390 likes | 638 Views
Utilisation du Data Tainting pour l'analyse de logiciels malveillants. Florent Marceau <fmarceau@lexsi.com> <florent.marceau@gmail.com>. Malware bancaires. NET. Cibles bancaires (chiffrées). Ce que nous avons. Explosion des trojans bancaires Variantes (en nombre)
E N D
Utilisation du Data Tainting pour l'analyse delogiciels malveillants Florent Marceau <fmarceau@lexsi.com> <florent.marceau@gmail.com> SSTIC 2009 - Utilisation du Data Tainting pour l'analyse de logiciels malveillants - F. Marceau
Malware bancaires NET Cibles bancaires (chiffrées) SSTIC 2009 - Utilisation du Data Tainting pour l'analyse de logiciels malveillants - F. Marceau
Ce que nous avons • Explosion des trojans bancaires • Variantes (en nombre) • Modulaires et flexibles (réseaux) • Obfuscation lourde • Chiffrement • Capacités de rootkit SSTIC 2009 - Utilisation du Data Tainting pour l'analyse de logiciels malveillants - F. Marceau
Ce que nous voulons • Généricité • Intégralement automatisé • Non intrusif (furtivité) • Temps d’exécution viable SSTIC 2009 - Utilisation du Data Tainting pour l'analyse de logiciels malveillants - F. Marceau
Ce que nous savons Quelques certitudes … • Dans un environnement idéal • Données chiffrées de toutes provenances • Seront traitées à un instant (t) par le CPU • En (t+1) elles sont présentes en RAM en clair SSTIC 2009 - Utilisation du Data Tainting pour l'analyse de logiciels malveillants - F. Marceau
Plan • Solution retenue • Full virtualisation • Data tainting • Implémentation générale • Calibrage • Capture • Illustration • Démo • Limites • Conclusion SSTIC 2009 - Utilisation du Data Tainting pour l'analyse de logiciels malveillants - F. Marceau
Solution retenue • Full virtualisation + • Data tainting SSTIC 2009 - Utilisation du Data Tainting pour l'analyse de logiciels malveillants - F. Marceau
Full virtualisation • Pros : • Granularité d’instrumentation fine • Non intrusif • Permet un marquage fin des données sans besoins hardware • Cons : • Détectable • Gourmand en ressources SSTIC 2009 - Utilisation du Data Tainting pour l'analyse de logiciels malveillants - F. Marceau
Data tainting « Mécanisme permettant la traçabilité de la propagation d'une donnée sur un système d'information. » • Traçabilité entre périphériques • Traçabilité dans la RAM (Taintmap) • Traçabilité au niveau CPU SSTIC 2009 - Utilisation du Data Tainting pour l'analyse de logiciels malveillants - F. Marceau
Data tainting « Mécanisme permettant la traçabilité de la propagation d'une donnée sur un système d'information. » • Type de ces données • Données/Code • Utilisation de ces données • Lourde et faite par un code non contrôlé SSTIC 2009 - Utilisation du Data Tainting pour l'analyse de logiciels malveillants - F. Marceau
Data tainting • Pros : • Suivi du déploiement du processus • Suivi des données • Cons : Car très forte interaction des données marquées • Très difficile à calibrer • Peut être évadé SSTIC 2009 - Utilisation du Data Tainting pour l'analyse de logiciels malveillants - F. Marceau
Le calibrage • Nous suivons les flux simples • Assignations directes • Opérations arithmétiques SSTIC 2009 - Utilisation du Data Tainting pour l'analyse de logiciels malveillants - F. Marceau
Le calibrage Un compromis : • Obfuscation/Chiffrement • Risque de perdre la marque • Propagation permissive • Fort volume de données • Risque de pollution complète du marquage • Propagation limitée SSTIC 2009 - Utilisation du Data Tainting pour l'analyse de logiciels malveillants - F. Marceau
