Yataglass vise à contrer les codes malicieux utilisant des techniques avancées d'évasion

Par Xavier Poli, secuobs.com
Le 29/03/2010

---

Résumé : Yataglass est une nouvelle solution de détection des codes offensifs qui vise à contrer les attaques les plus sophistiquées. Il permettrait notamment de détecter et d'analyser celles qui reposent sur l'utilisation de techniques avancées d'évasion. - Lire l'article



Les attaques, aboutissant à l'injection distante de codes ( Shellcode - lien ), sont un des vecteurs les plus utilisés dans la sécurité offensive et exploitent des vulnérabilités tels que les Stack Overflow ( lien ), les Heap Overwrite ( lien ) et les Format String ( lien ). Les codes injectés ont cependant constamment dû évoluer afin de contourner les solutions visant leur détection et leur analyse comportementale.

Le chiffrement a par exemple permis à ces codes de contourner les dispositifs de détection par motif, alors que l'obfuscation ( lien ) rendait elle beaucoup moins pertinents les résultats des analyses statiques se basant sur les flux de contrôle. Face à ces évolutions, des chercheurs ont alors proposé des détecteurs qui extrayaient directement les instructions du code malicieux depuis la charge utile des paquets réseau et simulaient par ce biais leur exécution dans un environnement émulé.

En réponse, l'encodeur TAPiON ( lien ) fut par exemple développé afin d'insérer des instructions FPU ( lien ) et rdtsc ( lien ) non-implémentées dans certains de ces dispositifs et qui permettaient dès lors aux codes malicieux de s'en évader. Face à des protections plus complètes, d'autres techniques ont tout de même dues être privilégiées et notamment celles implémentant les attaques Memory-scanning ( Cf. papier de recherche - lien ).

Ces dernières permettent en effet d'accéder à l'espace mémoire du processus ciblé par l'exploitation et cela en dehors de tous les contrôles effectués par les systèmes d'émulation, ces systèmes ne disposant pas d'une image mémoire du processus et ne travaillant qu'au niveau des charges utiles des paquets réseau. En partant de ce constat, les chercheurs proposent aujourd'hui Yataglass, une nouvelle solution d'émulation qui serait capable d'analyser et de contrer ces attaques sophistiquées.

A savoir que les codes malicieux relatifs contiennent habituellement une boucle de balayage visant à trouver un fragment de code utile pour l'évasion. Partant de ce constat, Yataglass va tenter d'extraire les différentes conditions qui sont nécessaires à l'arrêt de ces boucles. Il préparera ensuite une région spécifique de code afin de satisfaire ces conditions et de tromper le code malicieux, tout en prévenant son évasion, contrairement aux solutions existantes.

Un prototype aurait d'ores et déjà été implémenté pour l'architecture Intel x86 et des tests ont été menés à l'encontre de sept codes malicieux bien distincts. Les résultats expérimentaux auraient dès lors démontré ses succès quant à l'émulation environnementale de tous les codes utilisés. Il aurait donc réussi à empêcher leur évasion, contrairement à Spector ( lien ), l'autre solution utilisée comparativement lors des tests.

Le papier de recherche ( PDF - lien )

Source : Reverse Engineering ( lien )