Raining_93

최근 우리 회사의 모바일 보안 솔루션 팀에서 흥미로운 업무 지원 요청을 받았다.

한 고객사의 게임에서 모드앱(해킹앱)이 발생했으며, 이를 분석해 달라는 요청이 왔다.

특히, 해당 모드앱은 LDPlayer, GameGuardian, Magisk, Hide the Magisk Manager APP 등

다양한 기능과 프레임 워크들을 사용하였다.

당연히 위의 환경으로 설정하게 되면 단말기 또는 Emulator는 루팅된 환경이 된다.

게임 앱 같은 경우 서비스 정책상 Emulator를 차단하게 되면 큰 단점으로 이어질 수 있기 때문에

대부분 허용해 준다.

하지만 여기서 가장 큰 문제점은 우리 회사에서 제공하는 보안 솔루션에서

최신 Magisk 27.0 버전을 탐지하지 못하고 있었다.

따라서 최신 Magisk 27.0 버전을 탐지할 수 있는 방법과 Magisk의 기능 중 하나인 DenyList와

루팅 탐지를 우회하는 각종 모듈들을 탐지할 수 있는 방법에 대한 좋은 주제로 분석을 진행하게 되었다.

Magisk는 전 세계적으로 사용하고 있는 루팅 툴이다.

그러면 그만큼 패치가 자주 일어나고, 우회 - 탐지 - 우회 - 탐지가 반복적으로 발생한다.

따라서 Root cause인 Magisk 자체를 탐지하면 해결될 것 같았다.

이런 생각으로 분석을 진행하였다.

자세한 로직과 원리는 공개하지 못하지만,

최신 Magisk 27.0, Magisk, Hide Magisk Manager, DenyList, 루팅 탐지를 우회하는 각종 모듈 등을 

적용하여도 탐지할 수 있는 방법을 발견하게 되었다.

결과는 다음과 같다.

기본 Magisk 탐지인 com.topjohnwu.magisk를 탐지하는 경우이다.

이는 대부분의 모바일 보안 솔루션에서 탐지를 한다.

해당 방법은 우리 회사에서 만든 보안 솔루션에서도 탐지를 한다.

하지만 문제는 다음과 같이 Hide the Magisk Manager APP의 기능으로 Magisk 패키지명을

랜덤으로 숨겨 버린 후, DenyList에 해당 앱을 추가하면 모바일 보안 솔루션에서 탐지를 하지 못하였다.

그 이유로는 첫 번째 같은 경우는 com.topjohnwu.magisk이라는 정해진 패키지명으로 설치가 되기 때문에

패턴으로 쉽게 탐지가 가능하지만,

위의 두 번째 같은 경우에는 Random Package Name로 설치가 되어 패턴으로는 알 수 없기 때문이다.

하지만 분석 끝에 탐지할 수 있는 방법을 발견하였고

아래와 같이 Random Package Name으로 설치된 Magisk를 탐지할 수 있었다.

끝으로 보안 업무를 주로 할 때 오펜시브(공격적) 경향이 강했다. (사실 오펜시브가 더 재밌었다.)

보안 취약점을 찾고 이를 악용해 시스템을 테스트하는 것이 주된 역할이었다.

하지만 이번 업무는 이전과는 달리 디펜시브(방어적) 측면에서 생각해야 하는 업무였다.

주 업무가 아닌 업무 지원 역할로이었기 때문에 처음에는 사실 힘들었다.

하지만, 지금 생각해 보면 새로운 경험을 쌓는 좋은 기회였던 것 같다.

거의 3주 동안 퇴근 후 주말 밤낮없이 분석을 진행했던 것 같다.

다른 접근 방식을 배울 수 있었고, 보안의 다양한 측면을 이해하는 데 큰 도움이 되었다.

앞으로도 이러한 경험을 바탕으로 조금 더 성장할 수 있을 것 같다.

탐지 로직은 더 추가할 예정이다.

iOS에서도 애플리케이션을 모의해킹 또는 분석을 할 때 단말기단이 아닌 패킷 단에서 분석을 하기위해서는

Fiddler나 burp 인증서를 설치를 해야 프록시에서 잡을 수 있다.

따라서 이번에는 iOS에 Burp 인증서를 설치해보려고한다.

먼저 단말기와 PC가 같은 네트워크에 접속을 해야한다.

쉽게 말해 같은 Wi-Fi에 접속하면된다.

그 다음은 Burp에서 Proxy 설정을 해주어야한다.

PC에 설치된 Burp 메뉴에서 Proxy - Options - Edit - All interfaces를 선택 해준다.

PC 설정은 이제 끝이 났다.

이제 단말기에서 Burp 인증서 설치 및 네트워크 설정만 해주면된다.

일단 단말기에서 PC를 거쳐서 통신을 해야 하기 때문에

iOS에서 PC의 IP와 proxy port를 설정해주어야한다.

iOS의 Wi-Fi 설정에 들어가서 제일 밑에 프록시 구성이라는 탭이있다.

기본적으로 "끔"이라고 설정되어 있지만 클릭해서 수동으로 변경해준다.

수동으로 변경하면 밑에 서버와 포트를 입력할 수 있게되는데

이때 PC의 IP와 앞에 burp에서 열어줬던 프록시 포트 번호를 입력해주면된다.

설정한 후 단말기에서 https://burp로 접속을 해준다.

접속을 하면 다음과 같은 화면이 뜬다면 일단 PC와 단말기가 연결이 되었다는것이다.

이제 Burp의 인증서를 단말기에 설치를 해주어야지 단말기에서 발생하는 패킷이 PC에서 볼수가 있다.

Burp의 인증서를 설치하기위해서는 "CA Certificate"를 클릭해준다.

인증서를 설치하려고하면 다음과 같은 문구가 나오는데 여기서 허용을 클릭해주자.

허용을 클릭하면 일단 인증서 설치는 끝났다.

이제 설치된 인증서에 대한 설정만 해주면된다.

