Kcon大會 | 美團安全分享APT檢測裝置的擴充套件研究

美團SRC發表於2019-08-27

8月23日-25日,一年一度的KCon 黑客大會在北京昆泰嘉瑞文化中心成功舉辦,本屆大會以「無界」為主題,通過匯聚全球黑客的智慧,探索技術的無窮奧祕,突破邊界外的邊界,創造不可能的可能。


Kcon大會 | 美團安全分享APT檢測裝置的擴充套件研究


作為安全領域內擁有豐富實戰經驗和技術積累的安全團隊,美團安全研究院成員受邀參加Kcon黑客大會,並針對目前主流廠商在移動平臺(iOS、Android)的APT檢測裝置明顯不足的現狀,分享了關於「APT檢測裝置的擴充套件研究」的議題。

現場議題圍繞業界現狀分析、相關裝置的動態沙箱(蜜罐)技術等幾個方面,充分展示美團安全團隊對APT檢測裝置的擴充套件研究成果。


Kcon大會 | 美團安全分享APT檢測裝置的擴充套件研究

Kcon大會 | 美團安全分享APT檢測裝置的擴充套件研究

Kcon大會 | 美團安全分享APT檢測裝置的擴充套件研究


議題解讀


「APT檢測裝置的擴充套件研究」

演講者 | JU ZHU

目前就職於美團(高階安全研究員),有著9+年的安全研究經驗,其中7+年主要從事高階威脅的研究,包括0Day、nDay 和漏洞挖掘。他一直致力於使用自動化系統來 Hunt 野外的高階威脅,曾多次獲得 CVE,且受到 Google、Apple、Facebook 等廠商的致謝,也多次作為 Speaker 受邀參加 BlackHat、CodeBlue、CSS 等國內外的頂級安全會議。


1. 現狀分析

1.1 業界主流APT檢測裝置選型對比

   APT檢測裝置的選擇一般是參考Gartner報告挑出備選,再結合實際情況做適應性檢測對比。


平臺支援性:

   我們統計了某天內網接入裝置的作業系統型別(見圖1),並根據這些型別對三個備選廠商進行了平臺相關性檢測(見圖2)。


Kcon大會 | 美團安全分享APT檢測裝置的擴充套件研究

圖1 內網接入裝置的作業系統型別統計


Kcon大會 | 美團安全分享APT檢測裝置的擴充套件研究

圖2 各廠商的平臺支援對比


從圖1和圖2可以看出,大部分廠商只是對Windows平臺的支援比較好,或者也提供Android沙箱。然而這和內網接入裝置的多元化還有很大差距,需要我們自己進行進一步的擴充套件開發。


檔案型別支援性:

有些廠商對於平臺的支援可能受到某些限制,所以他們通過更多的檔案型別支援來進行能力補充(見圖3)。


Kcon大會 | 美團安全分享APT檢測裝置的擴充套件研究

圖3 各廠商的檔案型別支援對比


在選型測試中,我們特地增加了plist檔案格式的樣本,這源於之前發現的在野的iOS Ransomware(Death Profile[1])。它是一種基於iOS的Configuration Profile,常用於企業為辦公裝置推送各類配置資訊(如Wi-Fi、VPN設定等),是一種常見的公司內部交換檔案格式。

從圖3看,各廠商幾乎覆蓋了基於Windows平臺的檔案格式(諸如PE、Office等),只有少量廠商支援基於MacOS/iOS平臺的Mach-O檔案(經過實測,他們基本上採用的是靜態分析方式),而plist格式目前並未有廠商支援。因此對於檔案格式的支援性,還有很大的空間可提升。


1.2可參考的解決方案對比

對於甲方來說,APT檢測的解決方案一般以採購為主,但也不乏根據實際情況進行部分自研。我們選取了一些可參考的(除Windows外)動態沙箱技術解決方案來進行對比(見圖4)。

Kcon大會 | 美團安全分享APT檢測裝置的擴充套件研究

圖4 可參考的動態沙箱技術解決方案對比


MacOS:

Darling是一種比較輕量級的基於Linux的MacOS App執行環境,主要是做了一個轉換層,將App的函式呼叫重定向到了Linux。Darling可以執行在Docker上,方便大規模部署和維護。Cuckoo Sandbox是比較重量級的,它執行在MacOS上,一般採用VisualBox來部署,效能會差些。

