LoadLibrary, слой за зареждане на Windows DLL файлове в Linux приложения

Тавис Орманди (Tavis ormandy), изследовател по сигурността в Google, който разработва проекта Зареди библиотека, насочен към пренасяне на DLL файлове, компилирани за Windows за използване в Linux приложения. Проектът предоставя библиотека със слоеве, с която можете да заредите DLL файл във формат PE/COFF и да извикате дефинираните в него функции. PE/COFF буутлоудъра е базиран на код ndiswrapper. Код на проекта разпространява се от лицензиран под GPLv2.

LoadLibrary се грижи за зареждането на библиотеката в паметта и импортирането на съществуващи символи, предоставяйки на Linux приложението API в стил dlopen. Кодът на приставката може да бъде отстранен с помощта на gdb, ASAN и Valgrind. Възможно е да коригирате изпълнимия код по време на изпълнение чрез свързване на куки и прилагане на кръпки (кръпка по време на изпълнение). Поддържа обработка на изключения и отвиване за C++.

Целта на проекта е да се организира мащабируемо и ефективно разпределено fuzzing тестване на DLL библиотеки в Linux-базирана среда. В Windows тестването на размиването и покритието не е много ефективно и често изисква стартиране на отделно виртуализирано копие на Windows, особено когато се опитвате да анализирате сложни продукти като антивирусен софтуер, който обхваща ядрото и потребителското пространство. Използвайки LoadLibrary, изследователите на Google търсят уязвимости във видео кодеци, скенери за вируси, библиотеки за декомпресиране на данни, декодери на изображения и др.

Например, с помощта на LoadLibrary успяхме да пренесем антивирусния двигател на Windows Defender, за да работи на Linux. Проучването на mpengine.dll, което формира основата на Windows Defender, направи възможно анализирането на голям брой сложни процесори за различни формати, емулатори на файлова система и езикови интерпретатори, които потенциално предоставят вектори за възможен атака.

LoadLibrary също се използва за идентифициране отдалечена уязвимост в антивирусния пакет Avast. При изучаване на DLL от тази антивирусна програма беше разкрито, че ключовият процес на привилегировано сканиране включва пълноценен JavaScript интерпретатор, използван за емулиране на изпълнението на JavaScript код на трети страни. Този процес не е изолиран в среда на пясъчник, не нулира привилегиите и анализира непроверени външни данни от файловата система и прихванатия мрежов трафик. Тъй като всяка уязвимост в този сложен и незащитен процес може потенциално да доведе до отдалечен компромет на цялата система, беше разработена специална обвивка, базирана на LoadLibrary avscript за анализиране на уязвимости в антивирусния скенер Avast в базирана на Linux среда.

Източник: opennet.ru