Kernel-level malwares poses a grave threat to system security since they operate with the highest privilege within the victimized system. Researchers have sought to establish various Trusted Execution Environ- ment (TEE)that enables reliable detection of such vicious malwares. External hardware-based kernel monitoring has been overlooked in the midst of a plethora of hypervisor-based kernel integrity solutions, and the existing hardware-based monitor is limited to periodic snapshot checks on kernel static regions. In this dissertation, We explore the external hardware-based kernel monitoring approach by presenting the new design,implementations and monitoring techniques of external hardware-based kernel integrity monitors. In this dissertation, we present a event-triggered external hardware-based kernel integrity monitor. With our prototypes, we introduce a new monitoring technique called snoop-based monitoring method- ology against kernel’s both static and dynamic regions. With the snooper module’s event-triggered monitoring we show that our approach can detect transient attacks on kernel static regions that can be missed by snapshot-based monitoring techniques. Furthermore, we present a more advanced monitor- ing platform built around the snooping technique called KI-Mon. KI-Mon advances the snoop-based monitoring with hardware-based memory value whitelisting to selectively allow only certain values to be written on to the monitored memory region. KI-Mon also executes developer-defined kernel integrity verifying routines upon detection of designated memory transaction on the system bus. In this way, we allow developers to write custom kernel integrity verifying (with the KI-Mon API), that are triggered when pre-defined memory transaction pattern appears on the KI-Mon platform. We also present external monitoring aware Linux kernel memory allocator modifications that sim- plifies a number of formidable challenges that are faced by external monitors in general. We slightly modify the kernel’s layered memory allocators (Buddy and SLAB allocator) to congregate only the mon- itored objects into a single contiguous memory region, namely the ZONE MONITORED. In this way, the burdensome task of constantly tracing the monitored kernel object type is eliminated. Furthermore, we report a critical security vulnerability in our external monitor design that may allow adversary to evade the monitoring from the external monitors. The Address Translation Redirection Attack (ATRA) redefines the virtual to physical address translation to relocate the monitored objects and create rogue copies of the objects. We provide a rigorous analysis on Linux kernel’s memory mapping properties. Based on this, we introduce a memory mapping verification scheme for external monitors. In all, this dissertation introduces a series of explorations on external hardware-based kernel integrity monitors. We explain the design, implementation and evaluation of our external monitors and monitoring techniques built on top of them. We hope that our work shed a light on the under explored external kernel integrity monitor approach, and prove to be a feasible solution in kernel integrity monitoring.

커널감염형 악성코드는 시스템 보안에 있어 큰 위협을 초래한다. 이는 이러한 형태의 악성코드가 시스템 상의 가장 높은 권한을 가지고 동작하기 때문이다. 연구자들은 여러가지 형태의 신뢰 실행 환경 (TEE) 을 구축하여 안정적인 커널감염형 악성코드 탐지를 가능케하고자 하였다. 많은 수의 하이퍼바이저기반의 커널 보안 솔루션들이 제안되어 온 가운데 외부 하드웨어기반 커널 모니터에 대한 연구는 충부니 되어 있지 않으며, 기존의 외부 하드웨어 기반 모니터들은 커널의 정적 영역에 대한 스냅샷을 통해 검증을 하는 정 도에 그치고 있다. 이 논문에서는 외부 하드웨어 기반 커널 모니터의 디자인, 구현, 그리고 탐지 기술들을 제안하고자 한다. 본 논문은 제시되는 프로토타입들을 통하여, 스누핑 기반(Snoop-based)의 커널 정적, 동적 감시 기법들 을 소개한다. 우리는 스누핑 기법은 기존의 스냅샷 기반 방식의 모니터들이 탐지 못하는 커널 정적 영역에 대한 일시적 공격(transient attack)을 탐지 할수 있음을 논한다. 또한 본 논문은 조금 더 진보된 형태의 스누핑 기반 감시 플랫폼인 KI-Mon을 제시한다. KI-Mon은 메모리 화이트리스팅 기법을 도입하여 특정 메모리 영역에 특정한 값만 쓰여질 수 있도록 강제함으로써 기존의 스누핑 기반 감시 방식을 진보시킨다. KI-Mon은 또한 개발자가 정의한 커널 무결성 감시 루틴을 특정 메모리 트랜젝션이 버스 트래픽에 감지 될 시에 작동시킨다. 이러한 방식으로 우리는 개발자들이 KI-Mon API를 통해 미리 정의한 특정 메모리 패턴이 버스에 나타나면 작동되는 커널 무결성 검증 루틴을 실행시킬 수 있게 한다. 또한 본 논문은 외부 하드웨어기반 커널 모니터가 가진, 공격자들이 모니터의 감시를 회피할 수 있게끔 하는, ATRA(Address Translation Redirection Attack)라는 공격을 제시한다. ATRA는 가상-물리 주소 변환 과정을 공격자가 변조하여 감시되고 있는 커널 객체들이 옮겨지는 반면 공격자는 가짜 객체를 만들어 이가 원래의 객체를 대신하게 함으로써 공격을 수행한다. 우리는 면밀한 조사를 통해 커널의 메모리 매핑 특성을 분석하였다. 본 논문에서는 이를 바탕으로 한 외부 모니터들을 위한 메모리 매핑 검증 기법을 제시한다. 결론적으로 본 논문은 외부 하드웨어 기반 커널 무결성 모니터의 프로토타입들을 제시한다. 우리는 모니 터의 디자인, 구현, 그리고 평가를 제시함으로써 분야의 다른 연구자들에게 그동안 미흡했던 외부 하드웨어 기반 커널 감시 방식이 가능성 있는 접근 방법으로 재고되기를 바란다.