지난 9월 4일 목요일 저희 회사인 에이쓰리시큐리티에서 보안 전략 세미나 SMS 2014를 진행하였습니다.
너무나 많은 분들이 자리를 빛내주신 점에 대해 이 자리를 빌어 다시 한번 감사의 말씀을 드리고자 합니다.
저희 TeamCR@K에서는 "모바일 금융거래 애플리케이션의 보안대책 우회 기법"이라는 주제로 시연을 진행했었고, 이에 대해 기술적인 부분에서 조금 더 많은 내용을 공유해 볼까 합니다.
시연의 주제는 모바일 애플리케이션의 실행 흐름 조작을 통한 보안대책들을 우회하는 기법으로써 다음과 같은 내용을 준비하였습니다.
[그림 1] 임의의 시스템 콜을 사용한 모바일 앱 실행 플로우 변조
[그림 2] 임의의 함수 후킹을 통한 모바일 앱 실행 플로우 변조
임의의 시스템 콜을 사용하는 방법은 ptrace() 시스템 콜을 사용하여 특정 시스템 콜의 실행 전 인자 정보 조작이나 실행 후 반환 값 조작을 통해 모바일 앱 실행에 조작을 가하는 방법을 의미합니다.
임의의 함수 후킹을 통한 방법으로는 LD_PRELOAD 환경 변수를 init 프로세스에 적용하여 특정 라이브러리의 함수 로직에 대해 조작을 가하는 방법입니다.
일반적으로 시스템 콜이라는 단어와 함수라는 단어를 혼재하여 사용하기도 하지만 개인적으로 시스템 콜이란 kernel에 직접 interrupt를 일으키는 구조이고 함수라는건 그보다 상위에 포진되어 라이브러리 형태로 존재하는 형태라고 생각하기에 구분지어 이야기 하도록 하겠습니다. 양해 부탁드립니다.
LD_PRELOAD에 대해서는 별도의 Shared Object를 제작하고 SSL-Strip을 구현하는 방법으로 시연하였습니다.
해당 환경변수를 이용한 프로그램 실행 로직의 조작방법은 이미 많이 알려져 있기에 별도로 추가적인 내용은 말씀드리도록 하지 않겠습니다.
ptrace() 시스템 콜을 사용하는 공격 기법의 경우 처음에는 "프로그램 및 디바이스 변조 탐지"를 우회하기 위한 목적으로 진행했던 내부 프로젝트였습니다.
그러나 시간이 흐르고 점점 프로젝트의 성향도 많은 케이스의 우회 방안을 포함하다 보니 툴 제작까지 하게 되었습니다.
아래는 해당 툴의 실행 모습입니다.
[그림 3] 안드로이드 애플리케이션 실행 변조 툴 (A.K.A ardb)
프로젝트 시작점 자체가 "프로그램 및 디바이스 변조 탐지"를 우회하기 위한 목적으로 시작되어서 툴 이름도 "Android Rooting Detection By Pass Tool" 입니다.
툴은 -p 옵션과 -f 옵션을 사용하도록 되어 있습니다.
-p 옵션은 package 이름을 인자로 받게 되며, -f 옵션은 일반 console 상에서 실행 할 프로그램 경로 정보를 인자로 받게 됩니다.
위의 경우 com.testbank 프로그램이 실행되면 이를 추적하고, fork() 시스템 콜 실행을 탐지하여 그 결과 값을 -1로 조작하도록 한 화면입니다.
루팅 탐지 케이스의 경우 특정 경로의 파일이 존재하거나 실행되는 경우를 루팅되었다고 판별하기도 하고, 탐지 루틴을 Shared Object 안에 구현 후 해당 Object의 내부 함수를 실행하여 판별하기도 합니다.
저희가 모의해킹 할 때에 이러한 여러 케이스들에 대항하기 위해 아예 변조시킬 Rule을 설정파일로 만들어 관리하기로 하였습니다.
다음은 설정파일의 내용입니다.
[그림 4] 툴 설정파일
설정파일의 지시자는 FUNCTION과 VETO 두 가지가 존재합니다.
FUNCTION 지시자의 경우 시스템 콜을 기준으로 변조 여부를 결정하며, VETO 지시자의 경우 문자열을 기준으로 처리합니다.
우선 첫번째 FUNCTION 지시자 설정은 fork 시스템 콜 실행 후 결과 레지스터를 -1로 변경한다 는 설정이고, 두번째 FUNCTION 지시자의 경우, execve 시스템 콜 실행 전 첫번째 인자의 주소값을 변경한다 는 설정입니다.
VETO 지시자의 경우는 인자 값에 /system/xbin/su 문자열을 예외처리 하는 내용들로 되어 있습니다.
앞으로 더 많은 모바일 애플리케이션 케이스를 진단하다 보면 Rule도 지속적으로 늘어 날 것 같습니다.
다음은 실행하며 남기는 로그 화면입니다.
[그림 5] 로그파일의 내용
툴을 실행할 때의 콘솔화면에서는 간략하게 탐지 된 내용만 출력되게 하고 실제 탐지되는 모든 내용은 로그파일에 남도록 구현하였습니다.
로깅 루틴을 구현하다 보니 strace 개발자가 존경스러워 집니다.
본 툴은 기본적으로 zygote 프로세스에서 fork() 시스템 콜을 지속적으로 추적하도록 되어있는데, 아래와 같은 형태로 구현이 되어 있습니다.
/*
* - Name: Zygote_Trace.c
* - Date: 2014.09.06
* Implemented by TeamCR@K in A3Security
*/
#include <stdio.h>
#include <stdlib.h>
#include <string.h>
#include <unistd.h>
#include <ctype.h>
#include <errno.h>
#include <getopt.h>
#include <sys/wait.h>
#include <sys/ptrace.h>
#include <linux/user.h>
#include <linux/ptrace.h>
long internal_ptrace(int, pid_t, void *, void *);
#define ZYGOTE_NAME "zygote"
#define MAX_PROC_PID 65536
#define PTRACE(r,p,a,d) internal_ptrace(r,p,a,d)
#define SYSCALL_REGISTER(r) r.ARM_r7
#define IP_REGISTER(r) r.ARM_ip
#define RESULT_REGISTER(r) r.ARM_r0
int zygote_pid;
void sigint(int signo)
{
fprintf(stdout, "[!] Received INTERRUPT signal.\n");
if(zygote_pid != 0) {
if(PTRACE(PTRACE_DETACH, zygote_pid, (void*)1, 0) < 0)
fprintf(stderr, "[!] PTRACE_DETACH error\n");
}
exit(0);
}
int get_zygote_pid(void)
{
char fname[64];
char status[64];
int i;
FILE *fp = NULL;
zygote_pid = -1;
for(i = 0; i < MAX_PROC_PID; i++) {
snprintf(fname, sizeof(fname), "/proc/%d/status", i);
if((fp = fopen(fname, "r")) == NULL)
continue;
if(fgets(status, sizeof(status), fp) != NULL) {
if(strstr(status, ZYGOTE_NAME) != NULL) {
zygote_pid = i;
fclose(fp);
break;
}
}
fclose(fp);
}
return zygote_pid;
}
long internal_ptrace(int request, pid_t pid, void *addr, void *data)
{
int ret, stat;
errno = 0;
while(1) {
ret = waitpid(pid, &stat, WNOHANG|WUNTRACED);
if((ret == pid && WIFEXITED(stat)) || (WIFSTOPPED(stat) && !WSTOPSIG(stat))) {
fprintf(stderr, "[!] Killed Process: %d\n", pid);
return -1;
}
if((ret = ptrace(request, pid, addr, data)) == -1) {
switch(request) {
case PTRACE_DETACH:
case PTRACE_SYSCALL:
case PTRACE_KILL:
return 0;
default:
break;
}
} else {
break;
}
}
return ret;
}
int do_trace_zygote(void)
{
struct pt_regs regs;
if(PTRACE(PTRACE_ATTACH, zygote_pid, (void*)1, 0) < 0) {
fprintf(stderr, "[!] PTRACE_ATTACH error\n");
return -1;
}
fprintf(stdout, "[*] Attached the zygote process successfully: %d\n", zygote_pid);
// XXX: tracing...
while(1) {
if(PTRACE(PTRACE_GETREGS, zygote_pid, 0, ®s) < 0) {
fprintf(stderr, "[!] PTRACE_GETREGS error\n");
goto failed;
}
// XXX: fork()'s system call number is '2'
if(SYSCALL_REGISTER(regs) == 2 && IP_REGISTER(regs) == 1) {
fprintf(stdout, "[*] Created a new process from zygote successfully: %ld\n", RESULT_REGISTER(regs));
}
if(PTRACE(PTRACE_SYSCALL, zygote_pid, (void*)1, 0) < 0) {
fprintf(stderr, "[!] PTRACE_SYSCALL error\n");
goto failed;
}
}
failed:
if(PTRACE(PTRACE_DETACH, zygote_pid, (void*)1, 0) < 0) {
fprintf(stderr, "[!] PTRACE_DETACH error\n");
}
return -1; // it always return -1
}
int main(void)
{
signal(SIGINT, sigint);
fprintf(stdout, "[- ZYGOTE TRACING -]\n");
if(get_zygote_pid() < 0) {
fprintf(stderr, "[!] Could not find process id of zygote\n");
return -1;
}
do_trace_zygote();
fprintf(stdout, "[*] Done\n");
return 0;
}
위 소스코드를 컴파일 한 후 실행하면 아래와 같이 zygote에서 fork 되는 프로세스 정보를 실시간으로 얻어올 수 있습니다.
[그림 6] Zygote에서 실행되는 fork를 실시간으로 탐지하는 예제 프로그램
처음 "루팅 탐지 우회"에서 출발한 툴 제작이 조금 비대해진 느낌입니다.
GCC가 GNU C Compiler 였다가 이제는 GNU Compiler Collection이라고 명칭을 바꾼 것 처럼 이제는 저희가 제작한 툴 이름도 바꿔야 될 것 같기도 합니다....
이상 안드로이드 스마트 폰 삽질기였습니다..
읽어주셔서 감사합니다..
god_daewoong-poc
