eBPF在文件系统安全中的实战: 如何揪出恶意软件的读写行径？

eBPF：文件系统安全的“秘密武器”

各位安全大佬、系统管理员，大家好！今天咱们不聊虚的，直接上干货，聊聊如何用eBPF这把瑞士军刀，在Linux内核里“抓现行”，揪出那些偷偷摸摸读写文件的恶意软件。

为什么是eBPF？

传统的入侵检测系统（IDS）和安全信息与事件管理（SIEM）方案，往往依赖于收集日志、分析流量等“事后诸葛亮”式的手段。而eBPF则不同，它允许你在内核中动态地注入代码，实时监控系统行为，做到“防患于未然”。

想象一下，你可以在文件被访问的那一刻，就拿到进程ID、用户名、文件路径等关键信息，这对于恶意软件分析来说，简直是开了上帝视角！

eBPF如何“监听”文件操作？

eBPF的核心在于“探针”（Probe），它可以挂载到内核的各种事件点上，比如系统调用（syscall）、函数入口/出口等。对于文件系统监控，我们主要关注以下几个关键的系统调用：

• open()/openat(): 文件打开
• read()/pread(): 文件读取
• write()/pwrite(): 文件写入
• unlink()/unlinkat(): 文件删除
• rename()/renameat(): 文件重命名
• execve()/execveat(): 程序执行

通过在这些系统调用上挂载eBPF探针，我们就可以捕获到所有与文件操作相关的事件。当然，直接监控这些底层调用会产生大量的噪音数据，因此我们需要进行精细的过滤和分析。

实战：用eBPF追踪恶意软件的文件读写

接下来，咱们通过一个实际的例子，来演示如何使用eBPF追踪恶意软件的文件读写行为。

1. 确定监控目标

假设我们怀疑某个进程（比如PID为12345）正在进行恶意的文件操作，或者我们想监控特定目录（比如/tmp/suspicious_dir）下的所有文件操作。

2. 编写eBPF程序

这里我们使用bcc工具包，它提供了一套Python API，可以方便地编写和加载eBPF程序。

from bcc import BPF
 
# eBPF程序代码
program = '''
#include <linux/sched.h>
 
// 定义事件数据结构
struct event_data {
    u32 pid;
    u32 uid;
    char comm[TASK_COMM_LEN];
    char filename[256];
    u64 timestamp;
};
 
// 定义eBPF映射，用于存储事件数据
BPF_PERF_OUTPUT(events);
 
// 文件打开事件探针
int kprobe__do_sys_openat2(struct pt_regs *ctx, int dirfd, const char *pathname, int flags, umode_t mode) {
    // 获取进程信息
    u32 pid = bpf_get_current_pid_tgid();
    u32 uid = bpf_get_current_uid_gid();
    struct task_struct *task = (struct task_struct *)bpf_get_current_task();
 
    // 过滤进程ID（可选）
    // if (pid != 12345) {
    //     return 0;
    // }
 
    // 获取文件名
    struct event_data data = {};
    data.pid = pid;
    data.uid = uid;
    bpf_get_current_comm(&data.comm, sizeof(data.comm));
    bpf_probe_read_user_str(&data.filename, sizeof(data.filename), (void *)pathname);
    data.timestamp = bpf_ktime_get_ns();
 
    // 过滤目录（可选）
    // if (strstr(data.filename, "/tmp/suspicious_dir") == NULL) {
    //     return 0;
    // }
 
    // 提交事件
    events.perf_submit(ctx, &data, sizeof(data));
 
    return 0;
}
'''
 
# 初始化eBPF对象
bpf = BPF(text=program)
 
# 定义事件处理函数
def print_event(cpu, data, size):
    event = bpf["events"].event(data)
    print(f"[{event.timestamp}] PID: {event.pid}, UID: {event.uid}, COMM: {event.comm.decode()}, FILENAME: {event.filename.decode()}")
 
# 绑定事件处理函数
bpf["events"].open_perf_buffer(print_event)
 
# 循环读取事件
while True:
    try:
        bpf.perf_buffer_poll()
    except KeyboardInterrupt:
        exit()

这段代码的功能是：

• 定义了一个event_data结构体，用于存储进程ID、用户名、进程名、文件名和时间戳等信息。
• 定义了一个BPF_PERF_OUTPUT映射，用于将事件数据从内核空间传递到用户空间。
• 在do_sys_openat2函数上挂载了一个kprobe探针，该函数是openat()系统调用的内核实现。
• 在探针函数中，获取进程信息、文件名和时间戳，并将这些信息存储到event_data结构体中。
• 通过events.perf_submit()将事件数据提交到BPF_PERF_OUTPUT映射中。
• 在用户空间，我们定义了一个print_event()函数，用于处理从内核空间传递过来的事件数据，并将其打印到屏幕上。

3. 运行eBPF程序

将上面的代码保存为file_monitor.py，然后运行它：

sudo python file_monitor.py

运行后，你就可以看到所有文件打开事件的详细信息了。你可以根据需要，修改代码中的过滤条件，比如只监控特定用户的文件操作，或者只监控特定类型的文件。

4. 分析事件数据

通过分析eBPF程序输出的事件数据，我们可以发现一些可疑的文件操作。比如：

• 某个进程频繁地访问一些不应该访问的文件，比如系统配置文件、密钥文件等。
• 某个进程在短时间内创建了大量的文件，或者删除了大量的文件。
• 某个进程的文件操作行为与它的正常行为不符，比如一个Web服务器进程突然开始读写/etc/shadow文件。

这些可疑的行为，可能表明系统正在遭受恶意软件的攻击。

进阶：更强大的文件系统监控技巧

除了上面介绍的基本的文件打开事件监控，eBPF还可以用于实现更高级的文件系统监控功能。

1. 文件完整性监控

我们可以通过监控文件的写入事件，计算文件的哈希值，并将哈希值与预先计算好的哈希值进行比较，从而检测文件是否被篡改。

2. 文件访问控制

我们可以通过在文件访问事件上挂载eBPF探针，根据进程的身份、文件属性等信息，动态地决定是否允许进程访问该文件。这可以实现更精细的文件访问控制策略。

3. 恶意软件行为分析

我们可以通过监控恶意软件的文件操作行为，分析恶意软件的传播方式、攻击目标等信息，从而更好地了解恶意软件的危害。

4. 使用tracee工具

tracee是一个基于eBPF的开源工具，它可以监控Linux系统的各种事件，包括文件操作、网络活动、进程行为等。tracee提供了丰富的过滤选项和输出格式，可以帮助我们更方便地分析系统行为。

注意事项

• 性能影响：eBPF程序运行在内核中，会对系统性能产生一定的影响。因此，我们需要尽可能地优化eBPF程序，减少其对系统性能的影响。可以使用bpftool等工具来分析eBPF程序的性能。
• 安全风险：eBPF程序可以直接访问内核数据，如果eBPF程序存在漏洞，可能会导致安全风险。因此，我们需要对eBPF程序进行严格的审查，确保其安全性。
• 内核版本兼容性：不同的内核版本，其API可能会有所不同。因此，我们需要根据不同的内核版本，编写不同的eBPF程序。可以使用libbpf等库来简化eBPF程序的开发。

总结

eBPF为我们提供了一种强大的文件系统监控手段，可以帮助我们实时地检测恶意软件的文件读写行为，从而提高系统的安全性。当然，eBPF的学习曲线比较陡峭，需要一定的内核知识和编程经验。希望这篇文章能够帮助你入门eBPF，并在实际工作中应用eBPF来保护你的系统安全。

希望这篇文章对您有所帮助，如有任何问题，欢迎留言交流！