単一フックポイントのゲストOS監視による検知可能な権限昇格攻撃の拡大とオーバヘッド削減の実現

権限昇格攻撃はシステムの改ざんや情報漏えいにつながる可能性がある．これに対処するため，システムコールによる権限の変更に着目した権限昇格攻撃防止手法が提案された．この手法は，導入するためにカーネルソースコードを変更する必要がある．また，保存した権限情報が攻撃者に改ざんされる可能性がある．これらの課題に対して，我々は KVM 内に同様のセキュリティ機構（以降，従来手法）を実現することで対処した．しかし，従来手法は，システムコール処理中に発生する権限の改ざんしか検知できない．また，システムコールを発行するたびに VMexit が2 回発生し，システムコール処理のオーバヘッドが大きい．そこで，本稿では，従来手法からシステムコール処理後のフックポイントを削除し，システムコール処理前の権限の監視のみで権限昇格攻撃を防止する手法を提案する．提案手法は，従来手法では対応できなかったシステムコール処理外で発生する権限の変更を検知できる．また，システムコールあたりに発生する VMexit が1 回となり，システムコール処理のオーバヘッドが抑えられる．本稿では，提案手法の設計と実現方式について述べ，従来手法では検知できない攻撃を検知できることとオーバヘッドを半分に削減できることを述べる．

To address privilege escalation attacks, a prevention method focusing on the change of credentials by system calls has been proposed. Because this method is implemented in OS, it requires modication of kernel source code. In addition, the stored credentials may be forged by an attacker. We addressed these problems by implementing the same mechanism (referred to as previous method) in KVM. But the previous method only can detect the change of credentials that occurs during system call and two VMexit added by previous method per system call may lead to large overhead. To address these problems, we set a hook only before system call. The proposal method can detect the change of credentials that occurs outside system call processing. In addition, the overhead can be reduced because additional VMexit is reduced to once. In this paper, we describe the design and implementation of the proposed method and report the evaluation result.