eCapture是一款基于eBPF技术实现的用户态数据捕获工具。不需要CA证书,即可捕获https/tls的通讯明文。
项目在2022年3月中旬创建,一经发布,广受大家喜爱,至今不到两周已经1200多个Star。作用不需要CA证书,即可捕获HTTPS/TLS通信数据的明文。在bash审计场景,可以捕获bash命令。数据库审计场景,可以捕获mysqld/mariadDB的SQL查询。官网代码仓库见:https://github.com/ehids/ecapture 。产品架构eCapture系统用户态程序使用Golag语言开发,具有良好的系统兼容性,无依赖快速部署,更适合云原生场景。内核态代码使用C编写,使用clag/llvm编译,生产bpf字节码后,采用go-bidata转化为golag语法文件,之后采用ehids/ebpfmaager类库,调用bpfsyscall进行加载、HOOK、map读取。golag编译后,无其他任何依赖即可运行,兼容liuxkerel4.18以上所有版本。eBPF加载机制关于eBPF详细加载机制,可到https://ebpf.io/查阅相关原理。实现原理如工作原理的图所示,在用户态的加密解密函数中下钩子。tcpdump(libpcap)是在数据包接收到,XDP处理后,进行cloepacket,进行包的复制,发送给用户态进程。二者工作的所在层不一样。功能介绍eCapture有三个模块tls/ssl明文数据捕获bash命令审计mysqld数据库审计第一个功能适用于基于tls/ssl解密需求的运维监控、故障排查、抽样分析场景。第二个功能适用于安全领域的bash入侵发现场景,这里只是简单的功能,可以在此基础上增加其他功能。第三个功能适用于数据库审计场景,尤其是做数据安全、数据防泄漏,甚至入侵检测等。同样,可以在此基础上扩充其他功能。查看其使用说明,如下cfc4@vm-desktop:~/ehids/ecapture$./bi/ecaptureNAME:ecapture-capturetextSSLcotetwithoutCAcertbyebpfhook.USAGE:ecapture[flags]VERSION:0.1.5-20220325-47edbedCOMMANDS:bashcapturebashcommadhelpHelpaboutaycommadmysqld56capturesqlqueriesfrommysqld>5.6.tlsaliasame:opessl,usetocapturetls/ssltextcotetwithoutCAcert.DESCRIPTION:ecapture是一款无需安装CA证书,即可抓去HTTPS、TLS等明文数据包的工具。也可以捕获bash的命令,适用于安全审计场景。包括mysqld的数据库审计等。仓库地址:https://github.com/ehids/ecaptureOPTIONS:--debug[=false]eabledebugloggig-h,--help[=false]helpforecapture--hex[=false]pritbytestrigsashexecodedstrigs-p,--pid=0iftarget_pidis0thewetargetallpids其中,有四个全局参数,分别是--debug,用于启动调试日志--help,查看帮助--hex,按照hex模式打印字符,用与查看不可见字符--pid,用于针对特定进程进行数据捕获HOOK机制eCapture采用eBPFuprobe相关函数进行HOOK,故需要目标用户态函数信息,包含函数符号表(symboltable),函数偏移地址(offset)。在大部分liux发行版中,使用的二进制可执行文件(ELF)都是包含符号表的;少部分发行版,会去掉ELF中的符号表。那么针对这种场景,就需要用户自行定位目标函数所在ELF/SO中的偏移地址,通过工具的参数来指定。对于ELF文件,可以将目标类库静态编译到自身,也可以通过动态链接库的方式引用。那么对于这两种形式,eCapture根据不同场景进行自动查找。若查找不到,用户可以通过命令行参数指定。故eCapture支持HOOKELF,以及HOOKSO两种模式。会自动分析ELF文件,读取.dyamic和.dysym等段信息,查找相关链接库名以及函数名、偏移地址。查找原理如下图:tls/sslecapturetls命令用于启动tls/ssl模块,支持了三类tls/ssl加密类库,分别是opessl,动态链接库名字为libssl.sogutls,动态链接库名字为libgutls.soss/spr,动态链接库名字为libspr4.so在不同的liux发行版中,因为各种原因,会选择不同的类库。比如wget程序,在ubutu跟cetos中就会使用不同的类库。有的是opessl,有的是gutls,甚至两个库都引入了。具体情况,你可以使用ldd$ELF_PATH|grep-E"tls|ssl|spr|ss"来查看一个ELF文件使用类库情况。cfc4@vm-desktop:~$ldd`whichwget`|grep-E"tls|ssl|spr|ss"libssl.so.1.1=>/lib/x86_64-liux-gu/libssl.so.1.1(0x00007f50699f6000)对于firefox、chrome这种进程,需要在程序启动后才能看到tls类库依赖情况,那么,你可以使用sudopldd$PID|grep-E"tls|ssl|spr|ss"来查看cfc4@vm-desktop:~$ps-ef|grepfirefoxcfc4684614324517:50?00:00:04/usr/lib/firefox/firefox-ew-widowcfc4@vm-desktop:~$sudopldd6846|grep-E"tls|ssl|spr|ss"/usr/lib/firefox/libspr4.so/usr/lib/firefox/libssutil3.so/usr/lib/firefox/libss3.so/usr/lib/firefox/libssl3.so/lib/x86_64-liux-gu/libss_files.so.2/lib/x86_64-liux-gu/libss_mds4_miimal.so.2/lib/x86_64-liux-gu/libss_ds.so.2/usr/lib/firefox/libssckbi.soeCapture的tls模块命令行参数如下,用户可以使用默认配置外,也可以根据自己环境自行指定。