Dangr: Lenguaje declarativo para la búsqueda de vulnerabilidades e indicadores de compromiso usando ejecución simbólica | Trabajo Especial

Día: jueves 27 de febrero de 2025

Hora: 10:00 h

Lugar: Aula Magna | FAMAF

Resumen: En un contexto donde las amenazas a la seguridad informática son cada vez más sofisticadas, detectar vulnerabilidades e indicadores de compromiso es un desafío crítico. Las herramientas utilizadas actualmente para identificar software inseguro, basadas en análisis de firmas, suelen ser insuficientes frente a binarios desconocidos, ofuscaciones y optimizaciones del compilador. Esto resalta la necesidad de enfoques más adaptativos que integren análisis semántico para identificar patrones de comportamiento. En este trabajo se introduce Dangr, un lenguaje declarativo diseñado para la detección de vulnerabilidades y comportamientos sospechosos en binarios, que basa su análisis en la ejecución simbólica. Dangr permite la definición de reglas que combinan propiedades sintácticas y semánticas, lo que facilita la identificación de comportamientos maliciosos incluso en escenarios complejos. El sistema incluye dos componentes principales: un compilador que traduce reglas de Dangr a programas en Python, y una librería de runtime que implementa las primitivas del análisis utilizando el framework angr. Como validación, se estudiaron escenarios como el caso real de evasión de debugging en el backdoor de XZ Utils. Los resultados muestran que Dangr permite implementar detecciones automatizables con alta precisión gracias a la integración de análisis semántico, lo que facilita la identificación de patrones complejos en binarios.