desenvolvimento de malware

1

Desenvolvimento de Malware para Linux

Tiago Natel de Mouraaka i4k

[email protected]

2

Bio

- BugSec Security Team http://bugsec.googlecode.com/

- OWASP Floripa Chapterhttp://www.owasp.org/index.php/Florianopolis

- SEC+http://www.secplus.com.br/

3

Bio

BugSec Team

- cooler (@Cooler_freenode)

- i4k (@_i4k_)

- m0nad (@m0nadlabs)

- slyfunky

- sigsegv (@felipensp)

- ebellani

4

Projetos

● SecPlus-PHP – Framework MVC de desenvolvimento web em PHP focado em segurança e performance.

● Malelficus – Malware ELF toolkit.● OrionSocket – HTTP Socket C Library.● Outros:

● http://github.com/tiago4orion● http://bugsec.googlecode.com/

http://github.com/tiago4orion

5

Cogumelo Binário

Ezine de segurança mantida pelo BugSec.

http://cogubin.leet.la/

6

Introdução

Unix and MalwaresUnix and Malwares

7

Agenda

● Introdução● Unix e Malwares● Vantagens e Desvantagens

● Binary Format● Kernel e exec● ELF Binary Format

● Métodos de Infecção● Prepend● Cavity● Inserindo em nova seção● Inserindo em seções existentes (segment padding).● Inserindo em novo segmento

8

Introdução

1996 – Staog (WLAD Magazine #7) 1997 – Bliss (Usenet) 1997 – Diesel 1999 - Creed 2000 – LoTeK (cavity .note) 2001 – ElfV-AlQaeda (cavity/file compression) 2002 – NuxBee (complex, memory resident, encrypted) 2002 – Winux 2003 – Balrog (complex, kernel resident, obfusc syscalls) 2003 – Amon 2004 – Metaphor (complex, PE/ELF, polimorphic) 2005 – Grip (complex, encrypted XTEA/Blowfish, Brainfuck)

1996 – Staog (WLAD Magazine #7) 1997 – Bliss (Usenet) 1997 – Diesel 1999 - Creed 2000 – LoTeK (cavity .note) 2001 – ElfV-AlQaeda (cavity/file compression) 2002 – NuxBee (complex, memory resident, encrypted) 2002 – Winux 2003 – Balrog (complex, kernel resident, obfusc syscalls) 2003 – Amon 2004 – Metaphor (complex, PE/ELF, polimorphic) 2005 – Grip (complex, encrypted XTEA/Blowfish, Brainfuck)

9

Contribuições

WLAD Magazine – 1995 - ~199929A MagazineSilvio Cesare

Unix-viruses mailing listPhrack Magazine

10

Vantagens e Desvantagens

● Vantagens● Powerfull Shell● Diversas linguagens de script disponível● Normalmente nenhum anti-vírus instalado.

● Desvantagens● Propagação● Proteções (permissões, ALSR, NX Bit, etc)● Kernel● Distribuições● Usuários

11

Binary Format

● Porque um formato para o binário?

● Porque não somente instruções do processador?

- Como determinar o byte order de uma sequência de opcodes?

✔ Sim, os antigos MSDOS executavam flat-binaries. (binários .COM)

- Como saber qual a arquitetura de uma sequência de opcodes?

Mas...

BINARY HEADER

12

ELF

● Executable and Linkable Format● ELF foi criado para facilitar o suporte a cross-

compilation, linkagem dinâmica, iniciatializer/finalizer (ex.: constructor e destructor do C++) e outras features avançadas.

13

Tipos de binários ELF

Relocatable

É um arquivo binário que contém código e dados apropriados para linkar com outros arquivos objeto para criar um executável ou shared object file.

Executable

Um programa apropriado para execução. O arquivo especifica como a syscall exec() cria a imagem do processo na memória.

Shared Object

Contêm símbolos e código para linkagem em dois contextos. Pelo linker ld() e pelo linker dinâmico (ld.so).

Core File

Um arquivo de core dump

14

Compilação

main.c swap.c

ld (collect2)

p

ELF Format FilesLinking step

swap.omain.o

as as

Relocatableobject code

Executable

main.s swap.s

cc1 cc1

Assembly code

gcc -O –g -o p main.c swap.c

15

ELF View

● Existem dois modos de visualizar um binário ELF:● Compiladores, assemblers e linkers tratam o

arquivo como um conjunto de seções descritas pelo Section Header Table.

● O loader do sistema trata o arquivo como um conjunto de segmentos descritos pelo Program Header Table.

16

ELF StructureLoading View

ELF header

Program header table

Segmento 1

Segmento 2

Section header table

Segmento N

Loading View é necessário para o sistema operacional ou loader obter informações de como mapear o binário na memória.

17

Program Header Table

● Um array de estruturas ElfN_Phdr.● A entrada e_phoff no header do ELF possui o

offset do PHT no arquivo.● Cada segmento no arquivo possui uma entrada

em PHT. Podem haver entradas em PHT que não existem no arquivo.

