Анализ использования фрагментов уязвимых библиотек в исполняемом коде

Исследователи безопасности из компании Google опубликовали наработки в области определения использования в исполняемых файлах кода сторонних библиотек, который статически скомпилирован и встроен в приложение. Процедура выявления заимствованного кода имеет большое значение при анализе безопасности приложений, так как зачастую разработчики встраивают в состав своих продуктов внешние библиотеки, но не поддерживают их в актуальном виде. Код написан на языке С++ и опубликован под лицензией Apache 2.0.

Поставка в составе продукта неактуального внешнего кода может привести к накоплению скрытых уязвимостей, уже исправленных в основных ветках библиотек, но не перенесённых в интегрированные в сторонние проекты ответвления. Если в открытых проектах аудит применения стороннего кода решается на уровне сопоставления исходных текстов, то в проприетарных продуктах, поставляемых только в виде исполняемых файлов, задача сводится к определению связывания на уровне анализа машинного кода (по сути требуется корреляцию между исходным кодом библиотеки и отрывками машинного кода).

Предложенный метод основан на применении системы машинного обучения и алгоритма SimHash для определения уровня приблизительного сходства между фрагментами машинного кода исследуемых приложений с шаблонами кода функций из различных открытых библиотек. При помощи машинного обучения строится модель, обученная на различных комбинациях результатов компиляции кода открытых библиотек, полученных при сборке эталонных функций при помощи Visual Studio, GCC и CLANG с включением различных сборочных опций. Полученная модель позволяет выделять специфичные для кода маркеры, независимо от применяемых компиляторов, режимов оптимизаций и незначительных модификаций кода.

В качестве примеров практического применения метода продемонстрирован поиск кода unrar в библиотеке mpengine.dll, поиск функций libtiff в Adobe Reader и определение наличия форков libtiff и libjpeg в базовой поставке Windows 10 (следы уязвимых версий данных библиотек найдены в WindowsCodecs.dll).

Полный текст статьи читайте на OpenNet