OPTIONS:--curl=""curlorwgetfilepath,usetodectetopessl.sopath,default:/usr/bi/curl--firefox=""firefoxfilepath,default:/usr/lib/firefox/firefox.--gutls=""libgutls.sofilepath,willautomaticallyfiditfromcurldefault.-h,--help[=false]helpfortls--libssl=""libssl.sofilepath,willautomaticallyfiditfromcurldefault.--spr=""libspr44.sofilepath,willautomaticallyfiditfromcurldefault.--wget=""wgetfilepath,default:/usr/bi/wget.同时,使用方法也比较简单,./ecapturetls--hex命令即可。在liux上,firefox程序中,有很多通讯都使用了/usr/lib/firefox/libspr4.so,但实际上业务请求是可以通过SocketThread进程来发送的。可以通过这个特点来过滤,对于chrome程序,相信细心的你,也能搞定。bash笔者在安全部门工作,接到过bash审计需求,其实现方法无非是修改系统类库、使用内核模块等技术实现,对系统稳定性有一定风险。基于eBPF技术实现,可以避开这些问题。这里的bash命令的监控,是作为eBPF技术在安全审计场景中的一个探索。eCapture在实现时首先查找ENV的$SHELL值,作为bash的二进制文件路径进行HOOK。对于bash加载了libreadlie.so的场景,也会自动分析,进行符号表查找、offset定位,再进行HOOK。bash模块的参数有三个,用户可以自定义bash、readlieso的路径。OPTIONS:--bash=""$SHELLfilepath,eg:/bi/bash,willautomaticallyfiditfrom$ENVdefault.-h,--help[=false]helpforbash--readlieso=""readlie.sofilepath,willautomaticallyfiditfrom$BASH_PATHdefault.mysql/mariadb与bash模块一样,也是作为数据库审计的一个探索。笔者环境为ubutu12.04,mysqld也因为协议关系,使用了衍生的MariadDB,用户也可以根据自己实际场景,使用命令行参数进行指定。mysqld模块,核心原理是HOOK了dispatch_commad函数,第一个参数为CMD类型,值为COM_QUERY时,为查询场景,即审计需求的查询类型。第二个参数是THD的结构体,在这里我们用不到。第三个是查询的SQL语句第四个参数是SQL语句的长度,//https://github.com/MariaDB/server/blob/b5852ffbeebc3000982988383daeefb0549e058a/sql/sql_parse.h#L112dispatch_commad_returdispatch_commad(eumeum_server_commadcommad,THD*thd,char*packet,uitpacket_legth,boolblockig=true);mysqld审计模块参数如下:OPTIONS:-f,--fucame=""fuctioametohook-h,--help[=false]helpformysqld56-m,--mysqld="/usr/sbi/mariadbd"mysqldbiaryfilepath,usetohook--offset=00x710410其中,--mysqld是用来指定mysqld的路径。mysqld二进制程序符号表里虽然有dispatch_commad信息,但dispatch_commad这个函数名每次编译都是变化的,故不能写死。eCapture的查找方式是读取mysqld二进制的.dyamic段信息,正则语法\\w+dispatch_commad\\w+去匹配所有符号信息,找到其函数名、偏移地址,再使用。你也可以通过objdump命令来查找,再通过命令行参数自行指定fucame。mariadbdversio:10.5.13-MariaDB-0ubutu0.21.04.1objdump-T/usr/sbi/mariadbd|grepdispatch_commad0000000000710410gDF.text0000000000002f35Base_Z16dispatch_commad19eum_server_commadP3THDPcjbb即offset为0x710410,函数名为_Z16dispatch_commad19eum_server_commadP3THDPcjbb。使用下载二进制包eCapture发布在https://github.com/ehids/ecapture/releases,目前最新版为eCapturev0.1.5。可在liuxkerel4.18以上版本运行。二进制包地址:https://github.com/ehids/ecapture/releases/dowload/v0.1.5/ecapture_v0.1.5.zip国内加速地址:https://github.do/https://github.com/ehids/ecapture/releases/dowload/v0.1.5/ecapture_v0.1.5.zip自行编译代码仓库在https://github.com/ehids/ecapture,可以自行修改源码编译。演示视频:
https://v.qq.com/txp/iframe/player.html?vid=d3329w21qe6
评论