我的文章对你有用，请随意赞赏

Leave a Comment Cancel reply
使用cookie技术保留您的个人信息以便您下次快速评论，继续评论表示您已同意该条款

Comment *

Private comment

Name *

🎲

Email *

Site

虚拟机逃逸检测初探

asdqwe876 • 2022 年 03 月 18 日

<h1>0x1 逃逸检测</h1><h2>0x1.1 基础理论</h2><p>目前主流的虚拟化技术按照其运行状态可以分为以下三种:</p><ol><li>lxc/lxd:基于linux内核原生虚拟化技术</li><li>docker/chroot:基于文件系统的半虚拟化</li><li>vmware/virtualbox/kvm:依赖驱动的虚拟化</li></ol><p>虚拟机逃逸检测理论基础:</p><ol><li>虚拟机中运行的三环程序不可能也不会触及vmware/vb等虚拟化技术提供的虚拟化驱动接口</li><li>虚拟机逃逸大都利用虚拟机驱动,由于aslr等机制必定会导致宿主机内核中出现内存崩溃日志</li><li>稳定态虚拟机不可能通过外部介质(usb/http/ftp/...)热加载驱动代码</li><li><p>逃逸成功过后必定会产生文件系统变动</p><ol><li>稳定态下宿主机的文件系统应该是固定的</li><li>即使是进程后门也会产生非法的pid文件</li></ol></li><li>基于以上理论基础产生出主动检测以及被动检测两种基本的检测方向</li></ol><h2>0x1.2 主动检测</h2><p>主动检测指的是宿主机通过现有资源环境主动分析可疑代码,有一定程度上的0day捕获能力,主要分为以下几种检测方式:</p><ol><li><p>虚拟机流量监测:</p><ol><li>首先将vm/vb/等虚拟化技术提供的api接口制作成关键字词典</li><li>接着在宿主机全局流量匹配,匹配到词典就说明有逃逸的嫌疑</li><li>最后如果关键词api的上下文构成一定语法,可以判定为逃逸.</li></ol></li><li><p>虚拟机文件嗅探:</p><ol><li>宿主机可以通过驱动/检查点等技术直接扫描虚拟机中的文件</li><li>利用关键字/已公开exp等特征匹配文件</li></ol></li><li><p>内存检测:</p><ol><li>利用shellcode等技术加载的二进制代码在内存中是明文并且是强特征的</li><li>宿主机实时/定期扫描虚拟任务的内存区间以匹配强特征</li><li>必要时检索所有内存区间</li></ol></li></ol><h2>0x1.3 被动监控</h2><p>被动监控主要分为以下几种方式:</p><ol><li><p>检测虚拟化内核崩溃日志</p><ul><li>首先监听宿主机的内核以及虚拟化服务崩溃日志</li><li>当某个虚拟化任务特别是某个虚拟机反复触发崩溃时可以判定为逃逸行为</li></ul></li><li><p>检测宿主机文件系统变化</p><ul><li>逃逸成功后有时会通过文件的形式来实现永久后门</li><li>实时监听/定期扫描宿主机文件的变动就可以捕获到逃逸行为</li></ul></li><li><p>检测宿主机异常外链</p><ul><li>稳定态宿主机的外链地址应该是固定的</li><li>每一个白名单外的外链都可以判定为异常</li></ul></li><li><p>检测宿主机非法进程</p><ul><li>稳定态下宿主机的进程树应该是固定的</li><li>出现非法进程树可以判定为逃逸行为</li></ul></li></ol><h1>0x2 检测算法</h1><p>io监听:</p><ol><li>在宿主机上监听文件读写记录</li><li>但凡有docker进程读取<code>/root,/etc/,/home</code>等非公开目录就认为是逃逸成功</li><li>注意:需要事先采集docker原本会读取哪些目录</li></ol><p>文件扫描:</p><ol><li>扫描宿主机上的所有文件,检查是否出现反弹shell之类的关键字</li><li>出现就可以认为已经被逃逸了</li></ol><p>二进制文件监听:</p><ol><li>定期对所有二进制文件进行hash比对</li><li>系统更新后需要自动刷新hash</li><li>二进制文件hash发生异常改变可以认为是逃逸成功</li></ol><p>mount监听:</p><ol><li>docker逃逸后可能会挂载系统磁盘来窃取数据</li><li>监听mount表是否发生异变</li></ol>