설정을 하기위해서는 설정 - 일반 - 프로파일 및 기기 관리에 들어가준다.

프로파일 및 기기 관리에 들어가면 방금 설치한 인증서가 보인다.

인증서를 클릭 한 후 설치를 눌러준다.

이렇게 인증서 설치는 끝이 났다.

이제 단말기 시스템에서 해당 인증서를 신뢰만 해주면 설정 및 인증서 설치가 끝이 난다.

일반 - 정보 - 인증서 신뢰 설정에 들어간 후 Burp 인증서를 신뢰해주면 된다.

이제 모든 설치 및 설정은 끝이 났다.

마지막으로 Burp에서 제대로 패킷이 잡히는지 확인해보자.

안드로이드에 Frida를 설치하는 방법과 비슷하다.

트윅으로 설치해도 되고, 원하는 버전을 사용하려면 따로 설치해야한다.

먼저 원하는 버전을 설치하고 싶으면 다음과 같이 진행한다.

먼저 PC에 설치되어있는 Frida 버전은 다음과 같다.

(py3) C:\Users\~~~~> frida --version
15.1.14

Frida 공식 홈페이지(클릭)에 접속해서

CTRL + F로 server를 입력하여 서버 전용 파일을 찾는다.

설치하기전 안드로이드와 마찬가지로 단말기의 비트 버전을 확인해야 한다.

확인하는 방법은 SSH로 접속한 후 uname -a 명령으로 비트를 확인한다.

해당 비트와 맞는 frida-server 15.1.14를 설치한 후 

Frida server 파일을 /usr/sbin 경로로 파일을 옮겨준 후

해당 경로로 이동하여 아래 명령어로 실행한다. 

# frida-server 파일에 실행권한
chmod 777 ./다운로드 받은 frida 파일 이름

# 백그라운드에서 실행
./다운로드 받은 frida 파일 이름 &

두번째 방법은 그냥 트윅으로 설치하는것이다.

Cydia 앱을 실행한 후 소스 > 편집 > 추가 > https://build.frida.re 소스 추가한다.

그 후 bulid.frida.re을 클릭 - 개발을 클릭한다.

여기서 64bits는 그냥 Frida이고 32bits는 Frida for 32bits device이다.

이 중 알맞은 환경의 패키지 다운로드한다.

위처럼 간단하게 iOS에 Frida가 설치되었다.

Cydia를 이용하여 frida를 설치하면 default로/usr/sbin/frida-server가 구동된다.

이렇게 설치가 끝나면 PC와 Frida로 연결이 되는지 확인해본다.

위의 명령어가 잘 실행된다면 iOS에 Frida가 정상적으로 설치가 된것이다.

아이폰을 탈옥한 후 SSH와 FTP를 사용한다면 모의해킹이나 분석을 할 때

조금 편하게 할 수 있다.

위 2가지를 한번에 설치 및 사용하기 위해서는 OpenSSH를 설치해주어야 한다.

먼저 탈옥된 단말기의 Cydia에서 Openssh를 입력하고 설치해준다.

Cydia에서 검색 클릭

검색을 누른 후 openssh를 검색한 후 설치를 눌러준다.

설치가 완료되면 Cydia로 복귀라는 문구를 클릭하여 openssh 설치를 끝낸다.

그 후 PC와 SSH 통신을 하기 위해서는 같은 네트워크에 접속한 후 단말기의 IP주소를 알아야 한다.

따라서 설정 - Wi-Fi에 들어가서 IP 주소를 알아본다.

단말기의 IP 주소는 192.168.10.177이다.

이제 PC와 SSH 연결을 위해 MobaXterm이라는 프로그램을 사용한다.

MobaXterm을 실행한 후 Session - SSH을 클릭하여 단말기의 IP 주소를 입력해준다.

IP 주소를 입력하면 다음과 같은 로그인 화면이 뜬다.

계정 정보는 root/alpine이다.

위와 같은 계정 정보를 입력하고 ls 명령을 입력하고 출력이 잘된다면

PC와 단말기가 잘 연결되었다는 것이다.

먼저 iOS에서 모바일 모의해킹을 진행하기 위해서는 탈옥(jailbreak)을 해야 한다.

진단 기기의 iOS 버전은 14.2 버전이다.

탈옥을 하기 위해서는 여러 가지 방법과 툴이 있지만 이번에는 unc0ver를 사용하여 탈옥을 진행해보자.

먼저 PC에 altstore를 설치해주어야 한다. 

altstore는 여기서 다운로드하면 된다. (여기)

위에 접속해서 Windows (beta)를 클릭해서 설치해준다.

그런 다음 PC에서 설치한 후에 단말기에 altstore를 설치해준다.

Apple ID와 Password를 입력하면 단말기기에서 PIN 코드가 나온다.

PIN 코드를 입력하면 altstore가 설치가 된다.

그 후 단말기에서 unc0ver 공식 사이트에 접속한다. (여기)

공식 사이트에 접속할 때는 사파리로 들어가야 한다.

들어가면 다음과 같은 화면이 나온다.

그림과 같이 Open in AltSotre을 클릭하고 열기를 눌러준다.

열기를 눌렀는데도 아무런 반응이 없다면 AltStore가 실행이 안된다는 것이다.

이때는 단말기에서 설정을 해주어야 한다.

설정 방법은 다음과 같다.

먼저 설정에 들어간다.

설정에 들어간 후 위의 그림처럼 일반 -> 기기 관리에 들어가 준다.

기기 관리를 클릭한 후 위의 그림처럼 신뢰를 눌러준다.

그런 후 다시 위의 과정을 진행해주면 다음과 같이 unc0ver가 설치된다.

여기까지가 unc0ver 설치가 끝이다.

다음은 홈 화면으로 가서 앱을 실행한 후 탈옥을 해주면 끝이다.

조금 기다리면 탈옥이 완료됐다는 문구를 볼 수 있다.

