Background: SigReturn-Oriented Programming

들어가며..

바이너리 보호 기법 개념 자체가 없을 때에는 셸코드를 통해 다양한 시스템 콜을 호출해
임의 명령어를 실행하였습니다. 이 기법을 이용한 위헙이 계속되자 셸코드의 실행 방지를 위한 NX 등장

그러나 얼마가지 않아 셸코들르 실행하지 않고 lib 함수를 호출해 보호기법을 우회하는 RTL!
프로그램의 콛를 재활용해 임의 함수를 연속해 호출할 수 있는 ROP도 등장하였습니다.

서로 다른 프로그램에서 같은 종류의 취약점이 있다해도 공격 대상의 보호 기법 또는
실행 코드에 따라 공격하는 방법이 다르기에 이를 고려하여 계속 보호기법이 추가됩니다
이번엔 2014년 발표한 SROP를 알아보기 위해 시그널(Signal)을 알아봅시다.

---

Signal

[리눅스 / 유닉스 ] 시그널이란? 시그널(SIGNAL) 종류, 상황, 유사 시그널 차이점

 

👩‍💻 프로세스 vs 쓰레드 차이 정리

위에 저 두개 보시면 도움이 무지 많이 good!

위 사이트를 보고 공부하였습니다(이전에 마스터 카나리에서 설명했는데 한 번 날아가서 ..후)
OS는 크게 유저 모드와 커널 모드로 나누는데 실제로 파일을 생성, 실행하는 것은
유저에서 커널로 넘어가서 커널에서 동작(rtld와 유사합니다.) 다시 유저로 상호작용합니다.

시그널은 프로세스에서 특정 정보를 전달하는 매개체로, SIGSEGV 또한 시그널입니다.(flag[공격 말고]이지요)
리눅스에는 다양한 시그널이 제공되며 아래 이미지는 대표적인 예시입니다.

---

시그널 동작 방식

// Name: sig_alarm.c
// Compile: gcc -o sig_alarm sig_alarm.c 
#include<stdio.h>
#include<unistd.h>
#include<signal.h>
#include<stdlib.h>
 
void sig_handler(int signum){
  printf("sig_handler called.\n");
  exit(0);
}
 
int main(){
  signal(SIGALRM,sig_handler);
  alarm(5);
 
  getchar();
  return 0;
}

위 코드는 프로그램의 정상 종료를 위해 alerm(?) 함수를 호출 지정 시간이 지나면 프로그램 종료
시그널 핸들러를 호출하는 코드로 자주 사용됩니다. 위 5초 후 sig_handler 호출 예제지요

signal 함수를 사용해 SIGALRM 시그널이 발생하면 sig_handler 함수가 실행됩니다.
프로세스에서 이 모든 것을 처리하는 듯 싶지만, SIGALRM 시그널이 발생 시 커널 모드 진입

여기서 시그널을 커널 모드에서 처리하고 나서 다시 유저 모드로 돌아와 프로세스 코드를 실행해야합니다.
즉, 유저 모드의 상태를 모두 기억하고 되돌아올 수 있다는 뜻입니다.(프로세스(시그널)의 특징입니다)

여기서 상태란, 시그널이 발생 시 프로세스의 메모리, 레지스터 등이 포함됩니다.
커널에서는 유저 모드로 되돌아갈 상황을 고려해 유저 프로세스의 상태를 저장하는 코드가 구현되어 있어요

---

do_signal

do_signal 함수는 시그널을 처리하기 위해 젤 먼저 호출되는 함수입니다.
리눅스 커널 버전에 따라 다른데 살펴보면..

5.8 버전 이하 : do_signal
5.10 버전 이하 : arch_do_signal
상위 버전 : arch_do_signal_or_restart

로 명명되었습니다.

아래 이미지는 그 해당 함수이며, 시그널이 발생했다면 정보를 인자로 get_signal 함수 호출
해당 함수는 시그널에 해당한 핸들러가 등록됬는지 확인합니다.

