Le Projet BINSEC. Automatiser l analyse de sécurité au niveau binaire. Airbus group, CEA, IRISA, LORIA, Uni. Joseph Fourier. p.

Transcription

1 Le Projet BINSEC Automatiser l analyse de sécurité au niveau binaire Airbus group, CEA, IRISA, LORIA, Uni. Joseph Fourier p. 1/22

2 Introduction Panorama de BINSEC Cadre de travail Projet ANR INS, appel 2012 Axes 1 (sécurité) et 2 (génie logiciel) Projet de recherche fondamentale sur 4 ans ( ) Sujet : Techniques formelles d analyse de sécurité au niveau binaire Mots clés : analyse de code binaire, modèles formels, reconstruction de modèles, détection de malware, analyse de vulnérabilité, code auto-modifiant Partenaires CEA (coordinateur) Airbus group INRIA Bretagne Atlantique Université Joseph Fourier (UJF) - VERIMAG Université de Lorraine (UL) - LORIA p. 2/22

3 Introduction Analyse de sécurité sur du code binaire D importantes analyses de sécurité se font au niveau binaire : détection de vulnérabilité [analyse de crash, génération d exploit ] détection et dissection de malware [dé-obfuscation] Approche classique (ex : analyse de vulnérabilités) haut niveau d expertise, beaucoup d efforts, des outils basiques analyse dymanique : gdb, fuzzing (test semi-aléatoire) analyse statique : objdump, IDA Pro [peu automatisé] p. 3/22

4 Introduction Analyse de sécurité sur du code binaire D importantes analyses de sécurité se font au niveau binaire : détection de vulnérabilité [analyse de crash, génération d exploit ] détection et dissection de malware [dé-obfuscation] Approche classique (ex : analyse de vulnérabilités) haut niveau d expertise, beaucoup d efforts, des outils basiques analyse dymanique : gdb, fuzzing (test semi-aléatoire) analyse statique : objdump, IDA Pro [peu automatisé] but : développer des outils plus avancés motto : étendre les méthodes de validation formelle p. 3/22

5 Introduction Défis : vulnérabilités Des bugs aux vulnérabilités exploitables distinguer entre les bugs critiques pour la sécurité et les autres [deref. de pointeur null VS uaf] [1-byte overflow VS large overflow] définir (formellement) exploitable besoin de nouveaux modèles sémantiques Analyse de crash [travaux préliminaires] input : trace erroné output : est-ce un bug critique? application : prioritisation de bugs p. 4/22

6 Introduction Défis : malware Analyser un code malhonnête reconnaître les malware malgré le polymorphisme besoin de notions robustes (semantiques) de signatures reconnaitre les malwares malgré l obfuscation [prédicats opaques] codes auto-modifiants analyses utilisables plutôt que (strictement) correctes... p. 5/22

7 Introduction Cadre de BINSEC Analyses de sécurité : code binaire, systèmes grand public outillage pauvre, méthodes syntaxiques [gdb, ida pro] applications importantes : vulnérabilités, malware Systèmes grand public allocation dynamique, threads librairies externes, taille++ code venant de C, C++, etc. Propriétés trouver des vulnérabilités évaluer la malignité comprendre le code p. 6/22

8 Introduction Cadre de BINSEC (2) p. 7/22

9 Introduction Cadre de BINSEC (2) Analyses de sécurité sémantiques au niveau binaire un socle commun : modèles et analyses génériques modélisation bas niveau adaptée aux pbs de sécurité reconstruction de structures haut niveau (CFG, pile, etc.) deux domaines applicatifs distincts vulnérabilités [inclu analyse de crash] malware [inclu dé-obscurcissement] p. 7/22

10 Introduction Travail en cours Modèles et analyses génériques au niveau binaire représentation intermédiaire concise [à venir : auto-modification] sémantiques mémoire adaptées à la vérification de code bas niveau analyses : reconstruction de CFG, analyse de pile Analyses de sécurité dédiées vulnérabilité : détection de UaF exploitables, analyse de crash malware : dé-obscurcissement (automodif, préd. opaques, etc.) Plate-forme open-source services de base pour une analyse niveau binaire support du modèle formel générique front-end : chargement, décodage, désassemblage, etc. p. 8/22

11 Focus : sémantique Focus : modélisation Exemple x86 plus de 1,000 instructions. 400 basiques. + flottants, interruptions, mmx nombreux effets de bords décodage compliqué. modes d addressage, préfixes,... p. 9/22

12 Focus : sémantique Focus : modélisation BUT formalisme concis et simple sémantique adaptée aux analyses de sécurité mécanismes de spécification et abstraction Exemple x86 plus de 1,000 instructions. 400 basiques. + flottants, interruptions, mmx nombreux effets de bords décodage compliqué. modes d addressage, préfixes,... p. 9/22