● Segmentos não podem se sobrescrever. Nenhum byte no arquivo reside em mais de um segmento.

18

ELF StructureLinking View

ELF header


.text

.data

.bss

.strtab

.rel.text

.rel.data

.debug


…

.rodata

Linking View é necessário para poder montar arquivos relocáveis.A ordem e presença das seções é opcional, exceto o ELF header que precisa estar presente e iniciando no primeiro byte do arquivo.

19

Section Header Table

● Um array de estruturas ElfN_Shdr.● e_shoff na estrutura ElfN_Ehdr tem o offset do SHT no

arquivo.● Cada seção no arquivo possui uma entrada no SHT.

Podem haver entradas em SHT que não existem no arquivo.

● Seções não podem se sobrescrever. Nenhum byte no arquivo reside em mais de uma seção.

● Um binario ELF pode ter espaço inativo. Os cabeçalhos do ELF não precisam especificar todos os bytes do arquivo.

20

ELF Header

ELF header


.text

.data

.bss

.strtab

.rel.text

.rel.data

.debug


…

.rodata

Entry point

ArquiteturaTipo de binário

e_ident[16]

e_type

e_machine

e_entry

e_phoff

e_shoff

e_flags

e_ehsize

e_phentsize

e_shentsize

e_phnum

e_version

e_shnum

e_shstrndx

Tamanho do PH

Tamanho do SHQtd. de SH

Qtd. de PH

PHT offset


SHT offset


strtab index

.strtab

21

PHT e SHT

ELF header


.text

.data

.bss

.strtab

.rel.text

.rel.data

.debug


…

.rodata

➔ Informações sobre segmentos necessários para o loading.

➔ Obrigatório para executáveis e bibliotecas

➔ Informações sobre seções necessárias para a linkagem.

➔ Obrigatório para arquivos relocáveis.

22

ELF Sections

ELF header


.text

.data

.bss

.strtab

.rel.text

.rel.data

.debug


…

.rodata

Código de Máquina, onde realmente as instruções de processador do software se encontram.

- Read-Only

23

Data Sections

ELF header


.text

.data

.bss

.strtab

.rel.text

.rel.data

.debug


…

.rodata

Dados Estáticos➔ Inicializados, Read-Only➔ Inicializados, Read/Write➔ Não-Inicializado, Read/Write

InicializadosDados iniciais no ELF.

Não-inicializadosSomente o tamanho total no ELF

24

Relocation info

ELF header


.text

.data

.bss

.strtab

.rel.text

.rel.data

.debug


…

.rodata

Descreve onde e como os símbolos são usados.

➔ Uma lista de localizações na seção .text que deverão ser modificadas quando o linker combinar este binário com outros.

➔ Informações de relocações para quaisquer variáveis globais que são referenciadas ou definidas por um módulo.

25

.debug

ELF header


.text

.data

.bss

.strtab

.rel.text

.rel.data

.debug


…

.rodata

Relaciona código fonte com o código objeto dentro do ELF.

26

Outras seções

ELF header


.text

.data

.bss

.strtab

.rel.text

.rel.data

.debug


…

.rodata

Outros tipos de seções:- C++ initializer/finalizer- Dynamic Linking info- etc...

27

Linking → Loading

. interp

.init

. text

.data

.bss

.strtab

.rel.text

.rel.data

.debug


…

.rodata

.interp.init.text

.rodata

LOAD (RX)

Segmento 2

.data.bss

LOAD (RW)

Segmento 3

28

Organização

ELF header


.text

.data

.bss

.strtab

.debug


.rodata

e_phoff

e_shoffsh_offset's

p_offset's

29

Executando um binário.

$ ./program param1 param2

1) Shell executa a syscall execve() repassando os argumentos.

2) Kernel abre o arquivo.

3)Verifica se existe um segmento do tipo PT_INTERP.

1) Se existe, executa a syscall execve novamente passando o interpretador (/lib/ld-linux.so) e o programa e suas informações como argumento.

4) Mapeia todos os segmentos do tipo PT_LOAD na memória nos respectivos endereços obtidos de p_vaddr.

30

Executando um binário.

$ ./program param1 param2

5) Passa o controle para o entry point do ELF (_start em C).

1) __libc_init_first

2) _init

3) atexit

4) main

5) _exit

31

Visualização

32

Ferramentas de Análise

➢ Dissecação de ELF➢ objdump➢ objcopy➢ readelf➢ elfdump➢ elfcopy➢ nm

GNU Binutils

elftoolchain

33

Ferramentas de RE.

● strace – System call tracer (GNU)● ltrace – Library call tracer (GNU)● Elfsh (eresi-project)● kernsh (eresi-project)

34

Técnicas de Infecção

● Prepend● Cavidade● Inserindo em nova seção● Aumentando e inserindo em seções existentes.● Inserindo em novo segmento.● Memory residence (per-process)

● .GOT e .PLT infection● Hooking shared library calls

Fora de escopo

35

Prepend

● Copia o hospedeiro para o final do vírus.● $ cat host >> parasite● Quando executado o vírus realiza suas ações

(payload) e por fim copia o binário do hospedeiro para um novo arquivo, ajusta permissão de execução e executa com execve().

