Download to read offline
Step-Oriented Programming による任意コード実行の可能性
- 1.
- 2. 自己紹介 富士通株式会社 ネットワークサービス事業本部 富士通セキュリティマイスター(ハイマスター領域) セキュリティ&プログラミングキャンプ(現セキュリティ・キャンプ)講師 SECCON実行委員 SecHack365実施協議会委員 クリティカルソフトウェアワークショップ プログラム委員 個人でのイベント出展・セミナー登壇多数 アセンブラ短歌六歌仙の一人 バイナリかるた発案者 フリーソフトウェア作成 技術士(情報工学部門) http://kozos.jp/
- 3. 自己紹介 安価なマイコンボードで動作する独自組込みOS「KOZOS」をホビープログラミン グとして 自作し,ブートローダー,シンプルなマルチタスク・カーネル,デバイスド ライバ, 簡易TCP/IPスタック,簡易Webサーバ,デバッガ対応,シミュレータ対応 等を実装,フルスクラッチのソフトウェアによるWebサーバを動作させる. さらにオープンソースソフトウェアとして公開し,各種イベントに出展・登壇 (オー プンソースカンファレンスなど).
- 4.
- 5. 概要 Step-Oriented Programming による任意コード実行の可能性 組込み機器ではホストPCと接続してリモートでプログラムのデバッグ を行うために,スタブと呼ばれる独立した制御プログラムを内蔵し,メ イン・プログラムを制御する ことでデバッガによるデバッグを可能にして いる.スタブはレジスタ値やメモリの 読み書きなどの単純な制御のみ を行うことで簡略化されており,解析などの複雑な 処理はホストPC上 でデバッガが行う.
- 6. 概要 Step-Oriented Programming による任意コード実行の可能性 ホストPC上のデバッガと組込み機器上のスタブとの通信はリモート・シリア ル・プロトコル(RSP)と呼ばれるプロトコルにより, シリアル通信やTCP/IP 通信により行われる.この通信が奪われた場合, スタブの任意の操作が可 能となり,その場合の攻撃の可能性としては, プログラム・カウンタの値を 変更しながらステップ実行を繰り返すことで 機械語コードの断片を組み合 わせて任意コードを実行する Step-Oriented Programming(SOP)が考 えられる.
- 7. 概要 Step-Oriented Programming による任意コード実行の可能性 これはDEPによるデータ領域の実行防止やフラッシュROM上の機械語コードし か実行できないなどの理由で, 注入された機械語コードの実行が不可能であっ たとしても,既存の機械語コードから 任意コードを組み立てての実行が可能であ る. SOPによる攻撃の原理と実際に検証コードを組み立てて検証した結果について, デモを含めて説明する.
- 8. 本日の流れ 組込み機器とは何か 組込み機器のリモートデバッグ対応 リモートデバッグのための通信プロトコル Step-Oriented Programming (SOP)による攻撃可能性 SECCON CTFでの実験
- 9. 重要! 本研究の目的は通信が奪われた場合の攻撃の可能性 を知ることで本質的な防御を 検討できるようにすると いう点にあります.不正な攻撃を助長するようなもので は ありません. また本研究の目的は,攻撃の危険を知ることで組込み 機器のセキュリティを啓発することにあります. 他者のサーバや機器を許可無く攻撃・検証することは, 不法です. やってはいけません.
- 10.
- 11.
- 12.
- 13.
- 14.
- 15.
- 16.
- 17.
- 18.
- 19.
- 20.
- 21.
- 22.
- 23. スタブの実装 p = recvbuf; switch(*(p++)) { ... case 'g': read_memory(registers, sendbuf, REGISTERS_SIZE); break; case 'G': write_memory(p, registers, REGISTERS_SIZE); stub_strcpy(sendbuf, "OK"); break; ...