13 Principes Focus : sémantique Représentation intermédiaire variables sur vecteurs de bits + un tableau d octets taille des vecteurs de bits connue statiquement une instruction machine = bloc d instructions DBA [variables tmp] opérations standard sur les vecteurs de bits Instructions lhs := rhs goto addr, goto expr ite(cond)? goto addr : goto addr assume, assert, nondet, malloc, free Expressions e{i.. j}, ext u,s(e,n), e :: k) e {+,,,/ u,s,% u,s,< u,s, u,s,=,, u,s,> u,s} e e {,,,<<,>> u,s} e,!e p. 10/22

14 Principes Focus : sémantique Représentation intermédiaire variables sur vecteurs de bits + un tableau d octets taille des vecteurs de bits connue statiquement une instruction machine = bloc d instructions DBA [variables tmp] opérations standard sur les vecteurs de bits Instructions indépendant d une architecture lhs jeu := d instructions rhs très réduit gotoaucun addr, effet goto de bord expr ite(cond)? modélisation goto bit-precise addr : goto addr assume, hors périmètre assert, : nondet, flottants, malloc, threads free Expressions pas d automodification e{i.. j}, ext u,s(e,n), e :: k) e {+,,,/ u,s,% u,s,< u,s, u,s,=,, u,s,> u,s} e e {,,,<<,>> u,s} e,!e p. 10/22

15 Focus : vulnérabilités Focus : Vulnérabilités UaF (1) Use-after-free (UaF) utilisation d un pointeur dangling sur zone désallouée puis ré-allouée vulnérabilité classique dans les navigateurs Web [firefox, chrome, ie] 1 char login, passwords ; login=(char ) malloc (... ) ; 3 [... ] free ( login ); // login is now a dangling pointer 5 [... ] passwords=(char ) malloc (... ) ; // may re-allocate memory of *login 7 [... ] printf ( %s\n, login ); // security threat : may print the passwords! p. 11/22

16 Focus : vulnérabilités Vulnérabilités UaF (2) Deux difficultés principales propriété de type sûreté [alloc-free-alloc-use] plutôt que simple invariant dépend fortement de l implémentation de malloc et free char login, passwords ; 2 login=(char ) malloc (... ) ; [... ] 4 free ( login ); // login is now a dangling pointer [... ] 6 passwords=(char ) malloc (... ) ; // ansi-c : fresh memory area [... ] 8 printf ( %s\n, login ); // ansi-c : error, yet no particular security threat p. 12/22

17 Focus : vulnérabilités Vulnérabilités UaF (2) Deux difficultés principales propriété de type sûreté [alloc-free-alloc-use] plutôt que simple invariant dépend fortement de l implémentation de malloc et free char login, passwords ; 2 login=(char ) malloc (... ) ; [... ] 4 free ( login ); // login is now a dangling pointer [... ] 6 passwords=(char ) malloc (... ) ; // ansi-c : fresh memory area [... ] 8 printf ( %s\n, login ); // ansi-c : error, yet no particular security threat Quels modèles pour malloc et free? un malloc idéal ne différencie pas entre UaF et simple crash un malloc pessimiste retourne trop de fausses alarmes dans un programme, différentes stratégies d allocation / libération p. 12/22

18 Focus : vulnérabilités Contribution : détection des UaF Objectif = détection de UaF + passage à l échelle Approche en 2 étapes 1. détection de UaF possibles analyse légère sur tout le code analyse statique, allocateurs idéaux morceaux de programmes suspicieux (UaF slices) 2. analyse d exploitabilité ciblée analyse plus lourde, restreinte aux UaF slices exécution concolique, allocateurs bas niveau p. 13/22

19 Focus : vulnérabilités Contribution : détection des UaF Objectif = détection de UaF + passage à l échelle ApprocheAvancement en 2 étapes premier prototype sur un langage DBA-like 1. détection de UaF possibles quelques choix de conception : loop unrolling, procedure analyse inlining légère sur tout le code analyse statique, allocateurs idéaux expérimentations sur des exemples Verisec morceaux de programmes suspicieux (UaF slices) perspectives : étude de cas ProFTPD 2. analyse d exploitabilité ciblée analyse plus lourde, restreinte aux UaF slices exécution concolique, allocateurs bas niveau p. 13/22

20 Focus : malware Focus : malware p. 14/22

21 Focus : malware Focus : malware prédicats opaques, code auto-modifiant, chevauchement d instructions, chiffrement, machines virtuelles, etc. loin d une sémantique assembleur idéale Analyse de programmes protégés. combinaison d analyse dynamique et symbolique (traces) et statique (code). but : prédicats opaques, auto-modification, chevauchement d instructions p. 14/22

22 Focus : platforme Focus : plateforme open-source chargeur ELF, décodeur x86 460/500 instructions : 380/380 simples, 80/120 SIMD, pas de float/system préfixes : op size, addr size, repetition p. 15/22

23 Focus : platforme Focus : plateforme open-source Désassembleur Linéaire / Récursif Linéaire et Récursif Dynamique Simplifications simplification des instructions simplifications intra-blocs simplifications inter-blocs p. 15/22