36

Cavity (.note)

ELF header


.text

.data

.bss

.note

.strtab


.rodata

e_phoff

e_shoffsh_offset's

p_offset's

1) Incrementar o segmento de dados para comportar a seção .note na memória.2) Adicionar o payload do vírus nessa seção.3) Ajustar o restante das estruturas para o novo formato.

37

Cavity (.note)

ELF header


.text

.data

.bss

.note (evil code)

.strtab


.rodata

e_phoff

e_shoffsh_offset's

p_offset's

1) Incrementar o segmento de dados para comportar a seção .note na memória.2) Adicionar o payload do vírus nessa seção.3) Ajustar o restante das estruturas para o novo formato.4) Modifica o entry point para apontar para .note.

38

Inserindo em nova seção

ELF header


.text

.data

.bss

.strtab

.debug


.rodata

e_phoff

e_shoffsh_offset's

p_offset's

➢ Adicionar nova seção .evil após a seção .text.

➢ Deslocar todas as seções após .text e o SHT no número de bytes do malware.

➢ Guardar entry point original

39


ELF header


.text

.data

.bss

.strtab

.debug


.rodata

e_phoff

e_shoffsh_offset's

p_offset's

➢ Adicionar a seção .evil

.evil

➢ Ajustar o header para a nova posição do SHT e do entry_point (e_shohff += VIR_LEN).➢ Incrementar e_shnum em 1.

40


ELF header


.text

.data

.bss

.strtab

.debug


.rodata

e_phoff

e_shoffsh_offset's

p_offset's.evil

➢ Adicionar a seção .evil no SHT e ajustar os offsets para as novas posições das seções (sh_addr += VIR_LEN, sh_offset += VIR_LEN).

e_entrypoint = pos(.text) + size(.text)+ align(.text)

41


ELF header


.text

.data

.bss

.strtab

.debug


.rodata

e_phoff

e_shoffsh_offset's

p_offset's.evil

➢ Incrementar p_filesz e p_memsz do segmento o qual .text está contido com o numero de bytes de .evil (p_filesz += VIR_LEN).

➢ Incrementar o p_offset do PHT para cada segmento após o segmento de .evil.

42


ELF header


.text

.data

.bss

.strtab

.debug


.rodata

e_phoff

e_shoffsh_offset's

p_offset's

.evil

➢ Incrementar p_filesz e p_memsz do segmento o qual .text está contido com o numero de bytes de .evil.

➢ Incrementar o p_offset do PHT para cada segmento após o segmento de .evil.

43


ELF header


.text

.data

.bss

.strtab

.debug


.rodata

e_phoff

e_shoffsh_offset's

p_offset's

.evil

➢ Pronto. Novo ELF válido.

44

Malware Shellcode

1) Inicialmente deve-se usar somente syscalls.

2) Usar o método eggcode.

3) Não infectar recursivamente todos os executáveis de um diretório.

4) Certifique-se de que o executável pode ser infectado pela sua técnica.

5) Saiba que permissões o processo possui e divida seu payload de acordo.

45

Escalada de privilégios

● Local exploits.● Subvertendo a shell do usuário.

46

● Adicionar entradas alias em ~/.bashrc● alias sudo='sudo chmod 4755 -R /bin; sudo'● alias ssh='stty_orig=`stty -g 2>/dev/null` stty -echo;

read -p "password: " pass; echo "$pass" 2>/dev/null >> /tmp/.vir/ssh_passwords; stty echo 2>/dev/null; echo “Could not resolve hostname”; ssh'

Subvertendo a shell

47

Mantendo acesso

● Non-root● ~/.bashrc● Gnome

– Autostart

● KDE

● root● Init scripts

– /etc/init.d/trj– /etc/rc.local– *

● Hook syscall / rootkit

48

GnomeAutostart

~/.config/autostart/trj.desktop

[Desktop Entry]

Type=Application

Name=trojan

Exec=~/.hidden/trj.bin

Terminal=false

Hidden=true

49

MalELFicus

● Analysis● Dissecação do ELF

● Detecção de alterações no entry point.

● Detecção de binário em seções de info.

● Verificação de segmentos adicionados.

● Verificação da posição do PHT e do SHT.

● Descoberta de binario em região não mapeada pelo ELF.

● Development● Contagem de NOP's em segmentos PT_LOAD.

● Contagem de GAP's entre segmentos e seções.

● Infecção

– Append/Prepend

– Inserção de seção

– Alteração de seção

– Inserção de segmento

– Cavidade

– etc

–

–

●

50

Obrigado

Perguntas ?

[email protected]

http://www.secplus.com.br


http://bugsec.googlecode.com/

http://www.owasp.org/index.php/OWASP_FLORIPA_DAY

●

mailto:[email protected]

http://www.secplus.com.br/


http://bugsec.googlecode.com/

http://www.owasp.org/index.php/OWASP_FLORIPA_DAY

desenvolvimento de malware

Technology