云安全论坛 云虚拟化系统的漏洞挖掘技术 演讲人：唐青昊 职务：360 Marvel Team 负责 人 2 3 团队介绍 国内首支虚拟化安全研究团队（Marvel Team），研究内容为云安全领域的虚拟化平台攻 防技术，致力于保持领先的脆弱性安全风险发现和防护能力，针对主流虚拟化平台提供如下 工具和解决方案。 –漏洞挖掘系统 –逃逸攻击工具 支持docker，xen，kvm –宿主机加固解决方案 拒止虚拟机逃逸 无代理查杀虚拟机 4 议程 • 脆弱性简介 • 网卡设备漏洞挖掘 • 测试框架 5 脆弱性简介 6 云计算 7 虚拟化系统 国内主流 •xen •kvm •vmware系列 功能 •量化分配 •灵活调度 8 虚拟机逃逸 9 脆弱性发展趋势 xen vm-es kvm Total 2012 35 12 8 50 2013 43 13 16 72 2014 53 15 25 103 10 差异 虚拟机 虚拟机 设备仿真 设备仿真 操作系统 宿主机 物理设备 普通服务器 物理设备 虚拟化服务器 11 指令仿真缺陷 • CVE-2012-0217 XEN SYSRET 指令漏洞 • CVE-2014-3610 KVM 指令解码漏洞 12 外设处理缺陷 • 毒液漏洞 • [360 0day] qemu e1000 设备漏洞 • [360 0day] vmware e1000网卡设备漏洞 • More 0days 13 网卡设备漏洞挖掘 14 仿真器原理 •用户空间 send •内核空间 syscall tcp_* ip_* dev_* e1000_* •仿真设备 网卡 hub slirp app app app kernel 网卡设备 15 网卡设备原理 •初始化 分配端口，映射地址 设备状态及资源设置 •数据传输 设备TDT寄存器检测到write指令 处理描述符表 处理3种描述符：context，data，legacy 发送数据 设置状态位，等待处理下一次操作 •处理细节 环形内存 TSO：tcp分段分流技术 16 虚拟化漏洞挖掘特点 • 目标更加底层 IE flash server system kernel 虚拟化系统 • 测试数据特殊 17 仿真设备测试方法 • 改变正常流程 HOOK驱动函数 修改内核文件 • 配合上下文环境 18 漏洞分析 • Qemu e1000网卡设备 • Vmware e1000网卡设备 19 测试框架 20