만약 핸들러가 등록되어 있다면 시그널에 대한 정보와 레지스터 정보를 인자 handle_signal 함수 호출

---

handle_signal

handle_signal 함수의 일부로, setup_rt_frame 함수를 호출하는 것을 볼 수 있습니다.
해당 함수는 시그널에 적용된 핸들러 존재 시, 핸들러의 주소를 다음 실행 주소로 삽입합니다.

앞서 에제에서는 SIGALRM이 발생할 경우 해당 코드를 통해 sig_handler 함수를 호출합니다.

---

Sigreturn

현제 프로세스가 바뀌는 것을 컨텍스트 스위칭(Context Switching)이라고 합니다.
앞서 본 것처럼 커널이 유저가 생성한 프로세스를 관리하기 위해 다양한 코드를 실행합니다.

컨텍스트 스위칭이 일어나면 다시 유저 프로세스로 복귀하야합니다. 따라서 스위칭이 발생 시
상황을 커널에서 기억하고, 커널 코드의 실행이 마치면 기억한 정보를 되돌려 복귀해야합니다.
이때 사용되는 시스템 콜이 sigreturn!

restore_sigcontext 함수의 코드로 sigreturn 시스템 콜 호출 시 내부적으로 해당 함수를
호출 스택에 저장된 값을 각 레지스터에 복사 기존 상황과 실행 코드를 기억 복귀합니다.

위 코드에선 sigcontext라는 구조체 sc가 존재하는 각 멤버 변수에 값을 삽입하는 것을 확인가능함
해당 구조체에 대하여 더 알아볼까요?

---

sigcontext

구조체를 살펴보면.. 레지스터의 명칭을 가진 각 멤버 변수가 존재하는 걸 확인가능합니다.
구조체의 맴버 변수 순서는 값 복사 순서와는 전혀 관계 X(순서 외울 필요 없당!!)

위 표는 x86-64 arch에 해당되는 구조체로 이외 아키텍처 공격 시
전부 파악(커널, 구조체) 분석 및 진행해야합니다

---

SROP(SigReturn-Oriented Programming)

컨텍스트 스위칭을 위해 사용하는 sigreturn 시스콜을 이용한 ROP 기법

ROP에서도 코드 조각 모아 임의 코드를 실행하는 공격기법을 생각하면 이 친구는 sigreturn 시스콜 호출,
레지스터에 복사할 값 미리 스택에 저장 임의 코드를 실행한다는 점을 앞에서 배운 내용을 통해 유추되죠

모든 레지스터를 조작할 수 있는 만큼 익스 활용도도 높고 난이도도 초반에 Ez하다가 갑자기.. ㅠ

// Name: sigrt_call.c
// Compile: gcc -o sigrt_call sigrt_call.c 
 
#include <string.h>
int main()
{
        char buf[1024];
        memset(buf, 0x41, sizeof(buf));
 
        asm("mov $15, %rax;"
            "syscall");
}

위 코드는 sigreturn 시스콜을 호출 레지스터를 스택의 값으로 조작한답니다.
예제를 컴파일 후 디버거를 통해 진행해보면..

와우.. 배운 그대로네요 ㅎ

---

마치며

매우 활용도가 높은 SROP에 대하여 시그널이 발생 시 커널에서 어떤 코드를 실행 및
컨텍스트 스위칭을 위해 사용하는 sigreturn 시스콜 그리고 이를 이용한 공격 기법!

스택에 값을 쓸 수 있고 sigreturn 시스콜을 호출 상황 시 모든 레지스터를 조작 가능!
(이 부분은.. 다양한 접근을 하다보면 쉽게 상황 파악이 되겠죠?)
그래서 익스 성공 가능성도 매우 높고 공격에도 유용한 기술이였습니다.

KeyWord

• 컨텍스트 스위칭(Context Switching)
  : 현재 실행되는 프로세스가 바뀌는 작업
• SigReturn-Oriented Programming(SROP)
  : 컨텍스트 스위칭을 위해 사용하는 sigreturn 시스콜을 이용한 ROP 기법

---

참고 자료

Sigreturn-oriented programming - Wikipedia

 

Playing with signals : An overview on Sigreturn Oriented Programming - Stormshield

 

참고 이미지