- 24. スタブの実装 case 'm': a2val(&p, &addr); if(*(p++) != ',') { stub_strcpy(sendbuf, "E01"); break; } a2val(&p, &size); read_memory((void *)addr, sendbuf, size); break; ... case 'M': a2val(&p, &addr); if (*(p++) != ',') { stub_strcpy(sendbuf, "E01"); break; } a2val(&p, &size); if (*(p++) != ':') { stub_strcpy(sendbuf, "E02"); break; } write_memory(p, (void *)addr, size); stub_strcpy(sendbuf, "OK"); break; ...
- 25.
- 26.
- 27.
- 28.
- 29.
- 30.
- 31. プリミティブなコマンド コマンド 意味 s ステップ実行(step) c動作継続(continue) g レジスタ値の取得 G レジスタ値の設定 m<address>,<size> メモリのリード M<address>,<size> メモリへのライト D デタッチ その他にもたくさんのコマンドが定義されているが, 上のコマンドが使えれば gdbでのだいたいのデバッグ操作は可能 もっと高級なコマンドもあるが,スタブが対応していなくて使えない場合は 別 の簡単なコマンドを使うようにgdbが自動的に調整する
- 32.
- 33.
- 34.
- 35. ARMでのブレークポイント設定時の発行コマンド (gdb) set debugremote 1 (gdb) target remote localhost:10000 ... (gdb) break main Sending packet: $m20c8,4#ca...Ack Packet received: 04e02de5 Breakpoint 1 at 0x20c8: file arm-elf.c, line 39. (gdb) continue Continuing. Sending packet: $Z0,20c8,4#13...Ack Packet received: Packet Z0 (software-breakpoint) is NOT supported ... Z0コマンドが使えるか試す (パラメータ渡しができるソフトウェア・ブレークポイント設定) → 実装されていない
- 36. ARMでのブレークポイント設定時の発行コマンド ... Sending packet: $m20c8,4#ca...Ack Packetreceived: 04e02de5 Sending packet: $X20c8,0:#eb...Ack Packet received: binary downloading NOT supported by target Sending packet: $M20c8,4:fedeffe7#e0...Ack Packet received: OK Sending packet: $vCont?#49...Ack Packet received: Packet vCont (verbose-resume) is NOT supported Sending packet: $Hc0#db...Ack Packet received: Sending packet: $c#63...Ack mコマンドで,ブレークポイントに配置されている 機械語コードが読み込まれる → 保存しておく Xコマンドが使えるか試す (バイナリ通信による高速なメモリ書き込み) → 実装されていない Mコマンドで,ブレークポイントにトラップ命令を埋め込む vContコマンドが使えるか調べる (動作継続のマルチスレッド拡張) → 実装されていない Hc0コマンドが使えるか試す (スレッドごとの動作継続指定) → 実装されていない cコマンドで動作継続する 徐々に簡単な命令に落とし込まれていく
- 37. ARMでのcontinue実行時の発行コマンド (ブレーク時) Packet received:T05 Sending packet: $g#67...Ack Packet received: 000000000000000000000000000000000000000000000000000000 000000000000000000000000000000000000000000000000001028000008200000c82000 000000000000000000000000000000000000000000000000000000000000000000000000 000000000000000000000000000000000000000000000000000000000000000000000000 0000000000000000000000000000000000000000000000000000000000d3000000 Sending packet: $m20c8,4#ca...Ack Packet received: fedeffe7 Sending packet: $qL1160000000000000000#55...Ack Packet received: Sending packet: $M20c8,4:04e02de5#0d...Ack Packet received: OK Breakpoint 1, main () at arm-elf.c:39 39 arm-elf.c: No such file or directory. (gdb) gコマンドでレジスタ一覧を取得する (プログラムカウンタが含まれるため,ブレーク位置がわかる) mコマンドで,ブレーク位置の機械語コードを確認する Mコマンドで,ブレーク位置の機械語コードを元に戻す
