Cantelmo Software

La prima licenza d'uso di Goliath .NET Obfuscator è stata venduta nel lontano ottobre 2005: caratteristica principale per l'epoca è stata l'alterazione del control-flow (realizzata utilizzando esclusivamente ilasm/ildasm: in quel periodo l'unico tool disponibile per il disassembling era il solo ildasm) quando invece i competitors proponevano il mero "renaming dei simboli" come protezione principale. A riprova di quanto affermato è possibile leggere una guida indipendente sugli altri obfuscators realizzata nell'agosto 2005. Il mercato degli obfuscators, ora, a distanza di sei anni, offre solo "cloni" con tecniche obsolete!

La sola modifica del formato Portable Executable (PE) standard non può bloccare l'analisi sugli assembly .NET

Un'altra tecnica obsoleta - ancora presente in .NET Reactor (ed altri) - consiste nel modificare il valore di NumberOfRvaAndSizes da 0x10 a 0x0F: tale modifica "blocca apparentemente" solo .NET Reflector con il seguente messaggio di errore:

• "Invalid number of data directories in NT header".

Oppure altre modifiche ai metadati che producono i seguenti errori:

• "Module contains zero or multiple module definitions";
• "Module contains multiple #GUID heaps"

Tutte queste tecniche vengono automaticamente bypassate con:

• WinHex (hex-editor);
• CFF Explorer;
• l'ausilio di Mono-Cecil;
• le versioni modificate di .NET Reflector (ormai, da tempo, decompilato) che circolano in rete nei canali underground;
• il nuovo decompilatore open-source IL-Spy.

...e, nel frattempo, tutti hanno copiato tutto!

N.B.: Le modifiche al formato PE fino ad ora evidenziate non funzionano con le applicazioni: WP7, WPF-Browser, Silverlight, ect. (in quanto eseguite in una "sandbox protetta" con pre-verifica della struttura)

Una cattiva implementazione dei predicati-opachi (ovvero di espressioni il cui valore può essere deciso a priori) ha, invece, pregiudicato la corretta progettazione di trasformazioni al codice. In particolare per due prodotti:

• Dotfuscator (accordi commerciali con MS hanno consentito la distribuzione con Visual Studio);
• Xenocode (realizzato da alcuni ex product-manager MS).

si è riscontrato una resilienza trivial (quanto un costrutto è resistente ad un deobfuscator) che viene bypassata con l'analisi statica e con l'uso di pattern matching di funzioni ben definite.

Dotfuscator affida, quindi, la protezione del codice al renaming ed a salti-condizionali del tipo: if-true, if-false, oppure al check di due valori (if 6>5, ect.):

per una modifica automatica si usa:

• WinHex (o altro hex-editor);
• CFF Explorer (utilizzando uno script per il replace dei bytecode);
• Mono-Cecil;
• SAE (Simply Assembly Explorer: de-obfuscator con patterns);
• IL-Spy

...e, all'attacker, non rimane che fare un banale "copia-incolla" del codice!

Xenocode, invece, affida, la protezione del codice al renaming ed a salti-condizionali del tipo:

il codice è sempre leggibile ed è ancora possibile fare un "copia-incolla"! Per affinare la qualità del codice decompilato è possibile bypassare questa tecnica con l'uso di:

• CFF Explorer (utilizzando uno script per il replace dei bytecode);
• SAE (Simply Assembly Explorer: de-obfuscator con patterns);

Come già detto la sicurezza di un obfuscator è di tipo probabilistico. A partire dal lontano 2007, alcuni competitors, anzichè capire il perchè si intraprendono determinate strategie di protezione, le hanno direttamente implementate in altri prodotti: sia gratuiti che commerciali.

Oggi, è facile, assistere ad un vero e proprio "effetto-boomerang": è stato provato, infatti, che esistono tecniche capaci di violare determinate tecniche (obsolete e datate 2005 ma continuano ad essere utilizzate).

