Linux的很多嚴重的漏洞，尤其是提權(quán)漏洞都使用了暴力fork()系統(tǒng)調(diào)用導(dǎo)致內(nèi)核崩潰，從而突破內(nèi)存限制而成功的，例如 Stack Clash 漏洞，“心臟出血”漏洞以及新爆出的sudo CVE-2021-3156等。為了一勞永逸的解決此類漏洞，Linux安全模塊(LSM)新增加了一個“Brute”模塊，以檢測和阻止這類攻擊。

最近Brute補丁程序集的發(fā)布了第6版版本，預(yù)計很快就可以發(fā)布到主線分支中去。

“Brute”補丁集于去年9月John Wood發(fā)布為RFC，最初名稱為“fbfam”( fork brute force attack mitigation，fork暴力攻擊緩解)，后在社區(qū)商量下改名了并將其變成LSM。

關(guān)于這類問題的解決實際上由來已久了。grsecurity的內(nèi)核補丁早就有 GRKERNSEC_BRUTE功能用以減少使用蠻力攻擊 fork()， 以及預(yù)防setuid/ setgid的二進制文件的攻擊。Weinberger在2014中發(fā)布的補丁中也使用的類似的技術(shù)，以延緩fork()，由于fork()崩潰導(dǎo)致的問題(這可能意味著它是一個攻擊的一部分)。 但是這些嘗試并沒有進一步的推動。

在Brute補丁的文檔中 ，Wood描述了Brute LSM所針對的行為類型。基本思想是，有幾種類型的攻擊可以使用多次fork()來接收所需的內(nèi)存布局。 每個fork的子進程都可以通過各種方式進行探測，如果這些探測失敗并導(dǎo)致子進程崩潰，則可以簡單地重新fork另一個子進程再試一次。因為使用創(chuàng)建的子進程與其父進程共享相同的內(nèi)存布局，所以成功的探針可以提供可用來突破Linux虛擬內(nèi)存地址空間隨機化布局(ASLR)，可以用來探測堆棧Stack_canaries或其他有敏感信息。

Brute采用不同于grsecurity或Weinberger修補程序的方法，因為它不會簡單地延遲隨后的fork()在檢測到問題時調(diào)用。取而代之的是，Brute殺死了與攻擊相關(guān)的所有進程。 此外，Brute 檢測更多類型的fork()使用攻擊(包括探測父進程而不是子進程的攻擊。 它還著重于為了避免誤報而越過特權(quán)邊界的進程崩潰。

Brute通過統(tǒng)計崩潰率來實現(xiàn)。Brute收集有關(guān)已在一組已經(jīng)fork進程中發(fā)生的“失敗”數(shù)量的信息，但是在其中沒有使用執(zhí)行任何新操作execve()。一個brute_stats 所有這些進程之間共享結(jié)構(gòu)。執(zhí)行一個新程序會導(dǎo)致一個新的結(jié)構(gòu)來跟蹤新的(潛在的)結(jié)構(gòu)中的故障fork()層次。

從進程啟動到進程或其任何共享內(nèi)存布局的子進程(即沒有 execve())崩潰或連續(xù)崩潰之間的時間間隔，最終用來確定是否發(fā)生攻擊的時間。為了防止多次調(diào)用，插件使用EMA(指數(shù)移動平均值)計數(shù)，一旦發(fā)生五次崩潰，就會計算該時期 (EMA)。 EMA用于確定是否正在發(fā)生“快速暴力”攻擊。 如果兩次崩潰之間的時間間隔的EMA下降到30秒的閾值以下，就會觸發(fā)緩解攻擊。對于“慢速暴力”變體，將層次結(jié)構(gòu)中的絕對崩潰次數(shù)與200個閾值進行比較。

使用ask_fatal_signal() LSM鉤子,添加作為集合中的第一個補丁。 每當內(nèi)核向進程傳遞致命信號時，就會調(diào)用該方法。 Brute還使用現(xiàn)有的 task_alloc() 鉤子來檢測 fork()調(diào)用，使用 bprm_committing_creds() 鉤子來檢測 execve()調(diào)用，以及使用 task_free() 鉤子來清理所有內(nèi)容。

通過跟蹤對執(zhí)行新程序時發(fā)生的各種用戶和組ID的更改，可以實現(xiàn)安全邊界檢查。 沒有提到 Linux功能 補丁中 ，但是功能更改也將表明特權(quán)邊界已被突破; 也許這會在以后增加。除ID更改之外，還可以使用檢測到網(wǎng)絡(luò)的使用 socket_sock_rcv_skb()LSM鉤子。通過執(zhí)行setuid/setgid程序或通過網(wǎng)絡(luò)接收數(shù)據(jù)來將崩潰檢查限制為跨越特權(quán)邊界的那些進程,這樣可以減少誤報的數(shù)量。