首页
社区
课程
招聘
[原创]Android漏洞检测沙箱的设计与实现
发表于: 2019-7-26 16:03 7967

[原创]Android漏洞检测沙箱的设计与实现

2019-7-26 16:03
7967


    非常感谢!我是李月锋, moony, wotongyi, 乙方安全公司架构,从PC,osx,mobile上的安全沙箱转moibile,IOT漏洞攻防与0day挖掘。之前有幸参加过blackhat会议,这是第一次有幸受段老师邀请参加国内大型安全会议,非常有幸能够结识国内安全圈子的人。

我这次主要是讲一下安卓0day平台上的漏洞检测、漏洞挖掘和检测,主要是基于沙箱系统的设计和实现,里面涉及到整体设计原则和大致怎么实现的坑,给同行做以借鉴

    这是我要讲的Agenda:项目背景介绍、项目设计与实现、Summary。

    我个人主要是在乙方做安全架构,前几年主要是做Windows、mac上沙箱系统的开发,最近几年转到Mobile0day漏洞挖掘,还有攻防对抗,有幸参加过几次blackhat会议,跟国外同行接触得相对多一点。

    首先快速过一下安卓攻防对抗尤其是0day漏洞相关的演进。大家知道,漏洞我们都称之为是攻防上尤其是攻击这块的“安全王冠”,它相当于普通的APT或者Malware攻击在植入方式更加先进,一般我们把它分为1-Click攻击、0-Click攻击等不同类型。1-Click远程攻击比如URL访问,当发给你短信链接,你打开之后,对方可以远程执行你的微信等权限,再利用本地的漏洞提权成root。乃至还可以支持所谓的0-Click攻击,假设你的手机有WiFi、基带、蓝牙相关漏洞,理论上不需要受害者做任何处理,他开放的服务就会被黑客攻击。

    攻防本质就是对抗,安卓系统本身在0day漏洞也在不断完善。我们可以看看从安卓1.0到安卓7,它加入了非常多的从用户态到内核态的,尤其像CPU里面我们做漏洞挖掘经常遇到类似于这样一些机制,它相当于内核态不能执行以后态的代码,内核态不能读写用户态相关的代码。

    我们看一下近期安卓8、安卓9,以及马上要发布的安卓Q,里面也加入一些新的,像Post-init read-only memory,Hardened Usercopy,关键API做了加强,还有APN,KASLR。到安卓9都在CFI做了代码,Integer Overflow Sanitization,在地址和代码越界做了更深的check。安卓Q在lld linker做了更深级别的CFI。

    像刚才讲的那样,攻和防,就是漏洞利用和漏洞发现,或本身就是一种对抗,我们左边可以认为是安全厂商,尤其是像谷歌这样操作系统可能会产生的采用手段,右边是普通的黑客或者高级黑客通过挖掘相关的漏洞,我们大概总结了一些,比如典型的oob和UAF相关漏洞,等等这些我们称为基础的漏洞类型,利用各种各样的技巧转换成任意代码执行,然后再配合一些,比如它开始smap的机制,可能需要leak内核态地址为堆喷做准备,然后利用相关的技巧去过左边的这些mitigations。Mitigations也分内核态和用户态的mitigation,演化进程就像刚才提到的列表。

    这是另外一张更加好看一点的mitigation的对抗图,左边的也一样,一般通过找到用户态内核态的bug,这些bug是相对来讲是比较初始的。我们要绕过的一些对象,就是图里面用红框框起来的那些各种各样的mitigation,比如pxn、pan、cfi。



    dev目录是像谷歌这样的厂商为了减少攻击界面,在设备初始化时,它会初始化它的设备数,这个设备数会往dev,然后通过iosctrl渠道注册内核态的,像Windows有些不必要的,不允许那些低权限的去访问,乃至直接从dev目录里把用户态可以访问的渠道cut掉。把一些还有一些没有必要暴露给用户态的Sys call减少掉,也会减少很大的攻击量。

    下面selinux有点类似于分权的概念,就像mac里的root,即使你拿到到root权限,要做高权限事情的时候,比如访问或者读写关键的文件目录结构,或者访问高级别的servers时,都会受限。

    古语说“知己知彼、百战不殆”,我们先从攻击界面和可选方案上大致梳理一下思路。左边是一个典型的安卓系统,看它大致可能会从哪些渠道被攻击,右边是站在防御或者防守的角度,我们可能会采取哪些溯源或者方案。


