Désobfuscation automatique de binaires Et autres idyles bucoliques... Alexandre Gazet Sogeti / ESEC R&D alexandre.gazet(at)sogeti.com Yoann Guillot Sogeti / ESEC R&D yoann.guillot(at)sogeti.com SSTIC 2009
. Gazet, Y. Guillot Désobfuscation automatique de binaires 2/27 Plan (s) 1 (s) 2 3
Point de départ (s) Nécessité d automatisation Nous avons déjà : Processeur filtrant Parcours du graphe de contrôle (CFG) Application de règles de réécriture Modification à la volée du CFG Analyse manuelle du code obfusqué Recherche manuelle de motifs Pénible Peu générique Éventuellement inefficace : ex résistance au polymorphisme. Gazet, Y. Guillot Désobfuscation automatique de binaires 3/27
Nouvelle approche (s) Besoins Conservation de la sémantique Réécriture du code dans une forme plus simple Élimination du code mort etc. Les compilateurs le font déjà : l optimisation Notre critère d optimisation : la concision du code. Gazet, Y. Guillot Désobfuscation automatique de binaires 4/27
Présentation de la cible (s) La cible Une protection à base de virtualisation Massivement obfusquée (difficulté d analyse + polymorphisme) Approche proposée Greffe d un module d optimisation sur le module du parcours de graphes. Gazet, Y. Guillot Désobfuscation automatique de binaires 5/27
. Gazet, Y. Guillot Désobfuscation automatique de binaires 6/27 Constant propagation (s) c f h mov al, 12h 67h mov c l, 46h 69h xor c l, a l c f h mov al, 12h 67h mov c l, 46h 69h xor c l, 12h Fig.: Propagation de 12h à travers al.
. Gazet, Y. Guillot Désobfuscation automatique de binaires 7/27 Constant folding (s) c f h mov al, 12h 67h mov c l, 46h 69h xor c l, 12h c f h mov al, 67h mov c l, 12h 54h Fig.: Réduction de cl.
Operation folding (s) 4 f h add al, 7f h 51h add al, b l 53h add al, 70h 4 f h add al, 11h 51h add al, b l Fig.: Réduction de l opération add.. Gazet, Y. Guillot Désobfuscation automatique de binaires 8/27
. Gazet, Y. Guillot Désobfuscation automatique de binaires 9/27 Démo (s) Optimisation d un handler
. Gazet, Y. Guillot Désobfuscation automatique de binaires 10/27 Analyse sémantique des handlers (s) Méthode code binding de l objet disassembler Exemple de handler optimisé l o d s d x o r eax, ebx add eax, 859 f c f a e h sub ebx, eax push eax Sémantique (binding) dword p t r [ esp ] := ( dword p t r [ e s i ] ˆ ebx )+859 f c f a e h eax := ( dword p t r [ e s i ] ˆ ebx )+859 f c f a e h ebx := ebx+ (dword p t r [ e s i ] ˆ ebx ) 859 f c f a e h e s i := e s i +4 esp := esp 4
Au commencement (s) 2ème projection de Futamura Étant donnnés deux langages L a et L b, il est possible de trouver un compilateur de L b vers L a, si on connaît un interpréteur de L b écrit en L a Comment?. Gazet, Y. Guillot Désobfuscation automatique de binaires 11/27
. Gazet, Y. Guillot Désobfuscation automatique de binaires 12/27 Du statique au (presque) dynamique (s) Binding contextualisé : dword p t r [ esp ] := 0 c0000001h eax := 0 c0000001h ebx := 4000 f d 8 c h e s i := 100167 c2h esp := esp 4 Assembleur généré : push 0c0000001h Suivi du flot d exécution du bytecode
. Gazet, Y. Guillot Désobfuscation automatique de binaires 13/27 Démo (s) Exécution symbolique et génération assembleur
Interprétation du résultat (s) L intégralité du bytecode a été compilée en asm Ia32 natif Des références au contexte de l interpréteur Proche d un automate à pile module d optimisation + abstraction. Gazet, Y. Guillot Désobfuscation automatique de binaires 14/27
Injection d abstraction (s) Extension du processeur I a 3 2 : : Reg. i t o s [ 3 2 ]. c o n c a t ( %w[ v i r t e a x ] ) I a 3 2 : : Reg. i t o s [ 1 6 ]. c o n c a t ( %w[ v i r t a x ] ) I a 3 2 : : Reg. i t o s [ 8 ]. c o n c a t ( %w[ v i r t a l ] ) I a 3 2 : : Reg. s t o i. c l e a r I a 3 2 : : Reg. i t o s. each { sz, hh hh. e a c h w i t h i n d e x { r, i I a 3 2 : : Reg. s t o i [ r ] = [ i, s z ] } } I a 3 2 : : Reg : : Sym. r e p l a c e I a 3 2 : : Reg. i t o s [ 3 2 ]. map { s s. to sym }. Gazet, Y. Guillot Désobfuscation automatique de binaires 15/27
. Gazet, Y. Guillot Désobfuscation automatique de binaires 16/27 Démo (s) Chunk optimisé avec registres virtuels
Phase finale (s) Injections des registres virtuels Optimisation Expression du code en registres virtuels uniquement Registres virtuels remappés sur les registres natifs Compilation et édition des liens. Gazet, Y. Guillot Désobfuscation automatique de binaires 17/27
. Gazet, Y. Guillot Désobfuscation automatique de binaires 18/27 Démo (s) Code dévirtualisé, mappé dans le binaire original
(s) 1/2 (s) Méthodes d optimisation (règles de réécriture) Très efficaces Implementation limitée localité des optimisations manque d une représentation intermédiaire inadaptée aux obfuscations du flot de contrôle L évaluation partielle ou spécialisation Pré-calcul de tous les éléments statiques : Mouvements de données dans le code obfusqué Application de l interpréteur au bytecode Approche générique Relativement coûteux en temps de calcul. Gazet, Y. Guillot Désobfuscation automatique de binaires 19/27
(s) 2/2 (s) Intégration et réutilisation du désobfuscateur Le code actuel est à l état de prototype En cours d intégration au framework sous forme d un plugin propre Utilisable sur tout code x86, avec des parties cross-platforme. Gazet, Y. Guillot Désobfuscation automatique de binaires 20/27
. Gazet, Y. Guillot Désobfuscation automatique de binaires 21/27 Plan 1 2 3
. Gazet, Y. Guillot Désobfuscation automatique de binaires 22/27 Interface arch-spécifique réduite Meilleure expressivité du code Représentation plus simple des boucles Sémantique plus simple à manipuler
: limitations. Gazet, Y. Guillot Désobfuscation automatique de binaires 23/27 Des constructions assembleur sont difficiles à transcrire en C rol, ror jmp eax Nécessité que le code soit formatté correctement Fonction/sous-fonctions ABIs/Conventions d appels On peut imaginer des moyens de s en accomoder
. Gazet, Y. Guillot Désobfuscation automatique de binaires 24/27 Démo
. Gazet, Y. Guillot Désobfuscation automatique de binaires 25/27 Plan 1 2 3
N oubliez pas. Gazet, Y. Guillot Désobfuscation automatique de binaires 26/27 Metasm https://metasm.cr0.org/ Blog http://esec.fr.sogeti.com/blog/
. Gazet, Y. Guillot Désobfuscation automatique de binaires 27/27 Merci pour votre attention. Des questions?