[논문]iOS 어플리케이션의 잠재적 취약점 분석을 위한 LLDB 모듈 개발

김민정; 류재철

doi:10.7472/jksii.2019.20.4.13

iOS 어플리케이션의 잠재적 취약점 분석을 위한 LLDB 모듈 개발
Development of LLDB module for potential vulnerability analysis in iOS Application 원문보기

Journal of Internet Computing and Services = 인터넷정보학회논문지, v.20 no.4, 2019년, pp.13 - 19

김민정 (Dept. of Computer Science & Engineering, Chungnam National Univ.) , 류재철 (Dept. of Computer Science & Engineering, Chungnam National Univ.)

초록
AI-Helper

애플의 어플리케이션 마켓인 App Store에 어플리케이션을 등록하기 위해서는 애플 검증 센터를 통해 엄격한 검증 과정을 통과해야 한다. 그렇기 때문에 스파이웨어 어플리케이션의 유입이 까다롭다. 하지만 정상적인 어플리케이션의 취약점을 통해서도 악성코드가 실행될 수 있다. 이러한 공격을 방지하기 위해서는 어플리케이션에서 발생할 수 있는 잠재적 취약점을 패치하기 위해 조기에 발견하고 분석하는 연구가 필요하다. 잠재적 취약점을 증명하기 위해서는 취약점의 근본 원인을 파악하고 악용 가능성을 분석해야 한다. iOS 어플리케이션을 분석하는 도구로는 개발 도구인 Xcode에 내장되어 있는 LLDB라는 이름의 디버거를 활용할 수 있다. LLDB에는 다양한 기능이 존재하며 이 기능들은 API로도 제공되어 Python에서도 사용이 가능하다. 따라서 본 논문에서 LLDB API를 활용하여 iOS 어플리케이션의 잠재적 취약점을 효율적으로 분석하는 방법에 대해 제안한다.

Abstract ▼ AI-Helper

In order to register an application with Apple's App Store, it must pass a rigorous verification process through the Apple verification center. That's why spyware applications are difficult to get into the App Store. However, malicious code can also be executed through normal application vulnerabilities. To prevent such attacks, research is needed to detect and analyze early to patch potential vulnerabilities in applications. To prove a potential vulnerability, it is necessary to identify the root cause of the vulnerability and analyze the exploitability. A tool for analyzing iOS applications is the debugger named LLDB, which is built into Xcode, the development tool. There are various functions in the LLDB, and these functions are also available as APIs and are also available in Python. Therefore, in this paper, we propose a method to efficiently analyze potential vulnerabilities of iOS application by using LLDB API.

주제어

표/그림 (6)

그림 (그림 1) 레지스터와 스택 분석 (Figure 1) analysis register and stack
그림 (그림 2) 함수 흐름 분석 (Figure 2) Function flow analysis
그림 (그림 3) 악용 가능성이 있는 흐름 분석 (Figure 3) Exeploitable flow analysis
그림 (그림 4) 레지스터의 주소 값 추적 (Figure 4) Track address values in registers
그림 (그림 5) 스택의 주소 값 추적 (Figure 5) Track address values in the stack
그림 (그림 6) 가젯 탐색 (Figure 6) Find Gadget

AI 본문요약
AI-Helper

* AI 자동 식별 결과로 적합하지 않은 문장이 있을 수 있으니, 이용에 유의하시기 바랍니다.

문제 정의

Disassemble 등을 사용하여 분석할 대상 프레임을 가져오고 함수를 디스어셈블하였다. 그런 뒤에, 디스어셈블 결과 중 분기문과 비교문을 파싱할 수 있도록 구현하였다. 이를 통해 실행 흐름이 바뀔 수 있는 지점을 한눈에 알 수 있고 해당 지점에 브레이크 포인트를 설정하여 구체적인 분석을 진행할 수 있게 된다.
따라서 본 논문은 iOS 어플리케이션의 잠재적 취약점 분석을 수월하게 진행하기 위한 LLDB API 활용 방법에 대해 제안하고 관련 모듈을 개발하였다.
이처럼 스파이웨어 분석에 대한 연구는 많이 이루어지고 있지만 정상적인 어플리케이션에 대한 비정상적인 입력 값으로 인해 발생하는 취약점 분석에 대한 연구는 많지 않다. 따라서 본 연구에서는 정상적인 iOS 어플리케이션에서의 취약점 분석에 대해 다룬다.
본 연구에서는 LLDB만 사용하고도 분석에 도움이 되는 정보를 얻을 수 있도록 LLDB API를 사용하여 취약점 분석 모듈을 개발한다.
본 연구에서는 잠재적 취약점을 효율적으로 분석하기 위한 LLDB API 사용에 대해 제안하였다. 함수 흐름에 대한 분석과 데이터 추적, 가젯 탐색 등의 기능을 제공한다.
스택을 제어할 수 있는 경우 보다는 레지스터를 제어할 수 있는 경우가 더 자주 발생하기 때문에 본 연구에서는 ROP 가젯 보다는 JOP 가젯을 탐색하는 것에 집중하였다. 본 연구에서 개발한 모듈에서는 현재 프로세스와 관련 모듈을 모두 탐색하며 유용한 JOP 가젯들을 찾아주는 기능을 갖는다.

