Logging to the Danger Zone: Race Condition Attacks and Defenses on System Audit Frameworks abstract。

Workflow

如果用系统日志来辅助安全调查,其中一个前提是,该日志系统不能遭受攻击者攻击。
在这项工作中,我们通过展示和验证审计框架完整性的竞争条件攻击来挑战这一假设。
攻击利用了 I/O 和 IPC 活动的内在异步特性,表明攻击者可以在时间发生之后,在提交到日志系统之前,从系统缓冲区中获取修改有关其入侵的事件,从而绕过现有的保护措施。
通过引入 KennyLoggings 来防御我们的攻击,这是第一个满足同步完整性的基于内核的放篡改日志系统,这意味着他保证了事件发生时的放篡改问题。

workflow