그럼 재부팅을 하고 나면 Cydia라는 앱이 설치가 되어있으면

성공적으로 탈옥이 되었다는 의미이다.

Level 3 앱을 설치한 후 실행해보자.

이번에는 Level 1~2와는 다르게 문구가 다르게 보인다.

빠르게 디컴파일 툴로 해당 문구를 출력해주는 부분을 보자.

그림 부분에서는 잘렸지만 이번에도 루팅 체크를 하는 것 같다.

다시 if문 조건절에 있는걸 보면 총 5개의 메소드로 루팅을 체크하는 로직이 존재한다.

모두 OR로 되어있기 때문에 하나 하나 분석해봐야 한다.

먼저 Level 1~2에서 한 것처럼 RootDetection.checkRoot1()을 먼저 살펴보자.

아래의 그림은 checkRoot1() 메소드이다.

해당 메소드를 보면 이름만 바뀐 것을 볼 수 있다.

즉, 로직은 Level 1~2와 같다는 말이다.

이 부분을 빠르게 후킹 해서 루팅 우회를 진행해보자.

Frida가 실행된 후 앱은 바로 꺼졌다.

따라서 뒤의 IntegrityCheck.isDebuggable(this.getApplicationContext()와

MainActivity.tampered != 0도 추가적으로 우회를 해보았다.

하지만 똑같이 우회가 되지 않았다.

그래서 앱이 문제인지 아니면 문제에서 의도한 것인지 파악하기 위해 로그를 분석해보았다.

위의 그림은 앱이 실행될 때 발생되는 로그를 캡처한 것이다.

처음 시작하자마자 Tampering detected! Terminating...라는 문구가 나온다.

뭔가 탐지됐다는 말이다.

따라서 코드단에서 분석을 진행할 때 놓친 부분이 있나 싶어서 디컴파일 툴에서

"Tampering detected! Terminating..." 문구를

검색해보았다.

나오지 않았다.

이는 앱단(java)에서 처리하는 것이 아니다고 판단할 수 있다.

100%로는 아니다.

저 문자열이 동적으로 생성되거나 문자열이 난독화되어있으면

원하는 문자인 "Tampering detected! Terminating..."을 검색해도 나오지 않는다.

따라서 어딘가에서 루팅 혹은 디버거 탐지 등 어떤 것인지 모르는 탐지 로직이 실행되고 있으며

탐지 로직에 걸려 로그가 나왔다는 것만 알 수 있다.

따라서 우리가 Secret String을 맞춰 성공하는 alert가 있는 곳으로 가보자.

if문 앞의 this.check.check_code(v4)가 실행되면서 true을 return 해주면

우리는 성공한 메시지를 볼 수 있다.

this.check.check_code 메소드를 살펴보자.

살펴보면 check_code 메소드에서 this.bar을 호출하고 this.bar에서 return 된 값을 return 한다.

this.bar 함수는 위에 정의가 되어있으며 이 역시 native이다.

native를 분석하기 전에 컨셉을 잡아보자.

아직 루팅 우회가 되지 않았다.

앱단에서는 해당 로직을 찾을 수 있었지만 후킹 한 결과 앱이 종료가 되는 현상이 있었다.

또한 log에는 Tampering detected! Terminating...라는 문구가 나왔었다.

따라서 첫 번째로는 native에서 루팅 우회를 하는 로직을 찾아봐야 한다.

두 번째로는 Secret String과 관련된 key를 찾는 것이다.

먼저 루팅 우회를 먼저 해야 다음 과정을 진행할 수 있기 때문에 루팅 탐지 로직을 찾아보자.

먼저 해당 문구를 IDA에서 찾아보자.

찾아본 결과 sub_30D0에서 Tampering detected! Terminating... 문구가 사용되고 있다.

그렇다면 바로 sub_30D0 함수를 살펴보자.

살펴보면 우리가 원했던 문구인 Tampering detected! Terminating... 를 찾아볼 수 있다.

또한 log에서 볼 수 있었던 TAG가 UnCrackable3, 내용은 Tampering detected! Terminating... 인

log_print 하는 부분도 찾았다.

따라서 여기에서 탐지한다는 의미이다.

천천히 코드를 살펴보자.

v0 = fopen("/proc/self/maps", "r");

먼저 fopen 함수를 사용해서 /proc/self/maps를 읽어온다.

fopen 함수는 원형은 다음과 같고 하는 역할은 파일을 읽어 FILE 구조체 포인터 넘겨주는 함수이다.

따라서 v0에는 /proc/self/maps 파일의 포인터가 담겨있다.

/proc/self/maps는 무슨 역할을 하는 파일일까?

먼저 /proc 디렉터리는 리눅스 계열에서 사용되는 디렉터리이고 실행되는 프로세스 정보를 담고 있다.

여기서 의미하는 self는 자신의 pid를 의미한다.

maps은 현재 실행되고 있는 프로세스의 주소 맵 또는 프로세스의 메모리 주소 공간을 보여주는 파일이다.

종합해보면 현재 실행하고 있는 프로세스(Level 3 앱)의 메모리 주소 맵을 담고 있는

파일이라고 생각하면 된다.

실제 테스트 단말기에서 maps을 확인해보면 다음과 같은 정보를 볼 수 있다.

jackpotlteks:/ # cat /proc/27212/maps
.....
12c00000-13cc0000 rw-p 00000000 00:01 33530                              /dev/ashmem/dalvik-main space (region space)_4735_4735 (deleted)
13cc0000-13ec0000 rw-p 010c0000 00:01 33530                              /dev/ashmem/dalvik-main space (region space)_4735_4735 (deleted)
13ec0000-14140000 ---p 012c0000 00:01 33530                              /dev/ashmem/dalvik-main space (region space)_4735_4735 (deleted)
14140000-2ac00000 rw-p 01540000 00:01 33530                              /dev/ashmem/dalvik-main space (region space)_4735_4735 (deleted)
6f13f000-6f41a000 rw-p 00000000 103:11 228934                            /data/dalvik-cache/arm64/system@framework@boot.art
6f41a000-6f430000 r--p 002db000 103:11 228934                            /data/dalvik-cache/arm64/system@framework@boot.art
6f430000-6f565000 rw-p 00000000 103:11 228943                            /data/dalvik-cache/arm64/system@framework@boot-core-libart.art
6f565000-6f577000 r--p 00135000 103:11 228943                            /data/dalvik-cache/arm64/system@framework@boot-core-libart.art
6f577000-6f5b7000 rw-p 00000000 103:11 228949                            /data/dalvik-cache/arm64/system@framework@boot-conscrypt.art
6f5b7000-6f5ba000 r--p 00040000 103:11 228949                            /data/dalvik-cache/arm64/system@framework@boot-conscrypt.art
......