제안 방법

frame.Disassemble 등을 사용하여 분석할 대상 프레임을 가져오고 함수를 디스어셈블하였다. 그런 뒤에, 디스어셈블 결과 중 분기문과 비교문을 파싱할 수 있도록 구현하였다.
GetRegionBase, lldb.GetRegionEnd 등을 사용하여 현재 프레임에서 로드한 메모리 정보들을 모두읽어 들임으로써 구현하였다. 그 후, 정규식을 활용하여 유용한 가젯의 패턴을 검색하고 그 결과를 파일로 저장하도록 하였다.
해당 샘플은 iOS 어플리케이션 중 mobile_safari에서 발생한 크래시이다. iPhone 디바이스와 맥을 연결한 후 Xcode를 이용하여 분석을 진행하였다. 먼저, 함수 분석 기능을 사용하면 그림 2와 같이 프로그램의 흐름이 바뀔 수 있는 지점을 한 눈에 파악할 수 있었다.
GetRegionEnd 등을 사용하여 현재 프레임에서 로드한 메모리 정보들을 모두읽어 들임으로써 구현하였다. 그 후, 정규식을 활용하여 유용한 가젯의 패턴을 검색하고 그 결과를 파일로 저장하도록 하였다.
GetMemory RegionInfo를 통해 해당 주소 값이 가리키는 영역에 대한 정보를 ‘heap’, ‘stack’ 또는 라이브러리 이름으로 표시하였다. 또한 주소 값에 대한 추적을 계속하기 위해 ReadMemory를 사용하여 해당 주소를 읽고 값을 한 번 더 가져오도록 하였다. 이렇게 제공된 정보를 이용하면 분석대상이 되는 데이터의 참조 흐름을 쉽게 파악할 수 있다.
마지막으로, 공격 기법을 사용하기 위해 프로그램 내에 존재하는 가젯을 탐색하였다. 그림 6과 같이 탐색된 가젯들은 파일 형태로 저장되기 때문에 해당 파일에서 원하는 가젯을 검색해서 사용할 수 있다.
본 연구에서 개발한 모듈에서는 각 레지스터의 정보와 함께 어떤 레지스터가 현재 프레임에서 사용중인지 표시해주어 분석 범위를 좁힐 수 있도록 하였다. 뿐만 아니라 그림 1과 같이 레지스터가 가리키는 값이 주소 값일 경우에는 해당 주소 값을 다시 추적하여 그 주소 값에 저장된 값을 보여준다.
본 연구에서 개발한 모듈을 활용하여 잠재적 취약점 샘플을 분석하였다. 해당 샘플은 iOS 어플리케이션 중 mobile_safari에서 발생한 크래시이다.
가젯 탐색 기능에서는 공격에 사용되는 유용한 가젯을 한번에 탐색하여 저장함으로 별도의 분석 시간이 필요하지 않다. 위의 세 가지 기능을 사용함으로써 잠재적 취약점 분석에 필요한 시간을 단축 시킬 수 있었다. 또한 이러한 방법은 잠재적 취약점 분석뿐만 아니라 악성코드 분석, CVE 분석 등에도 활용할 수 있다.
후킹을 이용한 분석 방법은 커널 API를 후킹하여 동적 분석을 수행하는 방법이다. 이러한 방법들을 통해 호출되는 API를 모니터링할 수 있고, 모니터링 결과를 기반으로 정적 분석과 동적 분석을 수행하게 된다. 이처럼 스파이웨어 분석에 대한 연구는 많이 이루어지고 있지만 정상적인 어플리케이션에 대한 비정상적인 입력 값으로 인해 발생하는 취약점 분석에 대한 연구는 많지 않다.
두 번째 문제점은 크래시 원인에 영향을 준 데이터를 파악하기 어렵다는 점이다. 이에 대해서는 레지스터와 스택의 데이터를 추적하여 데이터 관계를 확인하는 기능을 구현했다. 세 번째 문제는 공격 가능성 검증 단계에서 실행 흐름 조작에 사용할 유용한 가젯 수집이 필요하다는 점이다.
세 번째 문제는 공격 가능성 검증 단계에서 실행 흐름 조작에 사용할 유용한 가젯 수집이 필요하다는 점이다. 이에 대해서는 로드된 모듈 내에서 유용한 가젯을 자동으로 탐색하여 파일로 저장하도록 기능을 구현했다.
첫 번째 문제점은 수백줄이 넘는 함수 내용 분석의 어려움이다. 이에 대해서는 실행 흐름 변경과 관련된 명령어를 눈에 띄게 표시해줌으로써 분석 포인트를 쉽게 찾아갈 수 있도록 구현했다. 두 번째 문제점은 크래시 원인에 영향을 준 데이터를 파악하기 어렵다는 점이다.
잠재적 취약점을 분석하는데 있어서 크게 세 가지 문제점을 파악하고 그에 따른 방안을 모듈의 기능으로 구현했다. 첫 번째 문제점은 수백줄이 넘는 함수 내용 분석의 어려움이다.