- 38. ARMでのcontinue実行時の発行コマンド (continue実行時) (gdb) continue Continuing. Sendingpacket: $Hc0#db...Ack Packet received: Sending packet: $s#73...Ack Packet received: T05 Sending packet: $g#67...Ack Packet received: 000000000000000000000000000000000000000000000000000000 000000000000000000000000000000000000000000000000000c28000008200000cc2000 000000000000000000000000000000000000000000000000000000000000000000000000 000000000000000000000000000000000000000000000000000000000000000000000000 0000000000000000000000000000000000000000000000000000000000d3000000 Sending packet: $m20cc,4#f5...Ack Packet received: 0100a0e3 Sending packet: $m20c8,4#ca...Ack Packet received: 04e02de5 Sending packet: $M20c8,4:fedeffe7#e0...Ack Packet received: OK Sending packet: $Hc0#db...Ack Packet received: Sending packet: $c#63...Ack sコマンドで,1命令だけステップ実行する (ブレークポイントの次の命令で停止する) gコマンドで,停止位置を確認する mコマンドで,ブレークポイントの命令を取得し保存する (次回のブレーク時の命令復旧のため) Mコマンドで,ブレークポイントにトラップ命令を埋め込む (トラップ命令は0xe7ffdefe) cコマンドで,動作継続する
- 39. ステップ実行の実現 「sコマンド」によるステップ実行は,スタブ側で以下のように処理 される ステップ実行例外を利用する方法 ステップ実行例外 ... 1命令を実行するごとに発生する例外 sコマンド受信時に,多くはCPUのステータスレジスタを操作 してステップ実行例外を有効にして動作継続する 命令書き換えをせずに,1命令ごとにブレークできる GDBのスタブのサンプルでは,x86,IA-64,68000がその ような実装になっている
- 40.
- 41. 圧縮プロトコル 4文字以上の同じ文字の連続を圧縮できる Gコマンドによるレジスタ設定などで効果がある (設定不要なレジスタはゼロを指定することで,設定値を圧縮できる) フォーマット <w>*<c> <w>連続する文字 <c>n = c- 29 として,<w>をさらにn個連続させる (c = '<' の場合は n = '<' - 29 = 60 - 29 = 31個)
- 42. 圧縮プロトコル ARMでの例 # R0 R1R2-R13 LR PC #+------++------++-------++------++------+ G00240000000000000*<0*<0*<0000000024200000 0が32個連続 ×3回 → 0が96個 → レジスタ12個ぶんの設定 展開すると,以下のようになる G002400000000000000000000000000000000000000000000... ...0000000024200000
- 43. Step-Oriented Programming (SOP)に よる攻撃可能性
- 44.
- 45.
- 46.
- 47.
- 48.
- 49.
- 50.
- 51.
- 52. SECCON CTFで出題し実験 SECCON2016 オンライン予選でSOPによる任意コード実行の問題 を実験的に出題 SECCON2016決勝大会で最小SOPを競う競技形式にして出題 サーバ上でARMなどの4種類のアーキテクチャの実行ファイルが シミュレータ上で 動作している デバッガの接続ポートが開いており,TCP経由でRSPで接続できる サーバのカレント・ディレクトリの「word.txt」というファイルから キーワードを読みスコアサーバにコミットすると得点 サーバのカレント・ディレクトリの「flag.txt」というファイルに チーム のキーワードを書き込むと定期的に得点 (最小サイズのSOPを作成したチームだけが書き込める)
- 53. 注意 攻略にはSOPが要求される 果たして,SOPは使われるのか...? (SOPは誰でも考えつく手法なのか...?) RSPで使えるコマンドは s, c,g, G, m の5種類 Mコマンドは無効化されている 競技として工夫の要素が無くなるため (メモリ書き換えができると,機 械語コードを注入して実行するだけの 簡単な問題になってしまう) 機械語コードを注入して実行することができない場合を想定
- 54.
- 55.
- 56.
- 57. アーキテクチャ一覧 アーキテクチャ名 種類 特徴 ARM32ビットマイコン 4バイト固定長命令セット H8/300 16ビットマイコン 可変長命令セット SH 32ビットRISCマイコン2バイト固定長命令セット V850 32ビットRISCマイコン4バイト固定長命令セット 対象サーバが分散すると競い合いにならないので, 分散しないように少数のアーキテクチャで実施
- 58.
- 59.
- 60.
- 61.
- 62.