Le calibrage On peut s’aider du fait que le code surveillé est marqué pour appliquer une propagation plus ou moins permissive selon sa provenance. SSTIC 2009 - Utilisation du Data Tainting pour l'analyse de logiciels malveillants - F. Marceau
La capture • Propagation des flux simples • Différenciation des types de données • Hook de la MMU • En amont de l’opération • Introduction d’un type « manipulé » • Non propagé • Ne s’applique qu’à une donnée déjà typée SSTIC 2009 - Utilisation du Data Tainting pour l'analyse de logiciels malveillants - F. Marceau
La capture • Le type « manipulé » a pour seul objectif de marquer spécifiquement l’interaction entre le code surveillé et les données. • Les données de ce type seront capturées dans un fichier et leur nature « manipulé » sera alors supprimée. • Un fichier capture pour le type réseau. • Un fichier capture pour le reste (CD/HD). SSTIC 2009 - Utilisation du Data Tainting pour l'analyse de logiciels malveillants - F. Marceau
La capture (Hook MMU) • Trois cas distincts : • Lecture (RAM -> CPU) • Données en RAM de type manipulé -> Capture • Écriture (CPU -> RAM) • L’origine de l’opération (code) est marquée ? Non (OS) • Données en RAM de type manipulé -> Capture • Écriture (CPU -> RAM) • L’origine de l’opération (code) est marquée ? Oui (code viral) • Données en RAM de type manipulé -> Capture • Données en passe d’être stockées en RAM sont marquées -> Ajout du type manipulé SSTIC 2009 - Utilisation du Data Tainting pour l'analyse de logiciels malveillants - F. Marceau
Illustration mov eax,[esi] xor eax,0x11 mov [edi],eax strlen eax : SP_Z eax : BANK
Demo ! SSTIC 2009 - Utilisation du Data Tainting pour l'analyse de logiciels malveillants - F. Marceau
Limites • Détection • Stimuli • Mise en sommeil • Canaux cachés • Évasion
Évasion • Nous suivons les flux simples • Assignations directes • Opérations arithmétiques • Angle mort sur : • Déréférences de pointeurs • Flux conditionnels SSTIC 2009 - Utilisation du Data Tainting pour l'analyse de logiciels malveillants - F. Marceau
Évasion • Une propagation des déréférences • Impossible face à du code objet • Une propagation des flux conditionnels • Impossible sans analyse statique approfondie (Elle-même ineffective face a l’obfuscation..) SSTIC 2009 - Utilisation du Data Tainting pour l'analyse de logiciels malveillants - F. Marceau
Problèmes des flux conditionnels eax=our_data[0]; if(eax&0x80) ebx=-1; Exemple : mov eax,[our_data] and eax,0x80 je skip mov ebx,0xffffffff ?? skip: SSTIC 2009 - Utilisation du Data Tainting pour l'analyse de logiciels malveillants - F. Marceau
Problèmes des flux conditionnels Il existes des solutions mais aucune ne gère correctement les flux implicites indirects (ensemble d'assignations engendrées par la non exécution d'une parcelle de code). SSTIC 2009 - Utilisation du Data Tainting pour l'analyse de logiciels malveillants - F. Marceau 25
Conclusion • Dans les faits • 18 VM parallèles, 10 min / session • 2000 – 2500 samples / jours • Problèmes liés au sandboxing courant (stimuli, sommeil, anti-VM…) • Aucun constat d’anti-tainting SSTIC 2009 - Utilisation du Data Tainting pour l'analyse de logiciels malveillants - F. Marceau
