20151106

[USENIX’13] KI-Mon: A Hardware-assisted Event-triggered Monitoring Platform for Mutable Kernel Object 읽기
이 논문에서는 커널 영역 중에서 mutable한 영역을 보호하는 HW based kernel integrity monitor KI-Mon을 제안한다. 이전의 논문인 vigilare에서는 immutable한 영역에 대한 HW based kernel integrity monitor를 제안했었다. KI-Mon을 통해 vigilare의 한계를 극복하고자 한다.
KI-Mon은 크게 세 가지의 목표를 가지고 설계되었다. Safe Execution Environment, Event-triggered Monitoring, Programmability이다. KI-Mon은 monitored system에서 독립적인 별개의 시스템을 monitor로 만듦으로써 safe execution environment를 보장한다. KI-Mon은 event-triggered 방식으로 대상 시스템을 모니터링한다. 대상 시스템의 버스를 지속적으로 감시하며, 쓰기 요청이 발생하는 것을 확인한다. 해당 쓰기 요청이 감시하는 영역에 대한 것인지 확인해 요청을 걸러낸 다음, 올바른 요청인지 white-list 방식으로 검사한다. 이를 KI-Mon에서는 hardware-assisted whitelisting (HAW)라고 명명한다. Whitelisting으로 걸러내지 못한 것은 DMA를 통해 메모리를 읽어 추가적인 검증을 시도한다. 이러한 추가적인 검증에서는 semantic verification이 필요한 경우가 있을 수 있는데, 미리 정의해둔 monitoring rule에 기반해 검증한다.
변경 가능한 커널 객체에 대한 공격을 크게 두 가지로 분류할 수 있다. Control flow components에 대한 공격과 data components에 대한 공격이다. Function pointer를 바꿔치는 공격 등이 control flow components에 대한 공격이고, 프로세스 리스트에서 특정 프로세스를 숨기는 등의 공격이 data components에 대한 공격이다. KI-Mon에서는 control flow components의 방어를 위해 HAW 기반 검증 방식을 사용하고, data components의 방어를 위해 callback 기반 의미 검증 기법을 사용한다.

Advertisements
Tagged with: , , , , , , , , , , , , ,
Posted in 1) Memo

Leave a Reply

Fill in your details below or click an icon to log in:

WordPress.com Logo

You are commenting using your WordPress.com account. Log Out / Change )

Twitter picture

You are commenting using your Twitter account. Log Out / Change )

Facebook photo

You are commenting using your Facebook account. Log Out / Change )

Google+ photo

You are commenting using your Google+ account. Log Out / Change )

Connecting to %s

누적 방문자 수
  • 88,328 hits
%d bloggers like this: