Creer Un Shellcode Polymorphique
Creer Un Shellcode Polymorphique
Creer Un Shellcode Polymorphique
Micha Piotrowski
Article publi dans le numro 6/2005 du magazine hakin9 Tout droits rservs. La copie et la diffusion darticle sont admises a condition de garder sa forme et son contenu actuels. Magazine hakin9, Software Wydawnictwo, ul. Piaskowa 3, 01-067 Varsovie, Pologne, fr@hakin9.org
Degr de difficult
Grce l'article publi dans le numro prcdent de hakin9, vous avez appris crer et modifier le shellcode. Vous avez eu galement l'occasion de connatre les problmes de base lis sa structure et les techniques permettant de les contourner. Grce cet article, vous allez apprendre ce qu'est le polymorphisme et comment crire les shellcodes non identifiables par les systmes IDS.
orsque vous ralisez une attaque contre un service rseau, il y a toujours un risque que vous soyez repr par un systme de dtection d'intrusions (en anglais Intrusion Detection System IDS) et que malgr la russite de l'attaque, l'administrateur vous identifie vite et qu'il vous dconnecte du rseau attaqu. C'est incontournable car la plupart des shellcodes ont une structure similaire, utilisent les mmes appels systme et les instructions assembleur et il est donc facile de crer pour ces shellcodes des signatures universelles. La solution partielle ce problme est la cration de shellcode polymorphique qui n'aura pas les caractristiques propres aux shellcodes typiques, mais qui ralisera en mme temps les mmes fonctionnalits. Cela peut paratre difficile raliser, mais si vous arrivez matriser la structure du shellcode lui-mme, cela ne vous posera aucun problme. Tout comme dans l'article Optimisation des shellcodes dans Linux publi dans hakin9 5/2005, votre point de dpart sera la plateforme x86 de 32 bits, le systme Linux avec le noyau de la srie 2.4 (tous les exemples fonctionnent galement dans les systmes dots de noyau de la srie 2.6) et les outils Netwide Assembler (nasm) et hexdump.
Pour ne pas commencer ds le dbut, utilisez trois logiciels crs au pralable. Prenez comme exemple deux shellcodes write4.asm et shell4.asm. Leurs codes source sont prsents sur les Listings 1 et 2 et la mthode pour les convertir en code assembleur est dmontre sur les Figures 1 et 2. Pour tester vos shellcodes, utilisez le logiciel test.c prsent sur le Listing 3.
Shellcode dvelopp
Votre objectif est d'crire un code constitu des deux lments suivants : la fonction de dcodeur et le shellcode encod. Aprs avoir lanc le code et aprs s'tre retrouv dans la mmoire tampon
68
hakin9 N 6/2005
www.hakin9.org
Shellcode polymorphique
Polymorphisme
Le mot polymorphisme vient du grec et signifie plusieurs formes. Ce terme a t employ en informatique pour la premire fois par un pirate bulgare portant le pseudonyme Dark Avenger, ce dernier ayant cr en 1992 le premier virus polymorphique. L'objectif du code polymorphique est d'viter la dtection tout en s'adaptant aux modles, c'est--dire certains traits caractristiques permettant d'identifier un code donn. La technique de dtection des modles est utilise dans les logiciels antivirus et dans les systmes de dtection des intrusions. L'encodage est un mcanisme le plus souvent utilis pour intgrer le polymorphisme dans le code des logiciels informatiques. Le code appropri, excutant les fonctions principales du logiciel est encod et une fonction de plus est ajoute au logiciel, dont la seule tche est d'encoder et de lancer le code original.
