DOI QR코드

DOI QR Code

A Method of Detecting Real-Time Elevation of Privilege Security Module Using User Credentials

자격증명을 이용한 실시간 권한 상승 탐지 보안 모듈

  • 심철준 (건국대학교 컴퓨터.정보통신공학과) ;
  • 김원일 (마크애니 DRM 사업부) ;
  • 김현정 (건국대학교 상허교양대학) ;
  • 이창훈 (건국대학교 컴퓨터.정보통신공학과)
  • Received : 2017.01.23
  • Accepted : 2017.03.28
  • Published : 2017.05.31

Abstract

In a Linux system, a user with malicious intent can acquire administrator privileges through attack types that execute shells, and can leak important user information and install backdoor program. In order to solve this problem, the existing method is to analyze the causes of the elevation of privilege, fix the problems, and then patch the system. Recently, a method of detecting an illegal elevated tasks in which information inconsistency occurs through user credentials in real time has been studied. However, since this credential method uses uid and gid, illegal elevated tasks having the root credentials may not be detected. In this paper, we propose a security module that stores shell commands and paths executed with regular privileges in a table and compares them with every file accesses (open, close, read, write) that are executed to solve the case which cannot detect illegal elevated tasks have same credential.

리눅스 시스템에서 악의적인 목적을 가진 사용자는 쉘을 수행하는 공격 유형들을 통해 관리자 권한을 획득하여 백도어 설치 및 사용자들의 중요한 정보 등을 유출 시킬 수 있다. 이러한 문제점을 해결하기 위한 기존 방법은 권한상승원인을 분석하여 문제점을 수정한 후에 패치하는 방식을 사용하였다. 최근에는 사용자 자격증명을 이용하여 실시간으로 사용자 자격증명과 태스크 실행시 발생시키는 특징을 통해 정보의 불일치가 발생하는 태스크를 탐지하는 방법이 연구되고 있다. 그러나 이러한 자격증명 방법은 단순히 uid, gid를 이용하기 때문에 자격증명의 동일한 값을 가지는 공격유형은 탐지를 못하는 경우가 발생한다. 본 논문에서는 자격증명을 이용한 탐지 방법에서 탐지를 못하는 경우를 해결하기 위해 비정상적인 권한획득 정보보다 적은 정상적인 권한 획득 정보(자격증명) 및 권한을 획득할 수 있는 shell 명령어와 path등을 Table에 저장하여 관리하고 파일(open, close, read, write)접근마다 실시간으로 Table에 있는 정상적인 권한 정보와 비교하여 탐지하는 보안 모듈을 제안한다.

Keywords

References

  1. Kim Won-il, Yoo Sang-Hyun, Kwak Ju-Hyun, and Lee Chang_hoon, "A Study for Task Decetion Acquiring Abnormal Permission in Linux," KIPS, Vol.3, No.11, pp.427-432, 2014.
  2. A. Johri and G. L. Luckenbaugh, "Trusted path mechanism for an operating system," U.S. Patent, No.4,918,653, 1990.
  3. M. Tran et al., "On the expressiveness of return-into-libc attacks," in International Workshop on Recent Advances in Intrusion Detection, Springer Berlin Heidelberg, pp.121-141, 2011.
  4. C. Cowan et al., "StackGuard : Automatic adaptive detection and prevention of buffer-overflow attacks," Proceedings of the 7th USENIX Security Symposium, Vol.81, 1998.
  5. One Aleph, "Smashing the stack for fun and profit," Phrack Magazine, Vol.7, No.49, pp.14-16, 1996.
  6. Jeong Min Lee, Hyun Wook Kim, and Woo Hyun Ahn, "BinaryReviser: A Study of Detecting Buffer Overflow Vulnerabilities Using Binary Code Patching," Korea computer congress, Vol.38, No.1, pp.122-125, 2011.
  7. Ruwase Olatunji and Monica S. Lam, "A Practical Dynamic Buffer Overflow Detector," NDDS, 2004.
  8. Kim Ju-Hyuk and Oh Soo-Hyun, "Detection in Stack region," Journal of the Korea Academia-Industrial Cooperation Society, Vol.15, No.5, pp.3132-3131, 2014. https://doi.org/10.5762/KAIS.2014.15.5.3132
  9. Pax Team, "address space layout randomization(ASLR)" [Internet], htte://pax.grsecurity.net/docs/aslr.txt.
  10. Hilmi Ozdoganoglu, et al., "SmashGuard: A hardware solution to prevent security attacks on the function return address," IEEE Transactions on Computers, Vol.55, No.10, pp.1271-1285, 2006. https://doi.org/10.1109/TC.2006.166
  11. Mark G. Graff and Kenneth R. van Wyk, "Secure coding: principles and practices," O'Reilly Media. Inc., 2003.
  12. Common Weakness Enumeration [Internet], http://cwe.mitre.org/ (2014. 10. 29.).
  13. Vendicator. Stack Shield, "A stack smashing technique protection tool for Linux," [Internet], http://www.angelfire.com/sk/stackshield/info.html (2000).
  14. Etoh. Hiroaki, "GCC extension for protecting applications from stack-smashing attacks (propolice)" [Internet], http://www.trl.ibm.com/projects/security/ssp (2003).
  15. Common Vulnerabilities and Exposures [Internet], http://cve.mitre.org/ (2014. 10. 29).
  16. CREDENTIALS IN LINUX [Internet], http://www.kernel.org/doc/Documentation/security/credentials.txt.
  17. The su Command [Internet], http://www.linfo.org/su.html.
  18. The Linux Information Project, "User ID Definition" [Internet], http://www.linfo.org/uid.html (2014. 10. 1).