24 Focus : platforme Focus : plateforme open-source stubs 0xb7fff414: call : 0xb7fff414 { if (nondet() = 0 < 32 >) goto l1 else goto l2; // abstracting a failure condition l1 : eax < 32 >:= 0 < 32 >; // failure, result is NULL goto l3; l2 : eax < 32 > := malloc(@[esp + 4 < 32 >, <, 4]); assume ((eax modu 4 < 32 >) = 0 < 32 >); l3 : esp < 32 > := esp + 4 < 32 >; - 4 < 32 >, <, 4]; } p. 15/22

25 Focus : platforme Focus : plateforme open-source Blocs de bases pour l analyse Simulation [3 modèles memoires] Analyse statique [reconstruction de CFG correcte/approché] Exécution symbolique [en cours] p. 15/22

26 Focus : platforme Simplification des DBA simplifications des instructions transformation d instructions [ré-écriture locale] simplifications intra-blocs propagation de constantes suppression des tmp redondants simplifications inter-blocs slicing de flags (suppression de variables inactives) p. 16/22

27 Focus : platforme Intra-blocs : suppression de tmp redondants <tmp> t := expr ; // t not redefined ; // x neither used nor defined ; x := expr ; replace each occurrence of t by x x := t // t not used anymore // ( typically : end of block ). Avant simplification Schéma général Après simplification #83 ca 02 or edx, 0x2 <temp>res32 := ( edx or 2<32>); OF := 0<1>; SF := ( res32 {31,31}); ZF := ( res32 = 0<32>); CF := 0<1>; edx := res32 ; goto (0x080554ef,0) #83 ca 02 or edx, 0x2 edx := (edx or 2<32>); OF := 0<1>; SF := (edx{31,31}); ZF := (edx = 0<32>); CF := 0<1>; goto (0x080554ef,0) Avant simplification Après simplification p. 17/22

28 Focus : platforme Inter-blocs : flag slicing # 31 ed xor ebp, ebp <tmp> res32 := 0<32>; OF := 0<1>; SF := 0<1>; ZF := 1<1>; CF := 0<1>; ebp := 0<32>; #0f 85 7c jnz 0x805637c if (!ZF) goto L1 else goto L2 L1: #83 e3 fa and ebx, 0 xfffffffa ebx := (ebx and 0 xfffffffa ); OF := 0<1>; SF := ( res32 {31,31}); ZF := ( res32 = 0<32>); CF := 0<1>; L2: #85 ff test edi, edi <tmp> res32 := edi ; OF := 0<1>; SF := ( res32 {31,31}); ZF := ( res32 = 0<32>); CF := 0<1>; # 31 ed xor ebp, ebp ZF := 1<1>; ebp := 0<32>; #0f 85 7c jnz 0x805637c if (!ZF) goto L1 else goto L2 L1: #83 e3 fa and ebx, 0 xfffffffa ebx := (ebx and 0 xfffffffa ); L2: #85 ff test edi, edi <tmp> res32 := edi ; OF := 0<1>; SF := ( res32 {31,31}); ZF := ( res32 = 0<32>); CF := 0<1>; Avant simplification Après simplification p. 18/22

29 Focus : platforme Exemples program native DBA opt (DBA) loc loc loc KO loc time red bash 166K 558K 5 402K 10.65m 27.95% cat K 0 18K 16.62s 20.55% echo K s 22.38% less 23K 80K 5 56K 89.31s 29.03% ls 18K 63K 6 45K 83.42s 27.38% mkdir K 5 18K 23.65s 27.08% netstat 16K 50K 3 41K 68.48s 17.43% ps K 0 28K 47.90s 21.38% pwd K s 21.47% rm K 16 23K 31.13s 22.52% sed K 0 24K 37.50s 24.24% tar 64K 212K 7 159K 5.2m 25.26% touch K 0 19K 30.02s 25.75% uname K s 21.68% ir vs asm reduction ir vs asm (no simpl) dba instr tmp assign flag assign (simpl) DBA 3.3x 24.00% 21.89% 73.17% 2.5x (function-level) p. 19/22

30 Focus : platforme Analyse statique (début) Quelques nouveautés à l étude compromis précision / passage à l échelle / utilisabilité mode clos : restriction a priori sur les cibles de jmp eax mode dégradé : si jmp eax évalue à, garder anciennes valeurs calculées (unsound plutôt que fail) [inspiré de J. Kinder] p. 20/22

31 Focus : platforme Exécution symbolique (début) chemin formule entrée de test calcul de teinte spécification des politiques de C/S p. 21/22

32 Conclusion Conclusion Analyse formelle de code bas niveau pour la sécurité Problèmes de base et centrés vuln. / malware détection de UaF exploitables déobfuscation analyse de crash Plate-forme open source [début!] IR, simplification, simulation services basiques de SA et DSE Upcoming events : 2015, LOCAS 2015 p. 22/22