그다음 sub_30D0 함수의 코드를 분석해보자.

  v0 = fopen("/proc/self/maps", "r"); // v0에 /proc/self/maps 파일 포인터 저장
  
  if ( v0 )
  {
   	......
  }
  else
  {
LABEL_7:
    v1 = "Error opening /proc/self/maps! Terminating...";
  }

만약 if문에서 v0이 null이면 즉, 파일을 열었을 때 열지 못했다면

LABEL 7:로 가면서 "Error opening /proc/self/maps! Terminating..."라는 문구와 종료가 된다.

하지만 v0에 파일 포인터가 잘 넘어왔으면 if문 내부로 들어가게 된다.

 ...
 
 if ( v0 ) 
  {
    do
    {
      while ( !fgets(&v3, 512LL, v0) ) // /proc/self/maps 512 길이만큼 가져와 v3에 담는다.
      {
        fclose(v0);
        usleep(500LL);
        v0 = fopen("/proc/self/maps", "r");
        if ( !v0 )
          goto LABEL_7;
      }
    }
    while ( !strstr(&v3, "frida") && !strstr(&v3, "xposed") );  
    v1 = "Tampering detected! Terminating...";
  }
  
  ...

if문 내부로 들어와서 처음 실행되는 곳이 바로 do while문이다.

while문 안에는 fgets라는 함수가 존재한다.

fgets 함수의 원형은 다음과 같다.

쉽게 설명해서 파일 스트림(stream)에서 해당 길이(num)만큼 문자열을 받는다(str).

정리하면 /proc/self/maps의 파일 정보를 길이만큼 읽어와서 str에 넣어주는 함수이다.

여기까지 정리하면 코드는 다음과 같다.

  v0 = fopen("/proc/self/maps", "r"); // v0에 /proc/self/maps 파일 포인터 저장
  
  if ( v0 ) 
  {
    do
    {
      while ( !fgets(&v3, 512LL, v0) ) // /proc/self/maps 512 길이만큼 가져와 v3에 담는다.
      {
        fclose(v0);
        usleep(500LL);
        v0 = fopen("/proc/self/maps", "r");
        if ( !v0 )
          goto LABEL_7;
      }
    }
    while ( !strstr(&v3, "frida") && !strstr(&v3, "xposed") ); 
    v1 = "Tampering detected! Terminating...";
  }
  else
  {
LABEL_7:
    v1 = "Error opening /proc/self/maps! Terminating...";
  }

이제 if문안의 2번째 while을 보자.

strstr 함수가 2개가 있고 첫 번째 인자에는 v3

즉, 위의 fgets 함수에서 /proc/self/maps의 파일 정보를 v3에 담았기 때문에 

strstr 함수로 파일 정보을 한 줄 한 줄 읽어 오면서 중 frida나 xposed가 들어가 있는지 확인하는 것이다.

그렇다면 /proc/self/maps에 frida나 xposed가 있는지 확인해보자.

.........
7d7844e000-7d7844f000 ---p 00000000 00:00 0
7d7844f000-7d78553000 rw-p 00000000 00:00 0
7d78553000-7d78bdc000 r--p 00000000 103:11 972986                        /data/local/tmp/re.frida.server/frida-agent-64.so
7d78bdc000-7d78bdd000 ---p 00000000 00:00 0
7d78bdd000-7d799da000 r-xp 00689000 103:11 972986                        /data/local/tmp/re.frida.server/frida-agent-64.so
7d799da000-7d79a74000 r--p 01485000 103:11 972986                        /data/local/tmp/re.frida.server/frida-agent-64.so
7d79a74000-7d79a8a000 rw-p 0151e000 103:11 972986                        /data/local/tmp/re.frida.server/frida-agent-64.so
7d79a8a000-7d79af5000 rw-p 00000000 00:00 0                              [anon:.bss]
7d79b23000-7d79b24000 ---p 00000000 00:00 0                              [anon:thread stack guard]
......

이렇게 maps 파일에 /data/local/tmp/re.frida.server/frida-agent-64.so 가 존재한다.

따라서 Tampering detected! Terminating... 문구가 log에 남은 것이다.

이제 후킹 포인트를 잡았다.

바로 strstr 함수이다.

첫 번째 인자를 바꾸거나 두 번째 인자인 frida를 다른 문자열로 바꾸면 되는 것이다.

밑의 그림은 strstr 함수를 후킹 하여 첫 번째 인자를 출력해보았다.

정상적으로 후킹이 되고 frida가 출력된 것으로 보아 frida가 포함된 문자열을 다른 문자열로 바꿔보자.

후킹 한 결과 원래 봤던 로그도 없으며 정상적으로 앱이 실행된다.

이렇게 루팅 또는 디버깅 우회가 끝이 났다.

다시 돌아와서 이제 Level 3에서 원하는 Secret String을 찾아야 한다.

위의 bar 메소드가 native 메소드이면 Level 2에서처럼 so 파일을 분석해보아야 한다.

so 파일을 IDA로 열어보자.

Level 2에서 분석한 것과 마찬가지로 CodeCheck_bar 함수를 클릭해서 분석을 해보자.

그 이유는 Level 2에 설명되어있다.

retrun 하는 result 변수가 처음에는 0으로 설정되어있다.

이렇게 0으로 설정되어있으면 Secret String을 맞췄다는 문구를 볼 수가 없다.

따라서 result 값이 1이 되도록 만들어줘야 한다.

물론 Level 2에서도 bar 함수의 return 값을 1로 설정해주면 되지만 이는 출제의도가 아니다.

따라서 코드를 분석해서 Secret String을 알아내야 한다.

Level 2를 제대로 이해를 했다면 Level 2에서와 마찬가지로 해당 코드를 보고 생각나는 것이 있을 것이다.

총길이가 24인 것을 생각할 수 있다.

그다음은 while 문을 살펴보자.

while 문에서 == 연산이 보인다.

== 기준으로 왼쪽 값과 오른쪽 값이 같냐라는 것이다.

같지 않은 경우 while문이 끝이 나며 result는 그대로 0으로 return 되기 때문에 문제를 해결하지 못한다.

따라서 while문이 이 문제의 핵심이다.

먼저 왼쪽을 보자.

먼저 v7이 뭐고 v8이 먼지 알아야 한다.

v8은 코드에서 그냥 0이다.

v7을 알아야 하는데 v7은 IDA에서 다음과 같이 정의되어있다.

따라서 v5+1472 이가 어떤 함수인지 어떤 역할을 하는지 알아봐야 한다.

이를 frida를 활용해서 찍어보면 GetByteArrayElements라는 함수가 나온다.

GetByteArrayElements 함수의 정의는 다음과 같다.

GetByteArrayElements 함수는 java의 byte 배열을 JNI로 전달하는 함수이다.

즉 앱단에서 어떤 값을 so 파일로 전달하는 함수이다.

어떤 값을 전달할까??? 

GetByteArrayElements가 실행 후 return 값이 담긴 v7를 출력해보자.

이렇게 앱단에서 입력한 "test123456781264864984" 값이

GetByteArrayElements 함수가 실행된 후 v7에 저장이 된다.

따라서 while 문의 왼쪽은 사용자가 입력한 Secret String이라는 의미이다.

그렇다면 이제 ==을 기준으로 오른쪽의 값이 바로 문제에서 원하는 Secret String이라는 말이다.

따라서 우리는 알아야 할 것이 3가지이다.

&qword_15038 + v8, &v9, v8이다.

먼저 &qword_15038을 알아보자.

먼저 &연산은 주소 값을 가져오는 의미이다.

qword_15038에 어떠한 값이 저장되어있는데 그 메모리 주소값을 가져오는 의미이다.

그 후 v8을 더해준다.

처음에 v8은 0이다.

하지만 바로 밑에서 ++연산을 통해 v8을 1씩 증가시켜주고 있다.

이는 어떠한 문자열이나 값이 배열에 저장되어있는데 index를 한 개씩 증가시킨다는 의미이다.

즉, 24자리인 문자열이면 한 문자씩 가져온다는 의미이다.

그렇다면 qword_15038에 어떤 값이 들어있는지 살펴보자.

qword_15038은 Java_sg_vantagepoint_uncrackable3_MainActivity_init 함수에서 사용되었다.

따라서 Java_sg_vantagepoint_uncrackable3_MainActivity_init 함수를 분석해보자.

Java_sg_vantagepoint_uncrackable3_MainActivity_init에서 strncpy 함수에서

qword_15038으로 어떤 값을 copy하는데 무슨 값을? v5에 저장되어있는어떤 값을

얼만큼? 24자리 만큼 copy 하는 것이 보인다.

이를 frida를 이용해서 strncpy 함수의 두 번째 인자인 v5을 출력해보자.

출력해보니 "pizzapizzapizzapizzapizz683"라는 문자열이 나왔다.

24자리를 qword_15038에 copy하니 최종적으로 qword_15038에는

"pizzapizzapizzapizzapizz"가 저장된다.

이는 어디서 나온 것일까?라고 생각을 해보자.

qword_15038는 Java_sg_vantagepoint_uncrackable3_MainActivity_init 함수에서 초기화되었다.

따라서 함수명에서 추측할 수 있듯이 다시 입단으로 돌아가 MainActivity에 선언되어있는

native init 메서드가 있는지 확인해보자.

이렇게 pizzapizzapizzapizzapizz가 init 메소드의 인자로 넘겨주었다.

따라서 현재까지 다음과 같은 값을 도출할 수 있다.

v8은 앞에서도 설명했듯이 0~24까지 증가한다.

따라서 pizzapizzapizzapizzapizz라는 문자열에서

v8가 0일 때 p,

v8가 1일 때 i... v8이 24일 때 z

이렇게 한 문자씩 처리하겠다는 의미이다.

v8가 0일 때를 보자면 문자 'p'와 xor연산을 한다.

^가 xor을 의미하는데 p와 &v9+v8 값을 xor 한다는 의미이다.

&v9+v8에서도 앞서 설명한 것처럼 한 문자씩 가져와서 p와 xor 하겠다는 것이다.

뒤에서 그림으로 설명되어있다.

그렇다면 v9에는 어떤 값이 들어있는지 확인해보자.

v9는 sub_10E0 함수에서 처리된다.

sub_10E0 함수에서 v9의 인자 값을 넘겨주고 sub_10E0 함수가 끝나면 v9에는

어떤 값이 저장되어있을 것이다.

sub_10E0 함수가 끝날 때 v9에는 어떤값이 들어있는지 확인해보자.

sub_10E0 함수가 끝날때 v9에는 이렇게 값이 들어가 있다.

여기까지 정리하자면 다음과 같이 도출할 수 있다.

이렇게 xor을 하는 코드를 작성해서 실행해보면 우리가 원하던 Secret String이 나온다.

이를 Level 3에 입력해보자.

정답이다.

이번 문제는 조금 설명이 많이길었다.

최대한 자세히 step by step으로 설명하려고 노력했다.

후킹 코드나 프리다 코드는 일부러 올리지 않았다.

