[CB16] バイナリロックスターになる:Binary Ninjaによるプログラム解析入門 by Sophia D’Antoine
Download as PPTX, PDF1 like2,926 views
今回の講演では、ソースコードが入手不可能なコンパイルされたプログラムの解析について取り扱う。LLVM パスの様な多くの静的なプログラム解析ツールでは、ソースからバイトコードへのコンパイル機能に重点を置いており、バイナリを動作させることはできない。この問題の解決策を、Binary Ninja で扱っている新しい中間言語 (IL) を用いて紹介し実演する。Binary Ninja IL は、それを用いた解析をどの様に記述するかという基礎的な知識を用いることにより、取り扱うことが可能となる。 今回の講演では、簡単なメモリ破壊脆弱性を自動検出するために書かれた Binary Ninja IL で開発されたツールを公開し、CTF で出題されたバイナリを用いて実演する。また、脆弱性発見の手順における、変数解析や抽象解釈、整数範囲解析についても議論する。 --- ソフィア・ダントワーヌSophia D'Antoine ソフィア・ダントワーヌはニューヨークの Trail of Bits 社のセキュリティ技術者であり、Rensselaer Polytechnic Institute の卒業生である。彼女は RECon、HITB、CanSecWest の様な世界中のセキュリティ・カンファレンスでは常連の講演者である。彼女の講演では、LLVM を用いたソフトウェアの難読化や、ソフトウェアに対する攻撃の自動化技術などを取り扱っている。彼女は CTF への取り組みや、騒がしいコンサートに出かけることに多くの時間を費やしている。
![実践的 (学術的) & プログラム解析
● xの値は不正確である
● コンパイラは不正確に抽象
化する。
int x;
int[] a = new int[10];
a[2 * x] = 3;
1. 精密さを付与する – つまり、
抽象値の範囲は [0, 9]
1. 抽象化ドメインと値による
シンボリック実行
● 制御フロー解析の要求](https://image.slidesharecdn.com/cb16dantoineja-161109043345/85/CB16-Binary-Ninja-by-Sophia-D-Antoine-25-320.jpg)
[CB16] バイナリロックスターになる:Binary Ninjaによるプログラム解析入門 by Sophia D’Antoine
- 2. この講演で 話さないこと
- 3. この講演で 話すこと
- 5. IDAは完璧ではない
- 6. 問題 バイナ リ ソース コード 問題 ● 確固たるツールの選択肢の不足 ● コード読解は役に立ち続ける ● コンパイラとLLVMのツー ルの性能は向上している ( この分野はたくさんのイ カしたプロジェクトがあ る!) ● ほとんどのツールは意味的推論が欠 如している ● 逆コンパイラは広く利用されている が、自動的に推論することが困難で ある ● 多くのプログラム解析フレームワー クは使いづらい –自分の分析との対 話に使用可能なフレームワークが欠 如している ● バイナリを取り扱うためのインタラ クティブかつ使用可能な中間言語 (IL)フレームワークの本当に良い選 択肢はない
- 8. Binary Ninja & Binja IL
- 9. Binja: 木に基づく 構造● Binary Ninja ILは LowLevelILInstructionの表 現にまとめた ● LLILIは無限長の木構造による命令(配置) ● 中間記法。作用先のオペランドは左辺に置か れる。 (e.g. x86 ``mov eax, 0`` vs. LLIL ``eax = 0``) ● 副作用がない ● 再帰的下向き解析
- 10. Binja: 木に基づく 構造 ● ジャンプテーブルの境界を見つけるための シンボリック解析(抽象解釈) ● 逆アセンブルとそれら自身の中間言語を用 いて関数の終了、中断などを決定する。
- 19. Binja API● Python, C and C++ API (いかにもありそう な!) ● LLVMに組み込まれたいくつかの解析機能がなくなっている (たとえば、統合されたCFG走査、Uses、SSA、変数の特徴を伴 う記録) ● 分岐:関数の終端(出口)を伴う基本ブロック ● 記録状態を得る、ある簡単な範囲の解析 ● api.binary.ninja/search.html
- 20. シンボリック実行● とても正確 ● 時間、データ、メモリを使い、時には実行不能 ● アイディア!私たちが何について出来るかについてのみ推測 する ● 複雑なデータを抽象的なドメインに適用する! ● ドメイン:型、符号、範囲、色、など
- 21. 実践的 (学術的) & プログラム解析 ● 具体的な値の集合 が不正確に抽象化 される ● ガロア接続の定式化 具体的 <-> 抽象的 具体な データ 関心のある 抽象的な特徴
- 22. 抽象化!int x = 5 int y = argc + x int z a
- 23. 抽象解釈int x = 5 int y = argc + x int z aint 抽象領域:型
- 24. 抽象解釈int x = 5 int y = argc + x a int z int = + = + 符号解析
