[2017 Incognito] Code Clone 기법을 통한 모바일 브라우저 취약점 분석

August 28, 2017
Code Clone 기법을 통한
모바일 브라우저 취약점 분석
권성경 / iibllbiibllii@gmail.com

2
Content
 Code Clone 기법
- 개념
- 특징
- 구현
- 취약점 분석
 모바일 브라우저 취약점 분석
- 대상 정의
- Code Clone 매치
- 취약점 검증
- 취약점 분석
- 분석 환경 구축
- 분석 과정
- 분석 결과
E-COPS

3
Content
- 개념
- 특징
- 구현
- 분석 절차
- 대상 정의
- Code Clone 매치
- 취약점 검증
- 취약점 분석
- 분석 과정
- 분석 결과
E-COPS

4
Code Clone 기법 – 개념
 정의
- 복제된 코드 (Ctrl + C, Ctrl + V)
- 어떤 프로그램의 취약한 코드가 다른 프로그램에서 재사용된 것을 찾는
취약점 탐지 기법
 Example
- 오픈 소스 라이브러리를 사용한 프로그램
- 오픈 소스 커널을 사용한 운영체제
- 이전에 개발한 소스를 재활용한 경우
E-COPS

5
 논리
- 어떤 프로그램 ‘A’에서 취약한 코드 ‘C’가 존재한다.
- 다른 프로그램 ‘B’에서 똑같은 ‘C’ 코드가 발견된다면,
- 프로그램 ‘B’는 취약한 코드를 가지고 있는 것이고, 따라서 프로그램 ‘B’도 취약하다
고 판단
E-COPS
프로그램 ‘A’
취약한 코드 ‘C’
프로그램 ‘B’
Code Clone 기법
??? : 프로그램
‘B’는 취약해
취약한 코드 ‘C’와 같은 코드

6
 맹점 1
프로그램 ‘A’와 프로그램 ‘B’는 다르므로,
- 실행되는 아키텍처
- 실행되는 머신의 물리적 성능
- 실행 옵션
E-COPS
프로그램 ‘A’ 프로그램 ‘B’
프로그램 ‘A’의 취약한 코드 ‘C’가 프로그램 ‘B’에 존재한다고 해서,
똑같이 취약하다는 보장을 할 수 없다.

7
 맹점 2
- 프로그램 ‘B’의 취약한 코드 ‘C’가 프로세스 ‘B’에는
존재하지 않을 수 있다.
- 취약한 코드 ‘C’가 컴파일 되지 않는 경우
- 취약한 코드 ‘C’가 컴파일은 되었으나 프로세스 ‘B’에 로드되지 않는 경우
E-COPS

8
 맹점 3
- 프로그램 ‘B’의 취약한 코드 ‘C’까지 도달하지 못할 수 있다.
- 프로그램 ‘A’와 프로그램 ‘B’에서 취약한 코드까지의 코드 플로우가 다르다.
- 프로그램 ‘B’에서 사용하지 않는 기능일 수 있다.
E-COPS
프로그램 ‘B’프로그램 ‘A’

9
 맹점 4
- 프로그램에 존재하는 취약한 코드의 취약점이 발현되려면,
공격 페이로드가 동작 해야 하는데 그렇지 않은 경우가 존재한다.
- 미티게이션
- 취약한 코드 앞,뒤에서 보완
- DEP/NX
E-COPS
프로그램 ‘A’ 프로그램 ‘B’

10
Code Clone 기법 – 특징
 코드클론의 필요성
- Code Clone 수가 갈수록 많아짐
- 비용 절감과 개발 시간 단축 등의 이유로, 오픈 소스 사용량이 갈수록 증가함
- 오픈 소스의 확산성에 의해 파급력이 증가
E-COPS
라이브러리
소규모 소프트웨어
운영체제
대규모 소프트웨어
코드클론

11
Code Clone 기법 – 특징
E-COPS
 장점
- 대용량의 소스 코드에서 알려진 취약점을 찾는데 유리
- 해당 소프트웨어가 포함하고 있는 부분에 대해서도 점검 가능
 단점
- 오탐이 많다.

12
Code Clone 기법 – 구현
 구현 구조도
E-COPS
Vulnerability
Database
func foo(){
bar;
}
CVE Patches Vulnerable Code
(function)
Repository
Matched
A
Program
Extract
function
List of normalized,
abstracted functions
List of functions
Abstract
& Normalize
Vulnerable Code Clone

13
 구현
- 취약한 코드 근거(커밋 로그)
- 알려진 취약한 코드  CVE
- 안 알려진 취약한 코드  커밋 로그
- 취약한 코드인지에 대한 판단이 어려움 (커밋 로그 작성 스타일이 작성자마다 다름)
- 취약한 코드 수집
- 각종 오픈 소스 소프트웨어
2017-08-
28
E-COPS