적어도 후킹 코드나 프리다 코드는 직접 작성해보길 바란다.

검색하면 많이 나온다. 

이번에는 Level 2를 풀어보자.

Level 2 앱을 다운로드하여 테스트 단말기에 설치한 후 실행한 모습이다.

역시나 루팅이 탐지되었다는 문구를 볼 수 있다.

이번 Level 2문제도 루팅을 우회해야만 진행할 수 있다.

따라서 static 분석을 하기위해  Level 2 apk 파일을 디컴파일 툴로 소스코드를 살펴 보자.

Level 2는 처음 시작하는 activity는 sg.vantagepoint.uncrackable2.MainActivity이다.

따라서 가장 먼저 sg.vantagepoint.uncrackable2.MainActivity인 부분을 살펴보자.

살펴본 결과 Level 1과 같이 b.a(), b.b(), b.c() 메소드에서 루팅 탐지를 하고 있는 것 같다는 느낌이 든다.

Level 1을 제대로 이해했으면 이런 느낌이 와야 한다. 

b.a() 메소드를 살펴보자.

Level 1과 똑같다.

하지만 이번에는 Level 1에서는 다른 방법으로 우회를 해보았다.

/sbin/su를 -> Level 2나 다른 문자열로 바꾼다면 해당 바이너리가 없기 때문에

return 값이 0이 될 것이다.

Level 1에서는 설명하지 않은

Build.TAGS.contains("test-keys")과 "/system/app/Superuser.apk ..."에 대해서는

조금만 검색하면 어떤 방식으로 루팅을 체크하는구나 감이 올 것이다.

검색하고 찾아보는 것도 실력을 키우는 것 중 하나이다.

따라서 Level 1에 대해서 100% 이해하고 넘어왔다면 루팅 우회는 금방 할 것이다.

같은 방법으로 우회해도 좋고 위의 방법대로 우회하든 정답은 없다.

그다음은 Level 1처럼 Secret String을 맞춰야 한다.

해당 메소드를 보자.

this.m.a(v4)이다.

v4는 우리가 입력한 string일 것이고 정확하게 비교하는 로직은 this.m.a에 있을 것이다.

this.m.a을 살펴보자.

this.m.a을 살펴보면 this.bar 메소드로 사용자가 입력한 String 값을

byte형식으로 변환해서 bar 메소드로 넘겨준다.

bar 함수는 바로 밑에 정의가 되어있으며 내용은 아무것도 없다.

bar 메소드의 modifier을 살펴보면 native라는 것이 보인다.

native은 java에서 즉 앱단에서 처리하는 것이 아니라

c/c++을 이용해서 so 파일 안에서 처리하겠다는 의미이다.

자세한 내용은 여기(클릭)를 참조하자

따라서 이번 문제는 자바 앱단이 아닌 native 단 까지 분석을 진행해야 한다는 의미이다.

안드로이드에서 NDK를 사용하기 위해서는 so 파일을 load 시켜주는 과정이 꼭 필요하다.

load 시켜주는 과정이 위에서 빨간 박스 안에 System.loadLibrary("foo")이다.

즉 libfoo.so 파일에서 this.bar라는 메소드가 정의되어 있으며

해당 메소드에서 이리저리 처리되고 반환 값만 자바단으로 retrun 해주는 형식이다.

사실문제의 의도와는 다르게 해당 this.bar 메소드를 후킹 해서 true로 반환해준다면

굳이 Secret String을 구하지 않고 밑의 그림처럼 해당 문제를 풀 수 있다.

하지만 이는 Level 2의 문제 출제 의도랑은 전혀 관련이 없다.

따라서 so 파일을 한번 분석을 해보자.

so 파일은 대부분 lib 파일 안에 존재한다.

하지만 폴더가 4개나 있다.

이는 사용자가 어떤 OS bit를 가지고 있지 모르니 개발자가 모든 bit에서 실행할 수 있도록 한 것이다.

자신의 테스트 단말기의 bit는 다음과 같이 확인할 수 있다.

따라서 arm64-v8a 폴더로 가보면 libfoo.so 파일이 하나 있다.

이걸 분석을 해야 한다.

so 파일은 IDA로 분석을 진행한다.

IDA로 보면 Java_sg_vantagepoint_uncrackable2_MainActivity_init와

Java_sg_vantagepoint_uncrackable2_CodeCheck_bar를 볼 수 있다.

이 둘 중 밑의 Java_sg_vantagepoint_uncrackable2_CodeCheck_bar 함수를 자세히 살펴봐야 한다.

그 이유는 Java_sg_vantagepoint_uncrackable2_CodeCheck_bar명에서 알 수 있듯이

bar가 들어가 있기 때문이다.

그렇다면 Java_sg_vantagepoint_uncrackable2_CodeCheck_bar 함수의 로직을 살펴보기 전에

컨셉을 잡아야 한다.

자세하게도 필요 없다.

크게 잡아도 된다.

나는 이번 문제를 풀 때 크게 2가지를 생각하고 분석에 들어갔다.

어떤 값을 return 하면  Secret String을 우회할 수 있을까?

또는 Java_sg_vantagepoint_uncrackable2_CodeCheck_bar에서 사용자가 입력한 Secret String 값과

Level 2에서 원하는 Secret String을 비교하는 로직이 있지 않을까?라는 큰 목표나 컨셉을 잡았고

이를 토대로 분석을 해보자.

코드를 보고 return result; 위주로 먼저 분석해보았다.

result는 처음에 0이라는 값을 가진다.

따라서 return이 0이면 우리가 원하는 Secret String을 찾았다는 메시지를 볼 수가 없다.

따라서 if문 안에 있는 result가 1이되게게끔 만들어주어야 한다.

물론 여기서 Java_sg_vantagepoint_uncrackable2_CodeCheck_bar 메소드의 return 값을

0이 아닌 1로 바꾸어도 문제는 풀 수 있다.

하지만 이는 출제자의 의도가 아니다.

