20161110

시스템 보안 개론
* HyperSentry와 Copilot은 transient attack을 방어하지 못하는 문제가 있다. Memory snapshot을 기반으로 탐지하기 때문이다.
* KI-Mon은 Vigilare를 확장한 것으로, 변경 가능한 메모리 영역에 대해 kernel integrity를 보장하는 것. Kernel object에 대한 공격이 수행될 수 있다. Kernel object가 mutable하면 공격자가 덮어쓰더라도 방어하기가 쉽지 않다. Rootkit LKM이 들어와도 탐지할 수가 없다. 이를 탐지하려면 memory consistency를 봐야만 한다. Rootkit LKM이 목록에 없으면, 메모리 영역에서도 해당 페이지가 invalidate해야만 한다.
* mutable region에 대한 integrity를 확인하기 위한 기법이 KI-Mon이다. 하드웨어가 화이트리스트에 기반하여 로딩된 kernel의 무결성을 확인한다. 화이트리스팅을 쉽게 할 수 있도록 API interface를 추가했다.
* 모니터링 대상 시스템의 bus traffic을 모두 감시한다. 그리고 이를 VTMU에서 read traffic을 걸러낸다. 그 다음으로 보고자 하는 영역만 추출한다. 이렇게 되면 보고자 하는 영역의 write traffic만 남게 되는데, 이 값이 valid한지 화이트리스트에 기반하여 확인한다. 올바른 값을 미리 걸러내는 역할을 한다. 그리고도 남은 쓰기 연산에 대해 KI-Mon이 검증을 수행한다.
* set of white-list를 어디에 저장해둘 것인가? 삼성에서는 메모리에 값을 두고자 했음. 아니면 register를 사용할 수도 있음.
* windows 10에서는 system call table을 주기적으로 확인함.
* Copilot에서는 hashing을 빠르게 하기 위해, hash accelerator를 붙였음.
* Copilot을 아무리 높은 주기로 해도, 여전히 transient attack의 70%밖에 탐지하지 못함.

Advertisements
Posted in 1) Memo

Leave a Reply

Fill in your details below or click an icon to log in:

WordPress.com Logo

You are commenting using your WordPress.com account. Log Out / Change )

Twitter picture

You are commenting using your Twitter account. Log Out / Change )

Facebook photo

You are commenting using your Facebook account. Log Out / Change )

Google+ photo

You are commenting using your Google+ account. Log Out / Change )

Connecting to %s

누적 방문자 수
  • 93,229 hits
%d bloggers like this: