가. 런타임 조작(Runtime Manipulation) 이란?
- 런타임 조작이란 디버깅 툴을 이용해 앱이 실행 중인 상태에서 흐름을 조작하여 보안 기능을 우회하는 것을 말한다.
- 인스턴스 변수를 수정하여 로그인(인증) 검사, 탈옥 탐지 기능 등을 우회할 수 있다.
- 인증 값이 맞을 때까지 무차별 대입 공격(brute-force attack)을 수행하는 것도 가능하다.
나. 대응방법
- 아래의 글을 참고하여 디버깅을 이용한 런타임 조작이 불가능하도록 디버깅 방지 기능을 적용한다.
[Mobile App 취약점 진단/iOS App 진단] - [iOS App 진단] 12강 - 탈옥 탐지 우회(이론 및 대응방법)
[iOS App 진단] 12강 - 탈옥 탐지 우회(이론 및 대응방법)
가. 탈옥(Jailbreak) 이란? iOS의 샌드박스 제한을 풀어 서명되지 않은 코드를 실행할 수 있게 하는 것을 말함. 나. 탈옥된 기기에서 앱 실행을 차단해야하는 이유 탈옥된 기기에서의 사용자는 최고
hagsig.tistory.com
다. DVIA-v2 앱을 통한 실습
1. 분석 대상 앱 실행
- 실습을 위해 DVIA-v2 앱을 실행한다.
※ DVIA-v2 어플이 설치되어있지 않은 사람은 아래의 글을 참고하여 앱을 설치하길 바란다.
2022.07.01 - [Mobile App 취약점 진단/iOS App 진단] - [iOS App 진단] 04강 - 진단 대상 설치
[iOS App 진단] 04강 - 진단 대상 설치
iOS 앱 진단을 위해 설치 파일을 요청하면, 대개 아래 3가지 방법 중에 하나의 방법으로 전달해준다. 1. 앱 스토어를 통해 설치 이미 앱 개발이 완료되어 앱스토어에 등록되어 있을 경우, 앱스토어
hagsig.tistory.com
- 메인메뉴 좌측 상단 메뉴 클릭 → 'Runtime Manipulation' 클릭 → 'START CHALLENGE' 클릭
- 아이디/패스워드 입력 → 'Login Method 2' 클릭
- 입력한 계정정보가 올바르지 않다며 "Incorrect Username or Password" 메시지가 출력됨
- 본글에서는 런타임 조작 공격을 통해 계정정보를 모르더라도 로그인할 수 있도록 인증 기능을 우회해 볼 것이다.
2. 바이너리 파일 추출
- 바이너리 파일을 변조하기위해서는 앱내부에 존재하는 바이너리 파일을 추출해내야 한다.
- 3uTools Files에서 Applications(User) 클릭 또는 탐색창에 /var/Containers/Bundle/Application 입력한다.
- 분석 대상 앱 이름과 동일한 폴더를 더블클릭한다.
- Size 클릭하여 파일을 크기순으로 정렬한다.
- 폴더를 제외하고 크기가 제일 큰 파일이 바이너리 파일이다.
- 바이너리 파일을 우클릭한뒤 Export 버튼을 눌러 PC로 추출한다.
3. ASLR 적용여부 확인
- 바이너리 파일을 분석하기 위해서는 ASLR이 적용되어 있지는 확인하여야 한다.
* ASLR(Address Space Layout Randomization, 주소 공간 배열 무작위화) : 메모리 손상 취약점 공격을 방지하기 위한 기술로, 프로그램이 실행될 때마다 메모리주소가 랜덤으로 변경된다.
- 아래의 글을 참고하여 앱에 ASLR이 적용되어 있는지 확인한다.
2023.10.03 - [Mobile App 취약점 진단/iOS App 진단] - 바이너리 ASLR 적용유무 확인방법 - otool
바이너리 ASLR 적용유무 확인방법 - otool
가. ASLR(Address Space Layout Randomization) 이란? - "주소 공간 배열 무작위화"로 직역되며 메모리 손상 취약점 공격을 방지하기 위한 기술이다. - 프로그램이 실행될 때마다 메모리주소가 랜덤으로 변경
hagsig.tistory.com
- 확인결과 DVIA-v2 바이너리 파일에는 ASLR이 적용되어 있는 것을 알 수 있다.
4. 바이너리 파일 분석
- 아래의 과정을 따라하여 추출한 바이너리 파일을 기드라(Ghidra)를 통해 분석한다.
※ 기드라가 설치되어 있지 않은 사람은 아래의 글을 참고하여 설치하길 바란다.
2022.06.28 - [Mobile App 취약점 진단/iOS App 진단] - [iOS App 진단] 03강 - 진단 도구 설치
[iOS App 진단] 03강 - 진단 도구 설치
1. Cydia(시디아) - 탈옥을 성공하면 자동으로 설치되며, 앱 스토어에서 지원하지 않는 앱을 다운로드할 수 있다. - iOS가 지원하지 못하는 기능을 Cydia를 이용하여 설치할 수 있는데 이를 Tweak(트윅)
hagsig.tistory.com
- File 클릭 → New Project 클릭 → Non-Shared Project 선택 → Next 클릭
- Project Directory 경로지정 → Project Name 입력 → Finish 클릭 → File 클릭 → Import File 클릭
* Project Directory : 프로젝트 저장 경로.