因此可以採用階梯式部署方式:Darling完成大部分指標檢測,而剩下的少部分,則由Cuckoo Sandbox來完成(如圖5)。


Kcon大會 | 美團安全分享APT檢測裝置的擴充套件研究

圖5 MacOS動態沙箱技術解決方案


iOS:

Corellium擁有一套比較完整的iOS虛擬機器,不過目前他們只提供雲服務,對於內網審計是個很大的挑戰。對於很多甲方公司來說,內網的資料是不能外傳的,所以我們更傾向於使用本地沙箱方式。


Android:

Anbox是一個輕量級完整模擬Android的系統, Cuckoo Droid是一個比較成熟的檢測Android Malware的沙箱系統,且它們都是開源的,比較符合甲方的需求,不需要再做擴充研究。


綜上所述,大部分可參考的動態沙箱技術解決方案,基本都可實現本地部署,且開源方便二次開發。唯有iOS動態沙箱需要重新設計和開發。


2. iOS動態沙箱(蜜罐)技術

2.1總體架構流程

為了能檢測出未知Malware(0 Day等),同時又能知曉影響面(版本、位數等),我們首先需要提取iOS App中的Mach-O檔案,再根據32位或者64位來進行相應的檢測。

Kcon大會 | 美團安全分享APT檢測裝置的擴充套件研究

圖6 針對Mach-O的流程


如圖6所示,首先解開IPA檔案,再分解Fat檔案為32位Mach-O和64位Mach-O。由於基於Aarch 64的硬體伺服器架構不能直接執行Arm 32位的程式,我們進行了分流設計:將32位的Mach-O送入模擬Arm v7的Qemu,而64位的Mach-O則送入基於Aarch 64的Docker。

另外,存在像Death Profile這樣的攻擊,我們還需要檢測流量中plist格式的檔案或者內容(如圖7)。


Kcon大會 | 美團安全分享APT檢測裝置的擴充套件研究

圖7 針對plist的流程


2.2 輕量級虛擬化設計

Corellium的虛擬化方案雖然非常完備,但對於我們的需求來說過重,且開發成本極高。因此我們更傾向於類似Darling(或者Wine)的輕量級解決方案。

我們採用API重定向的方式,將Mach-O完整地在Qemu(或者Docker)中模擬執行起來。


Kcon大會 | 美團安全分享APT檢測裝置的擴充套件研究

圖8 輕量級的虛擬化設計


圖8是我們提出的輕量級虛擬化設計,最底層硬體和作業系統都是基於Aarch 64(或者Arm v8),在它們上面使用Qemu以實現Arm v7的支援。而Docker用於直接對Arm 64的支援。

在Qemu(或者Docker)內,我們部署安裝了一些基礎庫(諸如libc、libc++等),還編譯了libobjc、libdispatch等開源庫,以對更上層的API重定向庫提供支援。

最後,我們實現了類似Foundation.framework的API重定向庫,以支撐Mach-O的正常執行,執行效果見圖9、圖10。


Kcon大會 | 美團安全分享APT檢測裝置的擴充套件研究

圖9 Qemu(Arm v7)的執行效果


Kcon大會 | 美團安全分享APT檢測裝置的擴充套件研究

圖10 Docker(Arm 64)的執行效果


2.3 實現

正常來說,我們執行一個Mach-O檔案,需要實現一個類似dyld的Loader程式,來用於解析和載入Mach-O,並匯入相關的依賴庫。這裡我們需要自己實現這個過程。

整個實現過程分為六個部分:解析和載入、匯入相關依賴庫、地址修正、地址(API)重定向、執行、回撥。


Kcon大會 | 美團安全分享APT檢測裝置的擴充套件研究

圖11 整個執行過程


Kcon大會 | 美團安全分享APT檢測裝置的擴充套件研究

圖12 執行效果


解析和載入:

我們通過解析Mach-O檔案中Load Commands的Segment資訊,將所有的Segment資料(除PageZero)按地址順序逐一載入到虛擬記憶體。由於程式啟動時會在程式空間加上一段偏移量(slide),我們需要計算記錄下slide的結果,用於之後執行時的起始地址計算(如圖13)。

slide = text_real_vm_addr - text_vm_addr

其中text_real_vm_addr是TEXT段的實際虛擬記憶體地址,text_vm_addr是Mach-O檔案中TEXT段的VM地址。

另外,在對映時,可按實際VM Protection值來設定所對映的虛擬記憶體VMP屬性。


Kcon大會 | 美團安全分享APT檢測裝置的擴充套件研究
Kcon大會 | 美團安全分享APT檢測裝置的擴充套件研究

圖13 所有Segment資料(除PageZero)對映到虛擬記憶體的實際地址分佈情況


匯入相關依賴庫:

通過解析Mach-O檔案中Load Commands的LC_LOAD_DYLIB資料,可獲取所有依賴庫的資訊,並做模擬實現。這樣就可以將Mach-O中的API呼叫重定向到我們希望呼叫的函式中去。


事實上,在實現某個依賴庫(比如Foundation)時,可能會存在更多的依賴庫需要實現,其工作量將是巨大的(如圖14)。


Kcon大會 | 美團安全分享APT檢測裝置的擴充套件研究

圖14 Foundation的實現



地址修正:

如果要正常執行main函式,Mach-O檔案中Rebase所描述地址的資料還需要做修正,如Lazy Symbol Pointer資料和CFString資料等。


Kcon大會 | 美團安全分享APT檢測裝置的擴充套件研究

圖15 Mach-O檔案中Rebase所描述地址的資料修正


地址(API)重定向:

對於Lazy Symbol Pointer這類資料,我們還需要再做一次修正,那就是使用我們模擬實現的函式地址來替換該資料(Pointer)。


Kcon大會 | 美團安全分享APT檢測裝置的擴充套件研究

圖16 地址(API)重定向


Kcon大會 | 美團安全分享APT檢測裝置的擴充套件研究

圖17 API重定向流程



執行:

如果我們希望執行某個函式,只需要找到它的入口地址,即可直接執行。比如main函式,我們通過解析Mach-O檔案中Load Commands的LC_MAIN資料,從而獲得它的相對入口地址,再加上之前我們獲得的slide和text_vm_addr,就可以算出它的絕對(真實)入口地址。


Kcon大會 | 美團安全分享APT檢測裝置的擴充套件研究

圖18 算出main函式的絕對(真實)入口地址,並直接執行它


回撥

Delegate是iOS開發常用的設計模式,所以我們也需要實現相應的回撥。我們通過解析Mach-O檔案中ObjC2 Class的資料,來獲得Delegate類。然後,再解析它(比如AppDelegate)的Protocol資料,來獲得Framework裡對應的類(比如UIKit的UIApplication)最後,再解析它的Method資料,並註冊到NSNotificationCenter。


Kcon大會 | 美團安全分享APT檢測裝置的擴充套件研究

圖19 回撥流程

Kcon大會 | 美團安全分享APT檢測裝置的擴充套件研究

圖20 執行效果


2.4 部署

最初研究或小批量試驗,可以使用一些廠商的雲服務,或者採用低成本的樹莓派叢集。而我們為了更好的匹配重新設計的動態沙箱(蜜罐)系統,採用了公司現有的ODM(Original Design Manufacturer)專用Aarch 64伺服器。


Kcon大會 | 美團安全分享APT檢測裝置的擴充套件研究

圖21 自研伺服器



團隊介紹

美團安全部的大多數核心人員,擁有多年網際網路以及安全領域實踐經驗,很多同學參與過大型網際網路公司的安全體系建設,其中也不乏全球化安全運營人才,具備百萬級IDC規模攻防對抗的經驗。安全部也不乏CVE“挖掘聖手”,有受邀在Black Hat等國際頂級會議發言的講者,當然還有很多漂亮的運營妹子。

目前,美團安全部涉及的技術包括滲透測試、Web防護、二進位制安全、核心安全、分散式開發、大資料分析、安全演算法等等,同時還有全球合規與隱私保護等策略制定。我們正在建設一套百萬級IDC規模、數十萬終端接入的移動辦公網路自適應安全體系,這套體系構建於零信任架構之上,橫跨多種雲基礎設施,包括網路層、虛擬化/容器層、Server 軟體層(核心態/使用者態)、語言虛擬機器層(JVM/JS V8)、Web應用層、資料訪問層等,並能夠基於“大資料+機器學習”技術構建全自動的安全事件感知系統,努力打造成業界最前沿的內建式安全架構和縱深防禦體系。

隨著美團的高速發展,業務複雜度不斷提升,安全部門面臨更多的機遇和挑戰。我們希望將更多代表業界最佳實踐的安全專案落地,同時為更多的安全從業者提供一個廣闊的發展平臺,並提供更多在安全新興領域不斷探索的機會。


招聘

美團安全2019年招聘火熱進行中~

如果你想加入我們,歡迎簡歷請發至郵箱zhaoyan17@meituan.com。


相關文章