- 25. 実践的 (学術的) & プログラム解析 ● xの値は不正確である ● コンパイラは不正確に抽象 化する。 int x; int[] a = new int[10]; a[2 * x] = 3; 1. 精密さを付与する – つまり、 抽象値の範囲は [0, 9] 1. 抽象化ドメインと値による シンボリック実行 ● 制御フロー解析の要求
- 26. 抽象化ドメイン & 符号解析 int a,b,c; a = 42; b = 87; if (input) { c = a + b; } else { c = a - b; } ● 抽象値への変数マップ
- 27. 抽象化ドメイン & 符号解析 ● Binary Ninja plugin ● 経路依存 – 抽象値の格 子の構築 ● 近似値を下回る ● CFG節毎に1つの抽象 状態 ● 分数による正確性の喪 失を避ける
- 28. デモ! ● 例題プログラムの解析 ● PHP CVE-2016-6289
- 29. スクリプト! ● memcpy, headless python API スクリプト ● 深さ優先探索、経路依 存CFGテンプレート ● 符号解析、抽象ドメイ ンプラグイン https://github.com/q uend/ abstractanalysis
- 30. 連絡先 ● ソフィア・ダントワーヌ ○ IRC: @quend ○ smdantoine@gmail.com ○ Binary Ninja Slack
- 31. 結論 ● 感謝! ○ Vector35 ○ Trail of Bits ○ Ryan Stortz (@withzombies) ● 参考資料 ○ binary.ninja/ ○ github.com/quend/abstractanalysis ○ santos.cs.ksu.edu/schmidt/Escuela03/WSSA/talk1p.pdf ○ 静的プログラム解析の書籍! cs.au.dk/~amoeller/spa/spa.pdf 忘れない で:分析す る前にこれ を刈り込ん で下さい。
- 32. アジェンダ 1) IDA は完璧ではない 2) Binary Ninja IL 3) 実践的(学術的)&プログラム解析 a) 抽象解釈 4) Binary Ninjaプラグインのデモ 5) 結論
Editor's Notes
- #3: This talk isn’t about a new fantastical analysis platform. This talk isn’t about how one tool is better than another. This talk isn’t about a new silver bullet.
- #4: This talk is about making simple and advanced static analysis techniques easy and available to everyone...
- #5: Joern - source code analyzer There’s a lot available, but we all know we’re going to ignore all of them and go straight for IDA. Why? Because IDA is interactive and tweakable and customizable.
- #6: Let’s face it...IDA isn’t perfect. I’m sure most of you have taken a shot at doing some automated analysis in IDA. Maybe you wanted to identify all the dynamically bounded memcpys. IDA has a python API, how hard could it be? Okay, let’s start by getting all the cross references to memcpy. Easy enough in the IDA API, we just iterate over the xrefs. Now, we need to see if the size parameter of memcpy is constant. So we look up the calling convention of our architecture and look up the 3rd parameter. Our architecture is x86-32, so that means we need model the stack. So now we jump back to the top of the basic block and start implementing instructions. Let’s start by implementing the pushes...oh wait, then we need to do the moves...but now we need to remember that ESP *and* EBP are stack pointers...etc etc. That’s a lot of work for such a simple analysis. There has to be a better way.