* Project Name : 프로젝트 이름.
- 위에서 추출한 바이너리 파일 선택 → Select File To Import 버튼 클릭
- 설정내용을 아무것도 건드리지 않고 OK 버튼 클릭
- 추가된 바이너리 파일(DVIA-v2)을 더블클릭 → Yes 버튼 클릭
- 설정내용을 아무것도 건드리지 않고 Analyze 버튼 클릭 → 분석이 종료될때까지 대기(우측 하단에 진행률이 표시됨).
※ 분석이 종료되면 알림 창이 발생한다. 분석이 완료되지 않으면 결과가 달라질 수 있으므로 완료될 때까지 기다린다.
- Search 클릭 → For Strings 클릭
- 'Login Method 2' 클릭 시 발생했던 오류문구를 Filter에 입력 → 검색결과 중에서 분석하고자 하는 행(아이템)을 더블클릭
- 검색창을 최소화하거나 닫으면 메인창의 커서가 위에서 더블클릭한 문구가 위치한 곳으로 이동되어 있다.
- 음영표시된 칸의 우측 세 번째 "__T07DVIA_v240RuntimeManipulatio..."을 더블클릭한다.
* 실무에서는 하나씩 들어가 로직을 파악하여 어느 곳이 맞는 포인트인지 찾아야 한다.
- 음영표시된 칸을 선택 → Window 클릭 → Function Graph 클릭
- 노란색으로 표시되면서 확대/축소를 반복하는 곳을 마우스 휠을 이용하여 확대한다.
- 내용을 분석해 보면 레지스터 w8의 값이 0x0일때와 아닐 때의 결과가 달라진다는 것을 알 수 있다.
* 1001bdf94 : 문구를 보았을 때 인증이 실패하였을 때 실행되는 로직인걸 알 수 있음.
* 1001bdedc : 문구를 보았을때 인증이 성공하였을 때 실행되는 로직인걸 알 수 있음.
* tbz(Test bit and Branch if Zero) : 테스트 비트의 값을 0과 비교하여 결과에 따라 다른 오프셋의 레이블로 분기함.
5. 바이너리 파일 변조
- 현재 로직을 분석해 보면 w8 레지스터 값이 0x0일 때 1001bdf94 오프셋(offset)으로 이동되도록 되어져 있다는 것을 알 수 있다.
- 1001bdf94 오프셋은 인증이 실패되었을 때의 로직이므로, 'Login Method 2' 클릭 시 w8 값으로 0x0값이 입력되어 인증이 실패하였을 때의 로직이 실행되었다고 추측할 수 있다.
- 해당 로직을 보았을 때 인증을 우회할 수 있는 방법은 3가지로 생각된다. 본글에서는 1번 방법을 통해 인증을 우회해 보겠다.
| 로그인/인증 우회 방법 | |
| 방법 1 | 디버깅 도구인 프리다를 이용하여 w8 리턴값을 조작. |
| 방법 2 | 기드라로 w8, #0x0, LAB_1001bdf94을 w8, #0x1, LAB_1001bdf94으로 변경. |
| 방법 3 | 기드라로 w8, #0x0, LAB_1001bdf94을 w8, #0x1, LAB_1001bdedc로 변경. |
- 분기점이 되는 곳의 오프셋을 알기 위해 아래와 같이 적색박스로 되어 있는 곳을 클릭한다(더블클릭 X).
- Function Graph 창을 최소화하거나 닫으면 메인창의 커서가 위에서 클릭한 분기점의 위치로 변경되어 있을 것이다.
- 음영표시된 칸의 오프셋을 기억하도록 한다.
* 분기점의 오프셋 : 1001bded4
- w8의 값을 변조하기 위해서는 탈옥된 기기에 프리다 서버, PC에 프리다 클라이언트가 설치되어 있어야 한다.
- 아래의 글을 참고하여 프리다(Frida) 서버와 클라이언트를 설치하도록 한다.
2022.06.28 - [Mobile App 취약점 진단/iOS App 진단] - [iOS App 진단] 03강 - 진단 도구 설치
[iOS App 진단] 03강 - 진단 도구 설치
1. Cydia(시디아) - 탈옥을 성공하면 자동으로 설치되며, 앱 스토어에서 지원하지 않는 앱을 다운로드할 수 있다. - iOS가 지원하지 못하는 기능을 Cydia를 이용하여 설치할 수 있는데 이를 Tweak(트윅)
hagsig.tistory.com
- PC의 프리다 클라이언트를 이용하여 탈옥탐지 기능을 우회하고자 하는 앱의 이름을 알아낸다.