따라서 if문 안에 있는 result에 (*(_QWORD *)v4 + 1368LL)라는 함수가

어떤 함수인지 어떤 역할을 하는지 알아봐야 한다.

이는 프리다로 후킹을 해서 확인해볼 수 있다.

확인해보니 ZN3art3JNI14GetArrayLengthEP7_JNIEnvP7_jarray라고 나온다.

여기서 유추해보자. ArrayLegnth이다.

(*(_QWORD *)v4 + 1368LL)함수는 뭔가 길이를 반환하는 함수인 거 같다. 

그리고 == 23이 붙어있는걸 보아하니

총길이가 23이 되어야 한다고 생각할 수 있다.

이 생각이 맞는지 검증하기 위해 strncmp의 함수를 살펴보자.

strncmp의 함수의 정의는 다음과 같다.

strncmp의 인자의 3번째 값으로 길이를 의미하는 23이 들어간 것으로 보아.

strncmp로 문제에서 원하는 String Secret 값과 내가 입력한 값이 23자리인지 확인한 다음

같다면 result에 1이 반환할 것이라고 예상할 수 있다.

따라서 strncmp를 후킹 하여 첫 번째 인자인 str1 인자를 찍어보면 내가 입력한 String과

두 번째 인자 str2를 후킹 하면 문제에서 원하는 String이 들어가 있는 문자열이 나올 것이다.

이렇게 하면 Java_sg_vantagepoint_uncrackable2_CodeCheck_bar 함수를 분석하기 전에 생각했던

2가지의 컨셉을 만족할 수 있다.

후킹 코드를 작성해서 앱에서 12345678911234567892123을 입력한다.

후킹 코드가 제대로 동작하면

strncmp의 첫 번째 인자에 입력한 12345678911234567892123 값을 볼 수 있다.

그렇다면 문제에서 원하는 Secret String은 뭘까?

strncmp의 2번째 인자를 확인해보자.

이렇게 우리가 원하는 Secret String을 얻을 수 있다.

String을 문제에 넣어서 입력해보자.

이렇게 Level 2도 해결했다.

아마 많은 사람들의 풀이 방법을 보고 들어왔겠지만

대부분 루팅 우회를 할 때 exit를 후킹을 하는 방법이 많았다.

뭐 사실 틀린 말도 아니지만 실제 real world에서는

exit 함수로 하나로 루팅을 우회할 수 있는 경우는 거의 없다.

활용될 수는 있겠지만 절대 없다.

앱을 개발한 회사마다 또는 상황에 따라 보안 설루션들을 우회를 해야 하기 때문에

처음 연습할 때 습관을 잘 들이도록 하자.

시작하기 전에 사실 지금 나는 UnCrackable을 풀 이유는 없다.

대부분 UnCrackable은 모바일 취약점을 진단하는 입문자용으로 많이 쓰인다.

하지만 나도 처음에 모바일 취약점을 진단할 때를 생각해보면 조금 진입장벽이 높았다고 생각했다.

나처럼 처음에 어떻게 진단을 해야할까? 라는 사람에게 조금 도움이 되었으면 하는 바람이다.

또한 나중에 스스로 해결하고 생각할 수 있도록 풀이과정을 전부 다 포스팅하지 않을 것이다.

다만 해당 문제의 출제 원리를 자세히 설명할 것이다.

아래의 내용을 제대로 이해했다면 나머지도 금방 혼자서 해결할 수 있을 것이다.

그럼 시작!!!

UnCrackable에 대해서 짧게 설명하자면

OWASP에서 만든 모바일 테스트용 앱으로써, AoS와 iOS가 있다.

인터넷에 조금만 검색해보면 Level 1 apk 파일을 구할 수 있다.

Level 1의 apk 파일을 구했다면 테스트 단말기에 설치해준다.

앱을 단말기에 설치하면 다음과 같은 앱 아이콘이 보이며 실행하면 다음과 같은 문구가 뜬다.

Root detected!

모의해킹 직무를 하다 보면 모바일 진단을 하는 경우가 많다.

그리고 위와 같은 루팅이 탐지되었다는 문구를 수도 없이 많이 봤을 것이다.

따라서 이 앱을 실행하기 위해서는 Level 1에서 루팅 탐지 로직을 우회하여야 한다.

이것이 모바일 진단에서 가장 중요한 작업이다.

요즘 대부분 앱에서는 이러한 루팅 탐지와 디버깅 탐지 등 수많은 탐지 로직이 실행되고 있으며 

진단을 하기 위해서는 가장 첫 번째인 루팅 탐지를 우회하여야 한다.

(참고로 이 정도 난이도는 상용 앱에서는 거의 없다고 보면 된다.)

그럼 해당 문구가 어떻게 어떤 로직으로 인해 루팅이 탐지되었는지 살펴보자.

Level 1은 가장 처음 시작하는 부분이 sg.vantagepoint.uncrackable1.MainActivity이다.

그렇다면 sg.vantagepoint.uncrackable1.MainActivity을 살펴보기 위해

앱을 디컴파일해서 static 분석을 진행해보자.

앞에서 봤던 문구를 소스코드단에서 볼 수 있다.

먼저 onCreate 메소드를 보면 if문 안에

 if((c.a()) || (c.b()) || (c.c()))가 존재한다.

(c.a()) || (c.b()) || (c.c())) 이 3개의 메소드 중 하나만 true여도 this.a라는 메소드가 실행되어

"Root detected!"라는 문구를 볼 수 있을 것이다.

그럼 (c.a()) || (c.b()) || (c.c()))라는 메소드를 모두 false로 만들어 줘야 한다.

c.a() 메소드를 살펴보자.

먼저 c.a 메소드이다.

java.lang.System.getenv 메소드는 현재 시스템의 환경변수 값을 얻어오는 메소드이다.

환경변수를 얻어온 값에서 :로 split 한 값을 for문을 loop 한다.

loop 하는 과정에서 File.exists() 메소드를 통해

루트 권한을 얻는 su 명령어(바이너리)가 존재하면 return 1을 하는 로직이다.

frida로 해당 System.getenv 메소드와 c.a()의 return 값을 찍어보자.