성능/효과

frame.Disassemble을 사용하여 레지스터 값과 함수의 디스 어셈블 결과를 가져왔고, 디스어셈블 결과에 나타난 레지스터 이름을 파싱하여 현재 프레임에서 사용중인 레지스터 정보를 파악할 수 있었다. 레지스터의 값이 주소 값일 경우에는 lldb.
본 연구에서 개발한 모듈에서는 실행 흐름에 영향을 미칠 수 있는 분기문과 비교문의 위치를 알아보기 쉽게 표시하는 기능을 갖는다. 이 기능을 구현하기 위해 LLDB API 중 lldb.
스택을 제어할 수 있는 경우 보다는 레지스터를 제어할 수 있는 경우가 더 자주 발생하기 때문에 본 연구에서는 ROP 가젯 보다는 JOP 가젯을 탐색하는 것에 집중하였다. 본 연구에서 개발한 모듈에서는 현재 프로세스와 관련 모듈을 모두 탐색하며 유용한 JOP 가젯들을 찾아주는 기능을 갖는다. 이 기능은 LLDB API 중 lldb.

후속연구

향후 연구에서는 함수의 호출 흐름인 콜 스택과 관련된 분석 방법을 자동화하고자 한다. 콜 스택에서는 함수의 호출 흐름에 대한 정보를 제공하기 때문에 이를 자동화하면 짧은 시간에 많은 정보를 획득할 수 있다.

질의응답

핵심어	질문	논문에서 추출한 답변
	퍼징이란?	그중에서도 대표적인 방법이퍼징(fuzzing)이다. 퍼징은 어플리케이션의 입력 값을 무작위로 변형하여 입력해봄으로써 비정상적인 동작을 유도하고 충돌을 탐지하는 기법이다. 입력 값을 랜덤으로 생성하고 결과를 확인해보는 과정을 자동화함으로써 단시간에 많은 크래시 수집이 가능하다.
	잠재적 취약점의 원인을 파악한 후에 악용 가능성을 검증하기 위해 필요한 것은?	잠재적 취약점의 원인을 파악한 후에 악용 가능성을 검증하기 위해서는 프로그램의 실행 흐름을 바꿔보는 작업이 필요하다. 이때 주로 사용되는 공격 기법으로는 메모리상에 존재하는 실행 가능한 코드를 재사용하는 코드 재사용 공격(Code Reuse Attack)이 있다.
	퍼징의 장점은?	퍼징은 어플리케이션의 입력 값을 무작위로 변형하여 입력해봄으로써 비정상적인 동작을 유도하고 충돌을 탐지하는 기법이다. 입력 값을 랜덤으로 생성하고 결과를 확인해보는 과정을 자동화함으로써 단시간에 많은 크래시 수집이 가능하다. 모바일 어플리케이션뿐만 아니라 라우터 프로토콜 등 다양한 소프트웨어의 취약점을 찾는 방법으로 사용되고 있다[1][2][8].

저자의 다른 논문 :

LOADING...

표제어: PCR

동의어: Packet Collision Rate

용어 설명 출처 목록 (6)

용어 설명: PCR은 세균 특이성이 있는 primer를 이용하여 적은 수의 세균이 있을지라도 쉽게 검출할 수 있는 유용한 방법이며, 이를 이용하여 구강 내 치면세균막이나 타액에서 직접 세균을 검출할 수 있게 되었다[8].

내보내기 구분	파일저장 인쇄 메일전송
구성항목	기본정보 상세정보 관리번호, 논문명, 저널/프로시딩명, 저자 , 발행년, 권, 호, 시작페이지, 끝페이지, 발행기관 관리번호, 논문명, 대등논문명, 저자 , 저널/프로시딩명, 발행기관, 발행년, 발행언어, 권, 호, 시작페이지, 끝페이지, ISBN, ISSN, 주제분야, 키워드, 초록(한글), 초록(영문), 저자(소속기관)
저장형식	Text(ASCII format) Excel format RefWorks Direct Export RIS format (for Reference Manager, ProCite, EndNote), Scholar's Aids, Mendeley
메일정보	받는사람 (필수) @ 보내는사람 (선택) @ 제목 내용 KISTI 검색결과 이메일 서비스
안내	총 건의 자료가 검색되었습니다. 다운받으실 자료의 인덱스를 입력하세요. (1-10,000) 검색결과의 순서대로 최대 10,000건 까지 다운로드가 가능합니다. 데이타가 많을 경우 속도가 느려질 수 있습니다.(최대 2~3분 소요) 다운로드 파일은 UTF-8 형태로 저장됩니다. 파일의 내용이 제대로 보이지 않을실 때는 웹브라우저 상단의 보기 -> 인코딩 -> 자동선택 여부를 확인하십시오. ~ Text(ASCII format) Excel format

연합인증