[논문]안드로이드 애플리케이션 환경에서 CFI 우회 공격기법 연구

이주엽; 최형기

doi:10.13089/jkiisc.2020.30.5.881

안드로이드 애플리케이션 환경에서 CFI 우회 공격기법 연구
A Study of Attacks to Bypass CFI on Android Application Environment 원문보기

情報保護學會論文誌 = Journal of the Korea Institute of Information Security and Cryptology, v.30 no.5, 2020년, pp.881 - 893

이주엽 (성균관대학교) , 최형기 (성균관대학교)

초록
AI-Helper

CFI(Control Flow Integrity)는 제어 흐름을 검증해 프로그램을 보호하는 기법이다. 안드로이드 환경에서 애플리케이션 보호를 위해 LLVM Clang 컴파일러가 지원하는 CFI 기법인 IFCC(Indirect Function Call Checks)와 SCS(Shadow Call Stack)이 도입되었다. IFCC가 함수 호출, SCS이 함수 복귀 시 제어 흐름을 보호한다. 본 논문에서는 IFCC, SCS을 적용한 애플리케이션 환경에서 CFI 우회 공격기법을 제안한다. 사용자 애플리케이션에 IFCC, SCS을 적용하여도 애플리케이션 메모리 내 IFCC, SCS으로 보호되지 않은 코드 영역이 다수 존재하는 것을 확인하였다. 해당 코드 영역에서 공격을 위한 코드를 실행해 1) IFCC로 보호된 함수 우회 호출 기법, 2) SCS 우회를 통한 복귀 주소 변조 기법을 구성한다. 안드로이드10 QP1A. 191005.007.A3 환경에서 IFCC, SCS으로 보호되지 않은 코드 영역을 식별하고 개념 증명(proof-of-concept) 공격을 구현해 IFCC, SCS이 적용된 환경에서 제어 흐름 변조가 가능함을 보인다.

Abstract ▼ AI-Helper

CFI(Control Flow Integrity) is a mitigation mechanism that protects programs by verifying control flows. IFCC(Indirect Function Call Checks) and SCS(Shadow Call Stack), CFI supported by LLVM Clang compiler, were introduced to protect applications in Android. IFCC protects function calls and SCS protects function returns. In this paper, we propose attacks to bypass CFI on the application environment with IFCC and SCS. Even if IFCC and SCS were applied to user applications, it was confirmed that there were many code segments not protected by IFCC and SCS in the application memory. We execute code in CFI unprotected segments to construct 1) bypassing IFCC to call a protected function, 2) modulating return address via SCS bypass. We identify code segments not protected by IFCC and SCS in Android10 QP1A. 191005.007.A3. We also implement proof-of-concept exploits to demonstrate that modulation of control flow is possible in an environment where IFCC and SCS are applied.

주제어

표/그림 (8)

그림 Fig. 1. Examples of forward and backward-edge. CFI provides verification of the destination address in each branch.
그림 Fig. 2. When IFCC Cross-DSO mode is applied, the destination address and identifier are compared to verify.
그림 Fig. 3. When SCS is applied, codes are inserted to store and recover the return address in the shadow stack.
그림 Fig. 4. We propose attacks to bypass IFCC, SCS using code gadgets in CFI unprotected segments.
그림 Fig. 5. A test application consists of an application codes written in java and two user libraries written in C.
표 Table 1. A number of indirect call gadgets and X18 modulation gadgets were identified in CFI unprotected segments. The system libraries display only four, considering the quantity of gadgets.
그림 Fig. 6. Indirect call gadgets in CFI unprotected segment allow calls to IFCC protected functions by bypassing verification.
그림 Fig. 7. The return address can be modulated by bypassing SCS using X18 modulation gadget.

질의응답

핵심어	질문	논문에서 추출한 답변
	CFI란?	CFI(Control Flow Integrity)는 제어 흐름을 검증해 프로그램을 보호하는 기법이다. 안드로이드 환경에서 애플리케이션 보호를 위해 LLVM Clang 컴파일러가 지원하는 CFI 기법인 IFCC(Indirect Function Call Checks)와 SCS(Shadow Call Stack)이 도입되었다.
	CFI 기법인 IFCC이 어떤 목적에서 도입되었나?	CFI(Control Flow Integrity)는 제어 흐름을 검증해 프로그램을 보호하는 기법이다. 안드로이드 환경에서 애플리케이션 보호를 위해 LLVM Clang 컴파일러가 지원하는 CFI 기법인 IFCC(Indirect Function Call Checks)와 SCS(Shadow Call Stack)이 도입되었다. IFCC가 함수 호출, SCS이 함수 복귀 시 제어 흐름을 보호한다.
	애플리케이션 메모리 내 CFI 비보호 영역이 존재하기 때문에 내린 결론은?	또한 재사용이 많은 라이브러리 특성 상 CFI로 보호되지 않은 사용자 라이브러리가 사용될 확률이 높다. 결론적으로 단기간 내에 모든 코드 영역에 CFI가 패치되기 어려워 CFI 우회 공격기법을 활용할 수 있을 것으로 보인다.