- 명령어 : frida-ps -Ua
* 앱의 이름 : DVIA-v2
frida-ps -Ua
// U : USB로 연결된 기기를 대상으로 지정한다.
// a : 기기에 설치된 애플리케이션을 확인해준다.
- 위에서 확인한 정보를 바탕으로 아래의 자바스크립트(javascript) 코드를 PC에서 작성한다.
- 파일 명 : hagsig_runtime.js
* 메모장에 아래의 코드를 입력한 뒤 확장자명을 .js로 저장하면 자바스크립트 파일이 만들어진다.
var realbase_address = Module.findBaseAddress('DVIA-v2') //DVIA-v2 바이너리가 실행되어 메모리에 올라갔을때 할당된 주소를 realbase_address에 저장
console.log('realbase address : ' + realbase_address) //realbase_address에 저장된 주소를 화면에 출력
var runtime_address = realbase_address.add('0x1bded4') //realbase_address에 분기점 오프셋을 더하면 실제 분기점 메모리 주소가 runtime_address에 저장됨
console.log('runtime address : ' + runtime_address) //runtime_address에 저장된 주소를 화면에 출력
Interceptor.attach(runtime_address, { //runtime_address에서 호출되는 값을 가로채기 위해 준비
onEnter: function(args){ //호출되는 레지스터 값을 받아옴
console.log(JSON.stringify(this.context)) //받아온 레지스터 값을 JSON 형태로 화면에 출력
}
})※ 위 코드를 좀 더 자세히 공부하고 싶다면 아래의 게시글을 참고하여 프리다 문법을 공부하도록 하자.
2023.10.03 - [Mobile App 취약점 진단/iOS App 진단] - 프리다(Frida) 문법 정리
프리다(Frida) 문법 정리
가. 기초 문법 1. ObjC.available - 현재 프로세스에 Objective-C 런타임이 로드되었는지 여부를 지정하는 Boolean(True, False) - 해당 앱에서 FIRDA가 실행가능한 환경인지 체크 2. ObjC.classes - 현재 등록된 클래
hagsig.tistory.com
※ 오프셋(offset)이란?
- 오프셋은 상대 주소, 즉 기준이 되는 주소로부터 얼마나 떨어져 있는지를 나타내는 값을 말한다.
- DVIA-v2 바이너리 실행 시 부여되는 realbase_address에서 분기점의 오프셋을 더하면 분기점의 실제 메모리주소가 나온다.
* realbase_address + 분기점 offset = runtime_address
- PC의 프리다 클라이언트를 이용하여 작성한 코드를 실행한다.
- 명령어 : frida -U -l [코드경로] [앱이름]
frida -U -l hagsig_runtime.js DVIA-v2- ASLR이 적용되어 있으므로, realbase address와 runtime address는 실행할 때마다 값이 달라진다.
- 위 화면에서 'Login Method 2'을 클릭하면 아래와 같이 많은 값이 화면에 출력된다.
- 레지스터 x8의 값으로 0x0이 입력되어 인증이 실패했다는 "Incorrect Username or Password"메시지가 출력되는 것을 확인할 수 있다.
* 레지스터 x8가 위에서 본 레지스터 w8이다.
- 레지스터 x8의 값을 0x1으로 바꾸어주면 아이디/패스워드를 몰라도 인증을 성공할 수 있을 것 같다.
- 위에서 작성한 코드에 레지스터 x8의 값을 0x1으로 변조해 주는 코드를 추가하여 실행한다.
var realbase_address = Module.findBaseAddress('DVIA-v2')
console.log('realbase address : ' + realbase_address)
var runtime_address = realbase_address.add('0x1bded4')
console.log('runtime address : ' + runtime_address)
Interceptor.attach(runtime_address, {
onEnter: function(args){
console.log('as is : ' + JSON.stringify(this.context))
this.context.x8 = 0x1 //x8의 값을 0x1으로 변조
console.log('to be : ' + JSON.stringify(this.context)) //변조된 결과 출력
}
})
- 레지스터 x8의 값을 변조하는 코드를 삽입한 자바스크립트 파일을 실행한 뒤 'Login Method 2' 버튼을 클릭한다.
- "Congratulations"이라는 메시지가 출력되며 로그인/인증 기능을 우회한 것을 확인할 수 있다.
'Mobile App 취약점 진단 · 모의해킹 > iOS App 취약점 진단 · 모의해킹' 카테고리의 다른 글
| [iOS App 진단] 13강 - 런타임 조작(무차별대입공격)_실습4 (0) | 2023.10.20 |
|---|---|
| [iOS App 진단] 13강 - 런타임 조작(로그인/인증 우회)_실습3 (0) | 2023.10.20 |
| [iOS App 진단] 13강 - 런타임 조작(로그인/인증 우회)_실습1 (0) | 2023.10.18 |
| [iOS App 진단] 12강 - 탈옥 탐지 우회(실습5) (0) | 2023.10.18 |
| [iOS App 진단] 12강 - 탈옥 탐지 우회(실습4) (0) | 2023.10.18 |
