Προηγμένες τεχνικές αποφυγής των antivirus

Abstract

Η τεχνική Return-Oriented Programming (ROP) θεωρείται ως μία πολυμορφική μέθοδος και μπορεί να χρησιμοποιηθεί ως μία εναλλακτική λύση για την αντικατάσταση των crypters και packers. Στα πλαίσια αυτής της διπλωματικής εργασίας, αξιοποιείται η τεχνική ROP για την αποφυγή των antivirus (AV) και πιο συγκεκριμένα, για την δημιουργία εκτελέσιμων αρχείων, τα οποία περιέχουν κάποιο γνωστό shellcode και παρόλα αυτά επιτυγχάνεται η επιτυχημένη διαφυγή τους από την σάρωση των antivirus. Με την τεχνική ROP, μπορεί να υπερνικηθεί η κύρια τεχνική σάρωσης που χρησιμοποιείται από τα antivirus και είναι ο μηχανισμός ανίχνευσης κακόβουλου κώδικα χρησιμοποιώντας υπογραφές (signatures) των ήδη ανιχνευμένων κακόβουλων προγραμμάτων. Στην παρούσα εργασία, αρχικά, παρατίθεται το θεωρητικό πλαίσιο το οποίο είναι απαραίτητο για την κατανόηση των τεχνικών θεμάτων τα οποία εξετάζονται στα κεφάλαια που ακολουθούν. Εν συνεχεία, αναλύονται οι τεχνικές που χρησιμοποιήθηκαν για την μετατροπή x86 κώδικα μηχανής (machine code) στην αντίστοιχη μορφή ROP καθώς και ο τρόπος δημιουργίας των εκτελέσιμων αρχείων που θα περιελάμβαναν τον συγκεκριμένο κώδικα. Επιπρόσθετα, παρουσιάζεται η αποτελεσματικότητα των τεχνικών αυτών όσον αφορά την συνέπεια με την οποία καταφέρνουν να αποφεύγουν τους μηχανισμούς ανίχνευσης των πιο γνωστών antivirus. Τέλος, ακολουθεί η ανάλυση του τρόπου λειτουργίας του προγράμματος που δημιουργήθηκε για την αυτοματοποιημένη μετατροπή ενός shellcode σε μορφή ROP καθώς επίσης, και οι βασικές διαδικασίες που επιτελεί για την παραγωγή ενός αξιόπιστου αποτελέσματος.