- #7: Cannot reason. Mcsema is not really that great
- #10: ``class LowLevelILInstruction`` Low Level Intermediate Language Instructions are infinite length tree-based instructions. Tree-based instructions use infix notation with the left hand operand being the destination operand. Infix notation is thus more natural to read than other notations (e.g. x86 ``mov eax, 0`` vs. LLIL ``eax = 0``).
- #11: ``class LowLevelILInstruction`` Low Level Intermediate Language Instructions are infinite length tree-based instructions. Tree-based instructions use infix notation with the left hand operand being the destination operand. Infix notation is thus more natural to read than other notations (e.g. x86 ``mov eax, 0`` vs. LLIL ``eax = 0``).
- #12: Memcpy example with binary ninja here https://gist.github.com/withzombies/75d12d8fa1237213beb7e82acbfc3b40
- #13: Memcpy example with binary ninja here https://gist.github.com/withzombies/75d12d8fa1237213beb7e82acbfc3b40
- #14: Memcpy example with binary ninja here https://gist.github.com/withzombies/75d12d8fa1237213beb7e82acbfc3b40
- #15: Memcpy example with binary ninja here https://gist.github.com/withzombies/75d12d8fa1237213beb7e82acbfc3b40
- #16: Memcpy example with binary ninja here https://gist.github.com/withzombies/75d12d8fa1237213beb7e82acbfc3b40
- #17: Memcpy example with binary ninja here https://gist.github.com/withzombies/75d12d8fa1237213beb7e82acbfc3b40
- #18: Memcpy example with binary ninja here https://gist.github.com/withzombies/75d12d8fa1237213beb7e82acbfc3b40
- #19: Memcpy example with binary ninja here https://gist.github.com/withzombies/75d12d8fa1237213beb7e82acbfc3b40
- #20: Memcpy example with binary ninja here https://gist.github.com/withzombies/75d12d8fa1237213beb7e82acbfc3b40
- #21: Memcpy example with binary ninja here https://gist.github.com/withzombies/75d12d8fa1237213beb7e82acbfc3b40
- #22: http://santos.cs.ksu.edu/schmidt/Escuela03/WSSA/talk1p.pdf In one sense, every analysis based on abstract interpretation is a “predicate abstraction.” But the “logic” is weak — it supports conjunction (u) but not necessarily disjunction (t).
- #26: http://santos.cs.ksu.edu/schmidt/Escuela03/WSSA/talk1p.pdf
- #27: https://cs.au.dk/~amoeller/spa/spa.pdf Here, the analysis could conclude that a and b are positive numbers in all possible executions at the end of the program. The sign of c is either positive or negative depending on the concrete execution, so the analysis must report ? for that variable. Altogether we have an abstract domain consisting of the five abstract values {+, -, 0, ?, ⊥}, which we can organize as follows with the least precise information at the top and the most precise information at the bottom: ? + 0 − The ordering reflects the fact that ⊥ represents the empty set of integer values and ? represents the set of all integer values. This abstract domain is an example of a lattice. We continue the development of the sign analysis in Section 5.2, but we first need the mathematical foundation in place.
- #28: https://cs.au.dk/~amoeller/spa/spa.pdf Here, the analysis could conclude that a and b are positive numbers in all possible executions at the end of the program. The sign of c is either positive or negative depending on the concrete execution, so the analysis must report ? for that variable. Altogether we have an abstract domain consisting of the five abstract values {+, -, 0, ?, ⊥}, which we can organize as follows with the least precise information at the top and the most precise information at the bottom: ? + 0 − The ordering reflects the fact that ⊥ represents the empty set of integer values and ? represents the set of all integer values. This abstract domain is an example of a lattice. We continue the development of the sign analysis in Section 5.2, but we first need the mathematical foundation in place.