Signatures
Un lment cl pour tous les systmes rseau de dtection d'intrusions (en anglais Network Intrusion Detection System NIDS) est la base de signatures, savoir un ensemble de caractristiques pour une attaque donne ou un type d'attaques. Le systme NIDS intercepte tous les paquets envoys travers le rseau et il essaye de les comparer une des signatures disponibles. Ds qu'il russit, une alerte est dclenche. Les systmes plus avancs sont galement capables de configurer le pare-feu de sorte qu'il n'autorise pas l'entre du trafic venant de l'adresse IP appartenant l'intrus. Ci-dessous, vous trouverez trois exemples de signatures pour le logiciel Snort permettant d'identifier la plupart des shellcodes typiques pour les systmes Linux. La premire d'entre elles dtecte la fonction setuid (les octets B0 17 CD 80), la deuxime la chane de caractres /bin/sh et la troisime le pige NOP :
alert ip $EXTERNAL_NET $SHELLCODE_PORTS -> $HOME_NET any reference:arachnids,436; classtype:system-call-detect; alert ip $EXTERNAL_NET $SHELLCODE_PORTS -> $HOME_NET any (msg:"SHELLCODE Linux shellcode"; content:"|90 90 90 E8 C0 FF FF FF|/bin/sh"; sid:652; rev:9;) sid:650; rev:8;) (msg:"SHELLCODE x86 setuid 0"; content:"|B0 17 CD 80|";
reference:arachnids,343; classtype:shellcode-detect; alert ip $EXTERNAL_NET $SHELLCODE_PORTS -> $HOME_NET any classtype:shellcode-detect; sid:1394; rev:5;)
Il est beaucoup plus difficile aux systmes IDS de noter la prsence de code polymorphique que celle du shellcode typique, mais il ne faut pas oublier que le polymorphisme ne rsout pas tous les problmes. La plupart des systmes contemporains de dtection d'intrusions utilisent, outre les signatures, des techniques plus ou moins avances permettant de dtecter galement le shellcode encod. Les plus connues parmi elles sont l'identification de la chane NOP, la dtection des fonctions du dcodeur et l'mulation du code.
dans un logiciel vulnrable, la fonction de dcodeur dcode tout d'abord le shellcode appropri, puis elle lui transfre la gestion. La structure du shellcode dvelopp est prsente sur la Figure 3 et la Figure 4 reprsente les tapes donnes de son fonctionnement.
permettant d'y parvenir mais quatre mthodes utilisant les instructions assembleur de base sont utilises le plus souvent : la soustraction (l'instruction sub) les valeurs numriques donnes sont soustraites des octets du shellcode encod, l'ajout (instruction add) les valeurs numriques donnes sont ajoutes aux octets donns du shellcode,
Dcodeur
la diffrence symtrique (l'instruction xor) les octets donns du shellcode sont soumis l'opration de diffrence symtrique avec une valeur dfinie,
www.hakin9.org
hakin9 N 6/2005
69
Programmation
le dplacement (l'instruction mov) les octets donns du shellcode sont changs les uns contre les autres.
Le Listing 4 reprsente le code source du dcodeur utilisant l'instruction de soustraction. Essayez d'examiner de prs son fonctionnement. Commencez par la troisime ligne du code source et l'endroit repr comme three. Vous y trouverez l'instruction call transfrant l'excution du logiciel vers l'endroit one et mettant en mme temps sur la pile la valeur de l'adresse de l'instruction suivante. Grce cela, l'adresse de l'instruction four se trouvant aprs le code du dcodeur sera mise sur la pile dans votre cas, ce sera le dbut du shellcode encod. Dans la sixime ligne, enlevez cette adresse de la pile et mettez-la dans le registre ESI, rglez zro le registre ECX (ligne 7) et insrez-y (ligne 8) un nombre de 1 octet dfinis-
sant la longueur du shellcode encod. Pour l'instant, la valeur est 0 mais cela changera plus tard. Entre les lignes 10 et 14, il y a une boucle qui s'excutera autant de fois que le nombre des octets se trouvant dans le shellcode encod. Dans les itrations suivantes, le nombre mis dans le registre ECX sera diminu de 1 (l'instruction sub cl, 1 dans la ligne 12) et la boucle cessera de fonctionner lorsque cette valeur sera gale zro. L'instruction jnz two (Jump if Not Zero) sautera au dbut de la boucle repr comme two jusqu' ce que le rsultat de soustraction ne soit pas gal zro. Dans la ligne 11, il y a l'instruction proprement dite dcodant le shellcode elle soustrait le zro des octets suivants du shellcode (en regardant en arrire). Bien sr, la soustraction
70
hakin9 N 6/2005
www.hakin9.org
Shellcode polymorphique
du zro n'a pas de sens, mais vous vous en occuperez dans la partie suivante de l'article. Ds que tout le code retrouvera sa forme originale, le dcodeur saute (ligne 14) au dbut du code, ce qui permet aux instructions s'y trouvant de s'excuter. La compilation du code dcodeur se droule de la mme manire que la compilation du shellcode, ce qui est reprsent sur la Figure 5. Comme vous pouvez le constater, il y a dans le code deux octets zro correspondant aux zros dans les lignes 8 et 11 du code source du programme decode_sub.asm. Vous les remplacerez par les valeurs correctes (non zro) lorsque vous allez lier le dcodeur au shellcode encod.