Le tecniche obsolete riguardano:

• il renaming a caratteri non stampabili;
• l'alterazione del control-flow

che vengono, ora, eliminate "sfruttando" il nuovo decompilatore ILSpy:

• per il renaming è necessario effettuare poche modifiche al codice (open-source): una tecnica consiste nel sostituire i valori unicode con il valore univoco del metadata-token;
• mentre per il control-flow basta ricostruire il CFG sfruttando, ad esempio, l'algoritmo di Tarjan (teoria dei grafi);

che portano alla decompilazione per tutti i software "offuscati" con:

• {Smart-Assembly}: commerciale (circola, in rete, anche un unpacker automatico);
• Babel Obfuscator: distribuito inizialmente come "prodotto gratuito", nel 2008 copia la tecnica dell'invalid-opcode (qui i dettagli completi) usata da Goliath .NET Obfuscator 2.0 dal 2006 (già segnalato nel blog) per poi diventare un prodotto commerciale;
• Eazfuscator: gratuito (un altro "benefattore" nato sulle idee degli altri);
• ect.

ed ora, chi si è affidato a tali prodotti, può fare solo un "mea-culpa": la qualità di un obfuscator non si valuta dal solo prezzo finale!

IsValidName: verifica presenza nomi con caratteri non stampabili

Controllo di validità, ad esempio, nella lettura dei nomi dei metodi

...risultato finale direttamente sull'assembly di un obfuscator!

ed ora che i nomi dei membri sono "unici", si procede con un "copia-incolla" del codice!

Quando un obfuscator inizia a cadere sotto i colpi dei vari de-obfuscator automatici si cerca di correre ai ripari. Invece di sperimentare nuove tecniche si continua a copiare le implementazioni dei "competitors". Stranamente nei seguenti obfuscators:

• Babel Obfuscator: commerciale (oops! ancora una tecnica uguale);
• Crypto Obfuscator: commerciale (affida, inizialmente, ad un altro obfuscator la protezione del proprio sistema di licensing);
• Deepsea Obfuscator: commerciale;

si scopre una tecnica comune ma ormai, da tempo, obsoleta! Dato il semplice metodo con un argomento stringa, ed il suo codice in assembler-IL:

si nota la presenza delle seguenti istruzioni: ldtoken, pop

Il token passato (sia esso MethodInfo, FieldInfo o Type) viene convertito in RuntimeHandle e pushato sullo stack per poi essere immediatamente poppato! ...in pratica nessuna modifica al codice!

Tale strategia "blocca" solo .NET Reflector (per una funzionalità non implementata) e getta "fumo negli occhi" a chi deve valutare realmente le potenzialità di un obfuscator!

Basta spiare il codice con un altro decompilatore (ILSpy, ect.) per capire il fallimento totale di tale tecnica...ed il codice "ritenuto sicuro" appartiene già ad un altro!

Modificando la sequenza di byte:

• D0 ?? ?? ?? ?? 26 in 00 00 00 00 00 00 (00=Nop ...cioè nessuna istruzione)
  

il codice torna visibile anche sotto .NET Reflector!

Dato che la signature per l'istruzione ldtoken può variare (i 4 bytes dopo D0), è possibile automatizzare la sostituzione utilizzando, ad esempio, CFF Explorer (con uno script per il replace dei bytes).

Considerata la frenetica evoluzione dei decompilatori .NET, è necessario rivedere radicalmente l'approccio alla protezione del codice .NET

Poichè un aggressore avrà sempre bisogno di un decompilatore per ricostruire il codice in un linguaggio di programmazione ad alto livello, è necessario modificare la struttura interna (variabili, valori numerici, array, call, ect.) in modo che la decompilazione del nuovo formato produca un codice sorgente che sia estremamente difficile da capire per un essere umano, e praticamente impossibile da ricompilare con un "normale" compilatore:

• Goliath .NET Obfuscator (alcune features)

In anteprima, il nuovo ed innovativo approccio alla protezione del software:

• Goliath .NET Code-Protector