정보처리학회논문지:컴퓨터 및 통신 시스템 (KIPS Transactions on Computer and Communication Systems)

  • 제3권11호
  • /
  • Pages.427-432
  • /
  • 2014
  • /
  • 2287-5891(pISSN)
  • /
  • 2734-049X(eISSN)
한국정보처리학회 (Korea Information Processing Society)
권호 표지
DOI QR코드

DOI QR Code

리눅스의 비정상 권한 획득 태스크의 탐지방법 연구

A Study for Task Detection Acquiring Abnormal Permission in Linux

  • 투고 : 2014.07.29
  • 심사 : 2014.10.20
  • 발행 : 2014.11.30
PDF 다운로드
⟨ 이전 논문 다음 논문 ⟩

초록

로컬 시스템에 대한 공격은 프로그램의 흐름을 변경하거나, 악의적인 프로그램의 실행을 통해 관리자 권한의 쉘을 획득하는 것을 목적으로 한다. 공격을 통해 쉘을 실행하는 방법은 현재까지도 유효한 방법이며, 공격자는 다양한 형태로 공격을 수행하기 때문에 각각의 취약점을 개선하는 것으로는 대처가 어렵다. 리눅스는 사용자 권한 관리를 위해 로그인 시에 커널이 발급하는 권한의 집합인 자격증명을 할당한다. 자격증명은 커널이 직접 발급 및 관리하고, 커널 외부에서 변경되지 않을 것을 보장한다. 그러나 시스템 공격을 수행하여 관리자 권한을 획득한 사용자는 자격증명 일관성이 유지되지 않는 현상이 발생한다. 본 논문에서는 이러한 자격증명이 불일치한 사용자의 태스크 실행 요청을 분석하여 보안 위협이 발생할 수 있는 사용자와 태스크를 탐지하는 보안 모듈을 제안한다.

The Purpose of local system attacks is to acquire administrator's(root) privilege shell through the execution of the malicious program or change the flow of the program. This acquiring shell through attack is still valid approach method and it is difficult to cope with improving each of vulnerability because the attacker can select various forms of attack. Linux allocate a set of credentials when login, in order to manage user permissions. Credentials were issued and managed by the kernel directly, and also the kernel ensures that any change cannot be occurred outside of kernel. But, user's credentials that acquired root privilege through system attacks occurs a phenomenon that does not remain consistent. In this paper we propose a security module to detect a security threats that may cause to users and tasks by analysis user task execution and inconsistency credentials.

키워드

참고문헌

  1. Johri, Abhai, and Gary L. Luckenbaugh, "Trusted path mechanism for an operating system," U.S. Patent No. 4,918,653, 17 Apr., 1990.
  2. SCARFONE, Karen; MELL, Peter. Guide to intrusion detection and prevention systems(idps). NIST special publication, 2007, 800.2007: 94.
  3. Ozdoganoglu, Hilmi, et al., "SmashGuard: A hardware solution to prevent security attacks on the function return address," Computers, IEEE Transactions on 55.10(2006): 1271-1285. https://doi.org/10.1109/TC.2006.166
  4. RICHARTE, Gerardo, et al. Four different tricks to bypass stackshield and stackguard protection. World Wide Web, http://www1.corest.com/files/files/11/StackGuardPaper.pdf, 2002.
  5. http://www.exploit-db.com/wp-content/themes/exploit/docs/27657.pdf
  6. Cowan, Crispin, et al., "StackGuard: Automatic adaptive detection and prevention of buffer-overflow attacks," Proceedings of the 7th USENIX Security Symposium, Vol. 81, 1998.
  7. Ju-Hyuk Kim, Soo-Hyun Oh, "Detection Mechanism against Code Re-use Attack in Stack region," Journal of the Korea Academia-Industrial cooperation Society, Vol.15 No.5, pp.3121-3131, 2014. https://doi.org/10.5762/KAIS.2014.15.5.3121
  8. TRAN, Minh, et al., On the expressiveness of return-intolibc attacks. In: Recent Advances in Intrusion Detection. Springer Berlin Heidelberg, pp.121-141, 2011.
  9. LETOU, Kopelo; DEVI, Dhruwajita; SINGH, Y. Jayanta. Host-based Intrusion Detection and Prevention System (HIDPS), International Journal of Computer Applications, 69.26: 28-33, 2013.
  10. GOVINDARAJAN, M.; CHANDRASEKARAN, R. M. Intrusion detection using neural based hybrid classification methods, Computer networks, 55.8: 1662-1671, 2011. https://doi.org/10.1016/j.comnet.2010.12.008
  11. http://lwn.net/Articles/262464
  12. https://www.kernel.org/doc/Documentation/security/credentials.txt
  13. http://www.linfo.org/su.html
  14. http://en.wikipedia.org/wiki/System_call
  15. Wright, Chris, et al. "Linux security module framework." Ottawa Linux Symposium. Vol.8032. 2002.
  16. McGrath, R. and W. Akkerman, "Source Forge Strace Project," 2004.