Encoder le shellcode
Vous avez dj la fonction de dcodage et il vous manque encore le shellcode encod. Vous avez galement les shellcodes write4 et shell4. Il faut donc les convertir au format pouvant cooprer avec le dcodeur. Il est possible de le faire manuellement en ajoutant chaque octet du code une valeur choisie, mais une telle solution est peu efficace et manque de souplesse l'usage . Au lieu de cela, utilisez un nouveau programme nomm encode1.c visible sur le Listing 5. chaque octet de la variable de caractres shellcode, il ajoute la valeur dfinie dans la variable offset. Dans ce cas, modifiez le shellcode write4 en incrmentant chaque octet de 1. La compilation du programme et le rsultat obtenu sont prsents sur la Figure 6. Si vous comparez maintenant le shellcode original avec celui encod, vous noterez qu'ils diffrent de 1. En outre, le code que vous avez obtenu, rsultant du fonctionnement du programme encode1, ne contient pas les octets zro (0x00) et de mme, il peut tre insr dans un programme vulnrable au dbordement de la mmoire tampon.
Figure 6. Compilation et fonctionnement du programme encode1.c tout dans la variable shellcode du programme test.c (Listing 6) tout en remplaant les deux octets zro se trouvant dans le code dcodeur par la valeur \x26 (la longueur du code encod est de 38 octets 26 dans le systme hexadcimal) et \x01 (pour obtenir un shellcode original, il faut diminuer de 1 la valeur de chaque octet). Comme vous pouvez le voir sur la
Vous avez maintenant le dcodeur et le shellcode encod. Il ne vous reste qu' les assembler et vrifier si tout fonctionne correctement. Insrez-le
www.hakin9.org
hakin9 N 6/2005
71
Programmation
l'instruction disponible dans la ligne 11, vous n'allez pas les prsenter dans leur totalit. Il suffit que la ligne 11 soit remplace par add byte [esi + ecx - 1], 0 (pour decode _ add) ou par xor byte [esi + ecx - 1], 0 (pour decode _ xor). Le code source decode _ mov (voyez le Listing 7) est un peu diffrent et il utilise quatre instructions mov qui changent les places de tous les deux octets voisins. Compilez les codes pour obtenir les programmes montrs sur la Figure 8. Transformez-les alors en variables de caractres et insrez dans le fichier source de votre moteur encodee.c (Listing 8). Figure 7. Vrifier le fonctionnement du code polymorphique
Listing 7. Fichier decode_ mov.asm
1: 2: 3: 4: 5: 6: 7: 8: 9: 10: 11: 12: 13: 14: 15: 16: 17: 18: 19: 20: 21: 22: 23: 24: BITS 32 jmp short three one: pop xor xor xor mov two: mov mov mov mov sub jnz jmp
esi eax, eax ebx, ebx ecx, ecx cl, 0 byte al, [esi + byte bl, [esi + byte [esi + ecx byte [esi + ecx cl, 2 two short four
originale, il l'encodera et il ajoutera un dcodeur adquat. Commencez par crer les dcodeurs utilisant les instructions add, xor et mov. Nommez-les respectivement decode _ add, decode _ xor et decode _ mov. Comme les codes source des fonctions decode _ add et decode _ xor diffrent de la fonction decode _ sub cre au pralable seulement par
Fonctions d'encodage
Il est temps maintenant de crer quatre fonctions qui chargeront le shellcode en version originale et qui l'encoderont. Nommez-les respectivement : encode _ sub, encode _ add, encode _ xor et encode _ mov. Les trois premires fonctions prennent comme arguments le pointeur vers le shellcode que vous voulez encoder et la cl sous la forme de la valeur de dpla-
1] 2] bl al
Figure 7, votre nouveau shellcode polymorphique fonctionne bien le shellcode original est dcod et il affiche le message sur la sortie standard.