    要梳理攻击界面,我们需要对安卓架构有相对比较深入的了解。我们用户态一般分高级和低级,高级别的它主要是指高权限的system servers,低权限的就是mobile user权限或者adb shell权限。另外浏览器的JS engine比如Wekit,V8引擎等也是一个很常见的攻击渠道。

因为普通的APP都是受限的沙箱环境里,如果我拿到了APP权限之后还需要额外的沙箱逃逸漏洞去逃逸到外面去执行更多行为,乃至如果需要的话我可以提供系统权限,这个内核态度或者能访问的就会更多。这个时候就可能要通过一些Driver、Socket等等,尤其高通闭源的driver的漏洞提前拿到一些权限。

从这样的角度来看,大家可以看到,一般真正安卓的攻击,典型的像远程相关的可能是一些js脚本,或者字体、多媒体等文件解析,典型的像2016年左右有一个的多媒体解MP4时出现了libstagefright远程代码执行的bug,这样只需要发某一种畸形的MP4文件的文件交给那个库去做解析,这个库恰好是高权限的serivce,相当于我远程可以拿到它系统权限。

    它有这样一些,像音频视频这种文件类的,还有蓝牙、WiFi这样的近场或者远程的攻击渠道,最后一种是像APK,APK一般是用于典型的root提权漏洞,比如最新出现. 的Binder水滴漏洞是因为在底层的Binder驱动中出现了一个权限竞争,导致可以root安卓9之前的所有版本。这是所有攻击面的大概描述。

可选方案呢?大家做过沙箱方案的同事应该有一个印象是什么?普通的沙箱处理的是普通的File文件,它最大的问题是它可能跑出部分攻击行为来,但是我如果想还原出攻击第一环,比如远程越界的第一环,假如它是从流量打过来的,往往需要知道它的第一次访问的URL是什么,乃至它的URL具体对应的js脚本是什么。这样就有一个需求,往往都需要把某一个异常,比如某一个新创建的,之前的浏览器访问相关的Traffic包拿下来,做流量分析,有必要的话做些流量重放。

因为这里面会带一些除了APK之外,可执行文件的js脚本或者URL,它们打的本身就是像safari、chrome等这样的浏览器。这块其实需要类似于像webkit、V8引擎等等,我们需要对js脚本做emulation,可能会发现更多反混淆或者js上的潜在恶意行为乃至漏洞epxloit行为。

    沙箱这块大部分是用户态的,可以通过一些Frida框架去拿到更多apk的so级别的行为分析,乃至我可以需要引入一些全系统的基于安卓整个虚拟机沙箱的经验。不管是动态还是静态,都有各自的优缺点,这也是为什么我们把静态、动态等方式综合在一起的原因所在,静态可能会有反逆向的手段和技巧来逃避检测,动态最大的问题是它的某些关键行为可能会有各种各样的条件依赖,导致这些代码虽然存在,但在动态环境下根本无法执行到,这涉及到很大的一个Anti-sandbox的领域,比如它会检测你当前的UI,用户是不是有特定操作,比如检测请求,看它的进程、文件、固件、CPU时差等这些信息等等。

    还有比较一点是分阶段执行,拿到第一阶段的apk往往是很简单的一个壳,它本身不会做非常复杂的行为,它可能是等待时机,然后才会server端把后续重量级的有恶意行为的payload Down下来,这都没有非常好的工程化方案去解决。


[招生]科锐逆向工程师培训(2024年11月15日实地,远程教学同时开班, 第51期)

最后于 2019-7-26 18:49 被wotongyi编辑 ,原因:
上传的附件:
收藏
免费 5
支持
分享
打赏 + 2.00雪花
打赏次数 1 雪花 + 2.00
 
赞赏  junkboy   +2.00 2019/07/26 感谢分享~
最新回复 (2)
雪    币: 26205
活跃值: (63302)
能力值: (RANK:135 )
在线值:
发帖
回帖
粉丝
2
嘉宾简介:李月锋(moony li ), 趋势科技技术架构师,移动安全威胁研究组项目组长,10年安全开发经验,精通Windows、Mac安全沙箱开发;熟悉Android,iOS等平台漏洞挖掘与利用,红蓝攻防对抗。
2019-7-26 16:07
0
雪    币: 47147
活跃值: (20450)
能力值: (RANK:350 )
在线值:
发帖
回帖
粉丝
3
感谢moony li来2019SDC分享~
2019-7-26 16:10
0
游客
登录 | 注册 方可回帖
返回
//