14
 구현 (Code Clone 도구들의 차이점이 발생하는 부분)
- 매치를 위한 전처리
- 화이트 스페이스 제거
- 공백
- 개행
- 주석
- 취약한 코드의 단위 설정
- 함수
- 코드 블록
- 라인
- 추상화 여부
- 심볼 (함수명, 변수명)
- 자료형 (데이터 타입)
- 의미 (while ↔ for)
- 취약한 코드 매치
- 문자열 매칭
- 해쉬 매칭
2017-08-
28
E-COPS

15
Code Clone 기법 – 분석 절차
E-COPS
Code Clone
매치
매치된
Code Clone
취약점 정리
취약점 검증 취약점 분석
- CVE, CWE, CVSS
- 공격 형태
(DoS, EoP, RCE
/ Local, Remote)
- 컴파일 여부
- 로드 여부
- 패치 여부
- 트리거 여부
- PoC 조사 및 작성
- Exploit 시도 및 보고서
 분석 절차

16
Content
- 개념
- 특징
- 구현
- 분석 절차
- 대상 정의
- Code Clone 매치
- 취약점 검증
- 취약점 분석
- 분석 과정
- 분석 결과
E-COPS

17
모바일 브라우저 취약점 분석 – 대상 정의
 대상
- Name : Samsung Browser
- Version : 5.4
- Platform : Android 7.0
- Device : Samsung Galaxy S7 (SM-G930K)
- Base : Chrome 51.0.2704.106
E-COPS

18
모바일 브라우저 취약점 분석 – 대상 정의
 대상
- Samsung Galaxy S8에서도 환경이 동일함
 취약점 유사 확률이 높음
E-COPS
Samsung Galaxy S7 Samsung Galaxy S8

19
모바일 브라우저 취약점 분석 – Code Clone 매치
 Code Clone 도구 : http://iotcube.net(고려대학교 컴퓨터보안연구실 제작)
E-COPS

20
 Code Clone 분석 대상 지정
- SBrowser v5 Source Code Download
- http://opensource.samsung.com/reception/receptionSub.do?method=sub&sub=F&sear
chValue=sbrowser
E-COPS
Samsung Open Source Download Site

21
 Code Clone 매치를 위한 전처리 작업
E-COPS

22
 Code Clone 매치 결과 분석
E-COPS

23
E-COPS

24
E-COPS
Code vulnerability CVE
UTF8.cpp Encoding-Based SQL Injection CVE-2006-2313
vorbis.c DoS(out-of-bounds read) CVE-2011-3893
brw_fs.cpp DoS CVE-2013-1872
jdmarker.c
Information Leak CVE-2013-6629
fpdfapi_jdmarker.c
window.c
RCE (RCE X  단순 Buffer Read Overflow) CVE-2014-8962
format.c
stream_encoder.c
bitreader.c
stream_decoder.c
cpu.c
bitwriter.c
md5.c
lpc.c
memory.c
stream_encoder_framing.c
parser.cc obtain sensitive information CVE-2016-5172

25
E-COPS
Code Vulnerability CVE
ftmac.c DoS(out-of-bounds read) CVE-2014-9672
tasn_dec.c DoS(memory corruption and application crash) CVE-2015-0209
ExpressionParser.cpp
network replay attack CVE-2015-7973glslang_tab.cpp
parser.cpp
tasn_enc.c DoS(buffer underflow and memory corruption) CVE-2016-2108
glslang_tab.cpp DoS(ephemeral-association demobilization) CVE-2016-4953
NLSF_stabilize.c EoP CVE-2017-0381
xmlparse.c
RCE CVE-2016-0718xmltok.c
xmltok_impl.c
tcd.c DoS(heap-based buffer overflow) CVE-2016-5152
image.c Heap Buffer Overflow CVE-2016-9118
EditingStyle.cpp DoS(type confusion) CVE-2016-5161

26
모바일 브라우저 취약점 분석 – 취약점 검증
 CVE-2014-9672
E-COPS

27
 CVE-2014-9672 - ftmac.c

E-COPS
string_count
 out-of-bounds Read

28
 CVE-2015-0209
E-COPS

29
 CVE-2015-0209 - tasn_dec.c

E-COPS
pval free (x)
 use-after-free

30
 CVE-2014-8962
E-COPS

31
 CVE-2014-8962
E-COPS
1. Libflac에서 14년도에 발견, 패치
2. Chrome에서 2016년도에
CVE-2014-8962를 패치 :
Libflac 1.2.1  libflac 1.3.1
3. 코드클론을 탐지할 때
버전 변경사항 전부를
CVE-2014-8962 패치로 판단.