먼저 System.getenv 메소드의 return 값은 다음과 같다.

return 값을 :로 split 했기 때문에 String v0에는 다음과 같이 들어갈 것이다.

for문 로직을 살펴보자.

v0[0]에는 "/sbin"이라는 문자열이 들어가 있다.

그렇다면 for문에서 다음과 같이 실행될 것이다.

테스트용 단말기에 /sbin 디렉토리에 su라는 바이너리가 있는지 확인해보자.

이렇게 su라는 바이너리가 존재한다.

따라서 c.a()는 return 1이 되면서 루팅이 탐지되는 것이다.

이처럼 c.a()와 c.b(), c.c()를 우회해주면 루팅 우회는 끝이 난다.

밑의 사진은 c.a()와 c.b(), c.c()를 후킹 하여 루팅 체크 로직을 우회한 모습이다.

이제 문제에서 원하는 Secret String을 찾아야 한다.

사실 위의 루팅 우회와 Secret String을 우회하는 방법은 한 가지가 있는 것이 아니라

여러 가지가 있다.

Level 1 문제에서 후킹 포인트가 너무 많다.

하지만 Level 1에서 만든 문제의 출제 의도에 맞게 풀어보는 것을 추천한다.

다시 돌아와서 핵심은 빨간 박스다.

a.a(v4)라는 값이 true이면 된다는 의미이다.

a.a 메소드를 살펴보자.

마찬가지로 핵심은 빨간색 박스이다.

사진이 조금 잘리긴 했지만 우리가 Enter the Secret String에 입력하는 값이 arg5에 저장된다.

그 후 입력했던 arg5값과 아래의 sg.vantagepoint.a.a.a 메소드에서 return 된 값이 같다면

그 값이 Secret key가 된다.

따라서 sg.vantagepoint.a.a.a에서 return 되는 값을 알아내고 입력한다면

Level 1을 clear 할 수 있다.

sg.vantagepoint.a.a.a 메소드를 살펴보자.

sg.vantagepoint.a.a.a 메소드를 보면 AES/ECB/PKCS7Padding라는 문구가 보인다.

이것은 AES 암호의 한 종류이다.

즉 AES 암호와 관련이 있다는 말이다.

그렇다면 AES 암호를 하기 위해서는 key가 있어야 한다. (대칭키 암호이기 때문)

또한 암호화 과정이면 평문이 있어야 하고

복호화 과정이면 암호화된 암호문이 있어야 할 것이다.

이것은 v2.init(2, v0)을 보면 알 수 있다.

init에 첫 번째 인자가 1이면 암호화 과정이고

2이면 복호화 과정이다.

init의 두 번째 인자는 key이다.

key에 v0의 변수가 들어가 있으며

v0은 SecretKeySpec v0 = new SecretKeySpec(arg2, "AES/ECB/PKCS7Padding")을 나타낸다.

v0은 SecretKeySpec(arg2, "AES/ECB/PKCS7Padding")의 리턴 값으로 arg2값이 필요하다.

arg2값은 앞의 메소드에서 본 byte값을 의미한다.

이렇게 key 셋팅과 AES 셋팅이 끝나면 dofinal 메소드로 복호화를 진행한다.

dofinal에는 arg3값이 인자로 들어가 있는데

arg3은 앞의 메소드에서 Base64 decode 한 값이 들어간다.

이것이 바로 암호문이며 이것을 복호화를 한다면 문제에서 원하는

즉 Level 1의 출제의도인 Secret key를 얻을 수 있는 것이다.

위의 과정을 코드를 작성해도 좋고 후킹을 해도 좋고 방법은 여러 가지이다.

밑의 사진은 위의 과정을 코드로 작성하여 Secret key를 구한 모습이다.

NDK란???

Native Development Kit의 약자로 안드로이드에서 C/C++ 코드를 사용해야 할 때가 있다.

안드로이드에서 C나 C++를 사용하기 위해서는 JNI(Jave Native Interface)로 사용 및 개발할 수 있다.

즉, NDK는 안드로이드 환경에서 JNI를 사용하기 위해 구성된 키트라고 생각하면 된다.

요즘은 C언어를 사용하여 개발하는 일이 많지는 않지만

C언어로 만들어진 프로그램과 라이브러리는 여전히 서비스를 제공하는 데 있어서

중요한 위치를 차지하고 있다.

특히 안드로이드는 리눅스 기반이며 이는 대부분 C로 제작되어있다.

C로 제작되어 있기 때문에 C로 작성된 라이브러리를 사용하는 것이 당연한 말이다.

또한 가장 큰 장점은 안드로이드의 앱을 개발할 때 Java로 만든 애플리케이션에서

일정 부분을 C/C++로 미리 작성된 라이브리를 재 사용이 가능해 개발 시간이 단축되는 장점이 있다.

주로 안드로이드에서 가장 많이 사용되는 파일이 libc.so 파일이다.

여기서 .so 파일은 shared object 또는 shared library라고 불린다.

shared object 또는 shared library는 실행 파일과는 분리되어 있지만

Linker라는 것으로 인해 실행 시 실행파일과 함께 메모리에 적재되어

프로그램이 정상적으로 실행될 수 있게 해 준다.

즉, .so 파일을 쉽게 정의하자면

이미 특정한 기능이나 함수들이 미리 정의 및 구현되어 있는 파일을 의미한다.

쉽게 설명하자면 위의 간단한 C 코드를 보자.

그냥 printf 함수로 "Hello World"를 출력하는 C 코드이다.

저기서 printf 함수는 위의 코드에서 작성한 적도 없으며 보이지도 않는다.

이는 "stdio.h" 헤더 파일에 printf가 미리 정의가 되어 stdio.h 헤더를 선언해주고 그냥 사용한 것이다.

이는 안드로이드 앱에서도 마찬가지이다.