Crer un moteur
A prsent, vous savez donner aux shellcodes les caractristiques polymorphiques et les masquer ainsi aux systmes de dtection d'intrusions. Essayez alors d'crire un programme simple permettant d'automatiser tout le processus l'entre, il acceptera le shellcode en version
72
hakin9 N 6/2005
www.hakin9.org
Shellcode polymorphique
www.hakin9.org
hakin9 N 6/2005
73
Programmation
cement et elles retournent un pointeur vers un code nouvellement cr. Si lors de l'encodage, un octet zro apparat dans le shellcode rsultant, les fonctions cesseront de fonctionner et elles retourneront la valeur NULL. La fonction encode _ mov prenant seulement un argument (le shellcode) et changeant la place de tous les deux octets voisins se prsente d'une autre manire. Pour viter les erreurs lies la modification du code un nombre impair d'octets, la fonction vrifie la longueur du shellcode et si ncessaire, change le dernier octet contre l'instruction NOP (0x90). Grce cela, la longueur du code sera toujours la multiplicit de 2. Toutes les quatre fonctions sont prsentes sur le Listing 9.
Pour lier le code dcodeur au shellcode encod, utilisez l'une de quatre fonctions disponibles. Ce sont : add _ sub _ decoder, add _ add _ decoder, add _ xor _ decoder et add _ mov _ decoder. Chacune d'entre elles modifie le dcodeur dans une variable approprie de sorte remplacer les endroits zro s'y trouvant par la longueur du code encod et la valeur de dplacement. Ensuite, elle lie le dcodeur au code encod charg en tant qu'argument, puis elle retourne le pointeur vers le code polymorphique tout prt. Le Listing 10 reprsente l'une de ces fonctions les autres font partie du fichier encodee.c disponible dans hakin9.live.
Vous avez encore besoin de quelques fonctions d'aide permettant de faciliter l'utilisation du programme. La plus importante s'appelle get _ shellcode, elle charge le shellcode original depuis un fichier dfini comme argument. La deuxime, print _ code, affiche le shellcode sous la forme formate, prte tre insre dans un exploit ou dans le programme test.c. Les deux dernires fonctions s'appellent usage et getoffset la premire affiche la m-
74
hakin9 N 6/2005
www.hakin9.org
Shellcode polymorphique
www.hakin9.org
hakin9 N 6/2005
75
Programmation
propos de l'auteur
Micha Piotrowski est matre en informatique et administrateur expriment des rseaux et systmes. Durant plus de trois ans, il a travaill en tant qu'inspecteur de scurit dans un tablissement responsable du bureau de certification suprieur dans l'infrastructure polonaise PKI. Actuellement, il est un expert en scurit tlinformatique dans l'une des plus grandes institutions financires en Pologne. Il passe son temps libre programmer. Il s'occupe galement de la cryptographie.
Mettez ensemble tous les lments du programme en utilisant la fonction main (voir le fichier encodee.c dans hakin9.live). Celle-ci est trs simple tout d'abord, elle vrifie les paramtres avec lesquels le programme a t dmarr, puis elle charge le shellcode depuis un fichier indiqu, elle encode l'aide de la fonction choisie, ajoute le dcodeur et imprime le tout sur la sortie standard.
Tester le programme
Vrifiez maintenant si votre programme fonctionne correctement. Pour cela, crez un shellcode base du code write4 encod via l'instruction add et le dplacement gal 15 (Figure 9). Insrez-le ensuite dans le programme test et vrifiez son fonctionnement (Figure 10).
Conclusion
Vous connaissez maintenant les mthodes permettant de gnrer des shellcodes polymorphiques et vous avez russi crire un programme automatisant tout le processus. Bien sr, cela reste un programme trs simple qui n'utilise que quatre dcodeurs les plus communs mais il peut tre un point de rfrence pour vos propres tudes et exprimentations. l
thode de dmarrage du programme et la seconde tire un nombre utilis en tant que dplacement (si l'utilisateur ne le dfinit pas). Le code de ces fonctions est prsent dans le fichier encodee.c disponible dans hakin9.live.
Sur Internet
http://www.orkspace.net/software/libShellCode/index.php page d'accueil du projet libShellCode, http://www.ktwo.ca/security.html page d'accueil de l'auteur d'ADMmutate, http://www.phiral.com/ page d'accueil de l'auteur du programme dissembler.
76
hakin9 N 6/2005
www.hakin9.org