32
 CVE-2014-8962 - Stream_decoder.c
E-COPS
ID3V2_TAG_
 Stack buffer read overflow

33
 CVE-2017-0381
E-COPS

34
 CVE-2017-0381 - NLSF_stabilize.c
E-COPS
NLSF_Q15
 Elscalation of privileges

35
 CVE-2016-0718
E-COPS
Debian 에서 패치
 xml parse lib 패치 : 버전 업그레이드
 chrome 패치 : 최신 버전으로 업그레이드

36
 CVE-2016-5152
E-COPS

37
 CVE-2016-5152 - tcd.c
E-COPS
l_data_size
 Heap based buffer overflow

38
 CVE-2016-9118
E-COPS

39
 CVE-2016-9118 - image.c
E-COPS
comp->w
heap buffer overflow

40
 CVE-2013-6629
E-COPS

41
 CVE-2013-6629 - jdmarker.c
E-COPS
huffval 초기화 안함
 Information leak

42
 CVE-2013-1872
E-COPS

43
 CVE-2013-1872 - brw_fs.cpp
E-COPS
constant_nr
out of bounds array

44
 CVE-2016-5161
E-COPS

45
 CVE-2016-5161 - EditingStyle.cpp
E-COPS
setProperty
 Type confusion

46
 CVE-2016-5161 - EditingStyle.cpp
E-COPS

47
 CVE-2016-5172
E-COPS

48
 CVE-2016-5172 - parser.cc
E-COPS
Calls_sloppy_eval
 Informaion leak

49
 CVE-2016-5172
E-COPS

50
모바일 브라우저 취약점 분석 – 취약점 분석
 분석 환경 구축 - 정적 분석 준비물
1. 좋은 IDA
2. 소스 코드
3. 컴파일 환경
E-COPS

51
 분석 환경 구축 - 정적 분석
- 소스 편집기 도구 이용
E-COPS

52
 분석 환경 구축 - 정적 분석
- 소스 코드를 직접 컴파일 하여 디버깅 심볼을 만든다.
- IDA에 로드 한다.
E-COPS

53
 분석 환경 구축 - 동적 분석 준비물
1. 좋은 디버거
2. Strace, ltrace, Systemtap 등의 분석 도구
3. 디버깅 심볼
4. 좋은 리모트 디버깅 환경
E-COPS

54
 분석 환경 구축 - 동적 분석 (GDB를 이용한 android remote debug)
1. 대상 기기에 adb를 이용해 gdbserver와 분석 도구를 올림
2. 어플 실행에 필요한 라이브러리들과 app_process를 PC로 이동
3. PC의 GDB에서 라이브러리 경로 지정
4. 대상 기기의 프로세스를 gdbserver를 이용해 attach
5. GDB로 gdbserver에 연결하여 리모트 디버깅
E-COPS

55
 분석 과정 - 메뉴얼
- PoC 있음
- PoC 동작 함
- PoC와 취약한 코드를 매칭하며 분석
- PoC 동작 과정 추적
- PoC를 환경에 맞게 수정
- 미티게이션 우회 시도
- 성공  제보
- 실패  오탐
- PoC 동작 안함
- PoC 동작 과정을 추적하여 취약한 코드가 실행되는지 확인
- PoC를 수정하여 취약한 코드까지 트리거 시도
- 트리거 성공  미티게이션 우회 시도
- 성공  제보
- 실패  오탐
- 트리거 실패  오탐
E-COPS

56
 분석 과정 - 메뉴얼
- PoC 없음
- 패치 Diff를 보며, 취약한 이유 분석
- PoC 제작
- 취약한 코드로 트리거 되는 Input 값 생성
- Symbolic
- Concolic (Concreate Execution + Symbolic)
- Solver
- Hand
- 취약점을 발현시키는 값 생성
- 미티게이션 우회 시도
- 성공  제보
- 실패  오탐
E-COPS

57
 분석 과정 - CVE-2016-5172
E-COPS
Process ID 확인
Attach gdbserver

58
 분석 과정
E-COPS
1
3
2

59
 분석 과정
E-COPS
4
5

60
 분석 과정 - CVE-2016-5161
E-COPS
Process ID 확인
Attach gdbserver

61
 분석 과정
E-COPS
1
3
2

62
 분석 과정
E-COPS
4
5

63
 분석 결과
- 16개의 CVE를 탐지함
- CVE-2016-5161 성공
- CVE-2016-5172 성공
 결론
- Code Clone을 통해, 최신 디바이스의 모바일 브라우저에서 동작하는
취약점을 찾음
E-COPS

[2017 Incognito] Code Clone 기법을 통한 모바일 브라우저 취약점 분석

Recomendados

Recomendados

Más contenido relacionado

La actualidad más candente

La actualidad más candente (20)

Similar a [2017 Incognito] Code Clone 기법을 통한 모바일 브라우저 취약점 분석

Similar a [2017 Incognito] Code Clone 기법을 통한 모바일 브라우저 취약점 분석 (20)

Más de NAVER D2

Más de NAVER D2 (20)

Último

Último (7)

[2017 Incognito] Code Clone 기법을 통한 모바일 브라우저 취약점 분석