唐青昊真实场景下的虚拟逃逸

《唐青昊真实场景下的虚拟逃逸》由会员上传分享，免费在线阅读，更多相关内容在行业资料-天天文库。

1、真实场景下的虚拟机逃逸唐青昊360云安全研究部360MarvelTeam1关于360团队360MARVELTEAM（云安全研究部）聚焦于研究云安全中崭新的攻击面和防御方案。在过去一年中，在虚拟化系统漏洞挖掘工具，真实环境中的虚拟机逃逸工具，虚拟化漏洞防御系统3个方面进行了探索。2目录•qemu漏洞在kvm和xen场景下的利用•docker远程攻击和安全机制绕过•针对漏洞利用程序的防御方案3QEMU漏洞在KVM和XEN场景下的利用4Qemu在目前的云架构中广泛使用Qemu提供了虚拟机的模拟网卡，键盘，磁盘，显示的功能•正在使用的公有云和私有云解决方案大多使用该软件•Qemu软件会直接处理虚拟机的

2、各种操作，连接了虚拟机和宿主机，是云架构中的软肋5Qemu是目前漏洞高发区开源虚拟化系统漏洞分布Qemu软件漏洞危害other•使宿主机拒绝服务27%qemu36%•控制宿主机执行任意命令kvm14%xenkernel•窃取宿主机上其他虚拟机信息23%•可作为跳板，入侵云管理平台Qemu漏洞局限性和对应解决方法•非默认设备漏洞占比例大->使用默认设备漏洞•Qemu进程权限较小->使用提权漏洞6Qemu漏洞利用的整体流程Step1Step2进入虚拟机定位虚拟化系统类型和版本1.网站入侵1.通过虚拟机启劢信息2.服务端软件入侵3.购买云主机2.通过api，如hypercallStep3Step4在

3、漏洞代码中加入载荷执行漏洞利用代码，获取反馈1.Shell反弹2.虚拟机快照窃取3.内网探测7Qemu漏洞利用程序的四个关键阶段1.保存利用前环境2.读取libc中函数地址，填充shellcodeCVE-2016-2538，CVE-2016-37103.劫持执行逻辑，分配内存或者使用未使用的内存，修改内存属性，复制shellcode到目标内存空间，执行shellcodeCVE-2015-7504CVE-2016-37104.还原到利用前状态8Qemu漏洞利用程序的四个关键阶段可被越界读写的内存Lib内存开始越界之后可读写的内存范围9CVE-2016-3710漏洞利用视频10DOCKER的远程攻

4、击和安全机制绕过11containerbreakout原理和关键步骤1.使用linuxkernel提权漏洞进入内核上下文2.获取当前进程taskstruct3.回溯tasklist获取pid=1的taskstruct，复制其关键数据4.切换当前namespace5.打开rootshell，完成breakout12docker安全机制–Seccomp特性及突破全称Securitycomputingmode，是linuxkernelfeature（seccomp-bpf），进程必须按照配置策略过滤系统调用。该特性实现了容器的syscall白名单化，极大减少了如图是部分被排除在白名单之外的系统调用。

5、linuxkernel提权漏洞成功只能使用白名单syscall漏洞才能完成提权。如的几率。cve-2014-0038，使用recvmmsgsyscall。13dockerswarm配置风险•Swarm是docker集群管理工具，接收客户端请求运行容器•错误配置导致监听2375端口•远程攻击者连接主机执行docker命令，包括在容器中执Swarm原理图行命令•最严重的威胁是远程入侵，幵breakout，实现远程命令执行受该风险影响的部分欧美ip列表14完整逃逸视频15虚拟化系统漏洞防御思路16梯度纵深防御用户身份鉴别1.日常数据采集：登陆地址，操作行为2.异常数据报警：异常监听端口，异常地址，异

6、常上传和执行行为虚拟化系统加固1.定期打重要漏洞补丁：kernel补丁，虚拟化系统补丁2.热补丁系统3.删除虚拟机中有关虚拟化系统类型和版本的信息漏洞利用程序阻断系统：1.针对每一个漏洞对应规则的阻断2.针对漏洞利用过程关键阶段和数据的阻断17Q&A18谢谢19