참고문헌 (22)

L. Szekeres, M. Payer and T. Wei, "Sok: eternal war in memory," Proc. of the IEEE Symposium on Security and Privacy, pp. 48-62, May. 2013.
N. Burow, S.A. Carr and J. Nash, "Control-flow integrity: precision, security, and performance," ACM Computing Surveys, pp. 1-33, Apr. 2017.
M. Abadi, M. Budiu and J. Ligatti, "Control-flow integrity principles, implementations, and applications," ACM Transactions on Information and System Security, pp. 1-40, Nov. 2009.
J. Seo, B. Lee and S.M. Shih, "SGX-shield: enabling address space layout randomization for SGX programs," Proc. of the Network and Distributed Systems Security Symposium, Feb. 2017.
S. Jeong, J. Hwang and H. Kwon, "A CFI countermeasure against GOT overwrite attacks," IEEE Access, pp. 36267-36280, Feb. 2020.
A. Biondo, M. Conti and D. Lain, "Back to the epilogue: evading control flow guard via unaligned targets," Proc. of the Network and Distributed Systems Security Symposium, Feb. 2018.
C. Tice, T. Roeder and P. Collingbourne, "Enforcing forward-edge control-flow integrity in {GCC} & {LLVM}," Proc. of 23rd USENIX Security Symposium, pp. 941-955, Aug. 2014.
T. Nguyen, J. Mcdonald and W. Glisson, "Detecting repackaged android applications using perceptual hashing," Proc. of the 53rd Hawaii International Conference on System Sciences, pp. 6641-6650, Jan. 2020.
E.M. Koruyeh, S.H.A. Shirazi and K.N. Khasawneh, "SPECCFI: mitigating spectre attacks using CFI informed speculation," Proc. of the IEEE Symposium on Security and Privacy, pp. 39-53, May. 2020.
AOSP, "ShadowCallStack," https://source.android.com/security/enhancements/enhancements10, Dec. 2019.
Clang 12 documentation, "Cross-DSO," https://clang.llvm.org/docs/ControlFlo wIntegrityDesign.html, Dec. 2019.
Clang 12 documentation, "ShadowCall Stack," https://clang.llvm.org/docs/ShadowCallStack.html, Dec. 2019.
N. Carlini, A. Barresi and M. Payer, "Control-flow bending: on the effectiveness of control-flow integrity," Proc. of 24th USENIX Security Symposium, pp. 161-176, Aug. 2015.
V. Parikh and P. Mateti, "ASLR and ROP attack mitigations for ARM-based android devices," International Symposium on Security in Computing and Communication, pp. 350-363, Nov. 2017.
T. Saito, R. Watanabe and S. Kondo, "A survey of prevention/mitigation against memory corruption attacks," 19th International Conference on Network-Based Information Systems, pp. 500-505, Sep. 2016.
J. Xu, P. Ning and C. Kil, "Automatic diagnosis and response to memory corruption vulnerabilities," Proc. of the 12th ACM conference on Computer and communications security, pp. 223-234, Nov. 2005.
ROPgadget, "gadget," http://shell-storm.org/project/ROPgadget, Dec. 2019.
B. Lee, L. Lu and T. Wang, "From zygote to morula: fortifying weakened aslr on android," Proc. of the IEEE Symposium on Security and Privacy, pp. 424-439, May. 2014.
M. Conti, S. Crane and L. Davi, "Losing control: on the effectiveness of control-flow integrity under stack attacks," Proc. of the 22nd ACM SIGSAC Conference on Computer and Communications Security, pp. 952-963, Oct. 2015.
N. Carlini and D. Wagner, "{ROP} is still dangerous: breaking modern defenses," Proc. of 23rd USENIX Security Symposium, pp. 385-399, Aug. 2014.
L. Davi, A.R. Sadeghi and D. Lehman, "Stitching the gadgets: on the ineffectiveness of coarse-grained control-flow integrity protection," Proc. of 23rd USENIX Security Symposium, pp. 401-416, Aug. 2014.
I. Evans, F. Long and U. Otgonbaatar, "Control jujutsu: on the weaknesses of fine-grained control flow integrity," Proc. of the 22nd ACM SIGSAC Conference on Computer and Communications Security, pp. 901-913, Oct. 2015.

내보내기 구분	파일저장 인쇄 메일전송
구성항목	기본정보 상세정보 관리번호, 논문명, 저널/프로시딩명, 저자 , 발행년, 권, 호, 시작페이지, 끝페이지, 발행기관 관리번호, 논문명, 대등논문명, 저자 , 저널/프로시딩명, 발행기관, 발행년, 발행언어, 권, 호, 시작페이지, 끝페이지, ISBN, ISSN, 주제분야, 키워드, 초록(한글), 초록(영문), 저자(소속기관)
저장형식	Text(ASCII format) Excel format RefWorks Direct Export RIS format (for Reference Manager, ProCite, EndNote), Scholar's Aids, Mendeley
메일정보	받는사람 (필수) @ 보내는사람 (선택) @ 제목 내용 KISTI 검색결과 이메일 서비스
안내	총 건의 자료가 검색되었습니다. 다운받으실 자료의 인덱스를 입력하세요. (1-10,000) 검색결과의 순서대로 최대 10,000건 까지 다운로드가 가능합니다. 데이타가 많을 경우 속도가 느려질 수 있습니다.(최대 2~3분 소요) 다운로드 파일은 UTF-8 형태로 저장됩니다. 파일의 내용이 제대로 보이지 않을실 때는 웹브라우저 상단의 보기 -> 인코딩 -> 자동선택 여부를 확인하십시오. ~ Text(ASCII format) Excel format

연합인증