Дослідник безпеки з Google розвиває проект LoadLibrary, націлений на портування зібраних для Windows DLL-бібліотек для їх використання у додатках для Linux
Дослідник безпеки з Google розвиває проект LoadLibrary, націлений на портування зібраних для Windows DLL-бібліотек для їх використання у додатках для Linux
Дослідник безпеки з Google розвиває проект LoadLibrary, націлений на портування зібраних для Windows DLL-бібліотек для їх використання у додатках для Linux. Проектом надається бібліотека-прошарка, за допомогою якої можна завантажити DLL-файл у форматі PE/COFF і викликати певні функції. Завантажувач PE/COFF заснований на коді ndiswrapper. Код проекту розповсюджується під ліцензією GPLv2.
LoadLibrary бере на себе функції завантаження бібліотеки в пам'ять та імпорту наявних символів, надаючи Linux-додатку API у стилі dlopen. Код, що підключається, може налагоджуватися за допомогою gdb, ASAN і Valgrind. Передбачено можливість коригування виконуваного коду під час виконання через підключення хуків та накладання патчів (runtime patching). Підтримуються відпрацювання та розмотування (unwinding) винятків для C++.
Метою проекту є організація масштабованого та ефективного розподіленого fuzzing-тестування DLL-бібліотек в оточенні на базі Linux. У Windows проведення fuzzing-і coverage-тестування не дозволяє досягти належної ефективності і часто вимагає запуску окремого віртуалізованого екземпляра Windows, особливо при спробі аналізу ускладнених продуктів, таких як антивірусне програмне забезпечення, що охоплюють роботу на рівні ядра та простору користувача. За допомогою LoadLibrary дослідники з Google займаються пошуком уразливостей у відеокодеках, антивірусних сканерах, бібліотеках розпакування даних, декодувальниках зображень тощо.
Наприклад, за допомогою LoadLibrary вдалося портувати для запуску в Linux антивірусний двигун Windows Defender. Дослідження mpengine.dll, що становить основу Windows Defender, дало можливість проаналізувати велику кількість ускладнених обробників різних форматів, емуляторів ФС та інтерпретаторів мов, які потенційно надають вектори для можливих атак.
LoadLibrary також використовувався при виявленні віддаленої вразливості в антивірусному пакеті Avast. При вивченні DLL від цього антивірусу було виявлено, що ключовий привілейований процес сканування включає повноцінний JavaScript-інтерпретатор, який використовується для емуляції виконання JavaScript-коду стороннього. Даний процес не ізольований в sandbox-оточення, не скидає привілеї та виконує аналіз неперевірених зовнішніх даних з ФС та перехопленого мережевого трафіку. Оскільки будь-яка вразливість у цьому ускладненому і незахищеному процесі потенційно може призвести до дистанційної компрометації всієї системи, на базі LoadLibrary була розроблена спеціальна оболонка avscript для аналізу вразливостей в антивірусному сканері Avast в оточенні на базі Linux.
