🥇LoadLibrary, слой за зареждане Windows DLL в Linux-приложения

Тавис Орманди (Tavis ormandy), изследовател по сигурността в Google, който разработва проекта Зареди библиотека, насочен към пренасяне на компилиран за Windows DLL библиотеки за тяхното използване в приложения за LinuxПроектът предоставя библиотека със слоеве, която може да се използва за зареждане на PE/COFF DLL файл и извикване на дефинираните в него функции. PE/COFF зареждащият механизъм е базиран на кода ndiswrapper. Код на проекта разпространява се от лицензиран под GPLv2.

LoadLibrary се грижи за зареждането на библиотеката в паметта и импортирането на съществуващи символи, предоставяйки Linux- API в стил dlopen за приложението. Включеният код може да бъде дебъгван с помощта на gdb, ASAN и Valgrind. Кодът по време на изпълнение може да бъде коригиран чрез hooks и runtime patching. Поддържат се обработка на изключения и отмяна на грешки за C++.

Целта на проекта е да се организира мащабируемо и ефективно разпределено fuzzing тестване на DLL библиотеки в среда, базирана на Linux. В Windows Провеждането на fuzzing и coverage тестове не позволява постигане на необходимата ефективност и често изисква стартиране на отделен виртуализиран екземпляр. Windows, особено при опит за анализ на сложни продукти, като например антивирусен софтуер, който обхваща както функционалност на ядрото, така и на потребителското пространство. Използвайки LoadLibrary, изследователите на Google търсят уязвимости във видео кодеци, антивирусни скенери, библиотеки за декомпресия на данни, декодери на изображения и други.

Например, използвайки LoadLibrary, беше възможно да се пренесе, за да работи в Linux антивирусен енджин Windows Защитник. Проучване на mpengine.dll, който формира основата Windows Defender направи възможно анализирането на голям брой сложни манипулатори на различни формати, емулатори на файлови системи и езикови интерпретатори, които потенциално предоставят вектори за възможен атака.

LoadLibrary също се използва за идентифициране отдалечена уязвимост в антивирусния пакет Avast. При изучаване на DLL от тази антивирусна програма беше разкрито, че ключовият процес на привилегировано сканиране включва пълноценен JavaScript интерпретатор, използван за емулиране на изпълнението на JavaScript код на трети страни. Този процес не е изолиран в среда на пясъчник, не нулира привилегиите и анализира непроверени външни данни от файловата система и прихванатия мрежов трафик. Тъй като всяка уязвимост в този сложен и незащитен процес може потенциално да доведе до отдалечен компромет на цялата система, беше разработена специална обвивка, базирана на LoadLibrary avscript да се анализират уязвимостите в антивирусния скенер Avast в среда, базирана на Linux.

Източник: opennet.ru