Conclusion Méthode dérivable pour de nombreux autres types d’applications Contrôle du flux d’exécution Contrôle du flux de données (temps réel) Contrôle de la propagation des données (non temporel) Traduire son scénario en terme d’intersection de ces différents contrôles. Peut être évadée SSTIC 2009 - Utilisation du Data Tainting pour l'analyse de logiciels malveillants - F. Marceau 27
Conclusion II • Questions ? • Injures ? • Cadeaux ? • Pizza ? SSTIC 2009 - Utilisation du Data Tainting pour l'analyse de logiciels malveillants - F. Marceau
Solution ? • Propagation au niveau des eflags • Propagation des marquages conditionnels dans le PC SSTIC 2009 - Utilisation du Data Tainting pour l'analyse de logiciels malveillants - F. Marceau
Non ! • Flux implicites indirects : « un ensemble d'assignations engendrées par la non exécution d'une parcelle de code. » SSTIC 2009 - Utilisation du Data Tainting pour l'analyse de logiciels malveillants - F. Marceau
Diagramme de contrôle SSTIC 2009 - Utilisation du Data Tainting pour l'analyse de logiciels malveillants - F. Marceau
Exemple (1/7) 0xFE mov al, byte [our_data] mov ecx,0xff do_it: mov ebx,1 cmp al,cl je skip xor ebx,ebx skip: test ebx,ebx jne done loop do_it done: 0xFE al=our_data[0]; for (ecx=0xff;ecx;ecx--){ ebx=1; if (al != ecx) ebx=0; if(ebx) goto done; } done: SSTIC 2009 - Utilisation du Data Tainting pour l'analyse de logiciels malveillants - F. Marceau
Exemple (2/7) mov al, byte [our_data] mov ecx,0xff do_it: mov ebx,1 cmp al,cl je skip xor ebx,ebx skip: test ebx,ebx jne done loop do_it done: al=our_data[0]; for (ecx=0xff;ecx;ecx--){ ebx=1; if (al != ecx) ebx=0; if(ebx) goto done; } done: SSTIC 2009 - Utilisation du Data Tainting pour l'analyse de logiciels malveillants - F. Marceau
Exemple (3/7) mov al, byte [our_data] mov ecx,0xff do_it: mov ebx,1 cmp al,cl (0xff != 0xfe) je skip xor ebx,ebx skip: test ebx,ebx jne done loop do_it done: al=our_data[0]; for (ecx=0xff;ecx;ecx--){ ebx=1; if (al != ecx) ebx=0; if(ebx) goto done; } done: SSTIC 2009 - Utilisation du Data Tainting pour l'analyse de logiciels malveillants - F. Marceau
Exemple (4/7) mov al, byte [our_data] mov ecx,0xff do_it: mov ebx,1 cmp al,cl je skip xor ebx,ebx skip: test ebx,ebx jne done loop do_it done: al=our_data[0]; for (ecx=0xff;ecx;ecx--){ ebx=1; if (al != ecx) ebx=0; if(ebx) goto done; } done: SSTIC 2009 - Utilisation du Data Tainting pour l'analyse de logiciels malveillants - F. Marceau
Exemple (5/7) mov al, byte [our_data] mov ecx,0xff do_it: mov ebx,1 cmp al,cl (0xfe == 0xfe) je skip xor ebx,ebx skip: test ebx,ebx jne done loop do_it done: al=our_data[0]; for (ecx=0xff;ecx;ecx--){ ebx=1; if (al != ecx) ebx=0; if(ebx) goto done; } done: SSTIC 2009 - Utilisation du Data Tainting pour l'analyse de logiciels malveillants - F. Marceau
Exemple (6/7) mov al, byte [our_data] mov ecx,0xff do_it: mov ebx,1 cmp al,cl (0xfe == 0xfe) je skip xor ebx,ebx skip: test ebx,ebx jne done loop do_it done: al=our_data[0]; for (ecx=0xff;ecx;ecx--){ ebx=1; if (al != ecx) ebx=0; if(ebx) goto done; } done: SSTIC 2009 - Utilisation du Data Tainting pour l'analyse de logiciels malveillants - F. Marceau
Exemple (7/7) mov al, byte [our_data] mov ecx,0xff do_it: mov ebx,1 cmp al,cl (0xfe == 0xfe) je skip xor ebx,ebx skip: test ebx,ebx jne done loop do_it done: (cl == our_data) al=our_data[0]; for (ecx=0xff;ecx;ecx--){ ebx=1; if (al != ecx) ebx=0; if(ebx) goto done; } done: SSTIC 2009 - Utilisation du Data Tainting pour l'analyse de logiciels malveillants - F. Marceau