Anatomie eines containerfähigen Linux-Kernel-Rootkits
2019-04-21, 23:00–23:45, EI 7

Dieser Vortrag gibt Einblick in die Implementierung eines containerfähigen Linux-Kernel-Rootkits.


Linux-Container sind nicht zuletzt seit der Veröffentlichung von Docker sehr beliebt. Deshalb
kann davon ausgegangen werden, dass es in naher Zukunft vermehrt Angriffe auf Container
geben wird. Schafft es ein Angreifer, die Sicherheitsvorkehrungen zu durchbrechen, kann er
ein Rootkit im System platzieren. Dieser Vortrag zeigt, wie ein solches Rootkit im
Detail programmiert sein könnte. Zu Beginn werden Rootkits im allgemeinen erläutert, weiters
wird der Aufbau von Containern, und welche Technologien dabei zum Einsatz kommen, erläutert. Es wird auch ein Einblick in die Funktionsweise von Linux-Kernel-Rootkits gegeben,
um danach, durch die Implementierunge des Rootkits “themaster“, die Anatomie eines containerfähigen Linux-Kernel-Rootkits zu untersuchen. Dabei hat sich herausgestellt, dass bei
bestimmten Funktionen das Verändern von Systemcalls und bei anderen das Verändern von
Dateioperationen im virtuellen Dateisystem besser geeignet ist. Weiters wurden Backdoorfunktionen implementiert, welche zum einen die Privilegien eines Benutzers im Container ausweiten
können und zum anderen einen Ausbruch in Form von Kommandos mit allen Berechtigungen
im globalen System erlauben.