SlideShare a Scribd company logo

Eugene Kulik & Pavel Kryvko - Executable Code Protection in ARM Systems

NoNameCon
NoNameCon

http://sched.co/EFAj

Technology
1 of 24
Download to read offline
Защита исполняемого кода для ARM систем Ievgen Kulyk & Pavel Kryvko
Устройства на ARM процессорах ● Телефоны ● Планшеты ● Часы ● Автомобили ● Телевизоры и приставки к ним ● IoT
OS под управлением ARM процессоров ● iOS, tvOS ● Android, Android TV ● Tizen ● WebOS ● Other Unix-like operating systems
1. Получение физического доступа к устройству. 2. Разборка, выпаивание Flash. 3. Чтение дампа карты памяти. 4. Анализ исполняемых файлов с целью выявления уязвимостей. 5. Написание эксплойта для атаки удалённых устройств. 6. Profit ! Как атакуют ARM-based устройства
Как получить исполняемые файлы приложения Приложения сторонних разработчиков должны каким-либо образом попасть на устройство: ● Установка из market (play market, App Store и аналоги) Минусы в том, что можно выкачать приложение для дальнейшего анализа. ● Установка на устройство вместе с обновлениями Небезопасная передача по сети (слабое шифрование либо его отсутствие) позволяет перехватить трафик и извлечь исполняемые файлы. ● Установка на взломанные устройства (public root exploits, jailbreaks) С такого устройства легко скопировать исполняемые файлы приложения.
Извлечение NAND Flash модуля NAND flash module
Получение исполняемых файлов аппаратно ● Выпаивания flash памяти может оказаться недостаточно, если применяется шифрование. ● Многие производители не используют шифрование. ● Если даже шифрование используется, нет гарантии, что ваше приложение будет находиться на зашифрованном разделе. ● Если не получилось извлечь нужные файлы, можно попытаться сделать hardware root. После включить устройство, удаленно подключиться к нему с правами root, и попытаться извлечь файлы во время работы устройства, когда нужный раздел будет расшифрован.
Утилиты для получения дампов файловой системы
Приложение точно будет у атакующих ● Даже если некоторые устройства защищены хорошо, и для них неизвестны способы получения root доступа, это не говорит о том, что ваше приложение не будет установлено на устаревшее устройство. ● Шифрование не панацея – перед исполнением файл нужно расшифровать. ● Рано или поздно будет найдена уязвимость, которая позволит извлечь ваши исполняемые файлы даже из неуязвимого ранее устройства. ● Нельзя перекладывать вопросы защиты своего приложения на производителя прошивки.
Распространённый сценарий атаки 1. Содержимое выпаянной карты памяти монтируется и становится доступным для чтения/записи на PC атакующего. 2. Атакующий видит множество бинарных файлов. Если компонент является частью прошивки, найти его может быть непросто. 3. Для поиска потенциальных целей используется grep. 4. Результаты работы grep анализируются, и предполагаемые цели дизассамблируются. Сценарий возможен благодаря: ● Наличию строк. ● Наличию отладочных символов. ● Наличию имён, описывающих назначение того или иного бинарного файла.
Навесные упаковщики ● Защищают от статического и динамического анализа. ● Не требуют поддержки со стороны прошивки. ● Во время работы упакованный файл всегда остаётся защищённым. ● Легко расширяются. ● Имеется огромный опыт создания упаковщиков под ОС Windows.
Основные защитные приемы упаковщика ● Шифрование ● Антиотладка ● Обфускация ● Защита импорта
Some code Some data Some code Some data Code obfuscation Sensitive Data Library Code Original ELF Packed ELF Protection Library Data encryption Общая схема работы упаковщика Protected Code
Внутреннее устройство ELF файлов ELF Header Program Header Table Segment 1 ... Section Header Table ● Сегменты нужны для исполнения, секции - нет. ● Секции могут полностью отсутствовать. ● Парсинг ELF-файлов должен осуществляться только на основе данных из сегментов.
Устройство импорта ELF файлов
Символы ELF файлов
Section Headers после упаковки
Dynamic Section после упаковки
Relocation Section после упаковки
Листинг objdump после упаковки
Выполнение упакованного ELF на RPi3
Выход процесса из под GDB
Простой трикс против GDB
Спасибо, пацаны, что пришли ! “Спасибо” в карман не положишь, а вот Raspberry PI - можно. Поэтому для вас есть несколько девайсов от наших друзей, задавайте вопросы, подходите общаться, разбирайте RPi ;) #NoNameCon P.S. Вдруг кому интересно посмотреть запакованные семплы - обращайтесь.

Recommended

брандмауэры
брандмауэрыбрандмауэры
брандмауэрыMadina200
 
Инф безопасность
Инф безопасностьИнф безопасность
Инф безопасностьPetrPetrovich3
 
CCTV
CCTVCCTV
CCTVИлья Ульянов
 
Компьютерные вирусы и методы защиты от них
Компьютерные вирусы и методы защиты от нихКомпьютерные вирусы и методы защиты от них
Компьютерные вирусы и методы защиты от нихobstinate
 
ESET. Сергей Федоров. "ESET. Просто. Удобно. Надежно "
ESET. Сергей Федоров. "ESET. Просто. Удобно. Надежно "ESET. Сергей Федоров. "ESET. Просто. Удобно. Надежно "
ESET. Сергей Федоров. "ESET. Просто. Удобно. Надежно "Expolink
 
Аппаратные средства защиты информации
Аппаратные средства защиты информацииАппаратные средства защиты информации
Аппаратные средства защиты информацииAncud Ltd.
 
017 презентация сзи воронеж
017 презентация сзи воронеж017 презентация сзи воронеж
017 презентация сзи воронежjournalrubezh
 
Компьютерные вирусы
Компьютерные вирусыКомпьютерные вирусы
Компьютерные вирусыAndrey Dolinin
 

Recommended

брандмауэры
брандмауэрыбрандмауэры
брандмауэрыMadina200
 
Инф безопасность
Инф безопасностьИнф безопасность
Инф безопасностьPetrPetrovich3
 
CCTV
CCTVCCTV
CCTVИлья Ульянов
 
Компьютерные вирусы и методы защиты от них
Компьютерные вирусы и методы защиты от нихКомпьютерные вирусы и методы защиты от них
Компьютерные вирусы и методы защиты от нихobstinate
 
ESET. Сергей Федоров. "ESET. Просто. Удобно. Надежно "
ESET. Сергей Федоров. "ESET. Просто. Удобно. Надежно "ESET. Сергей Федоров. "ESET. Просто. Удобно. Надежно "
ESET. Сергей Федоров. "ESET. Просто. Удобно. Надежно "Expolink
 
Аппаратные средства защиты информации
Аппаратные средства защиты информацииАппаратные средства защиты информации
Аппаратные средства защиты информацииAncud Ltd.
 
017 презентация сзи воронеж
017 презентация сзи воронеж017 презентация сзи воронеж
017 презентация сзи воронежjournalrubezh
 
Компьютерные вирусы
Компьютерные вирусыКомпьютерные вирусы
Компьютерные вирусыAndrey Dolinin
 
Средства шифрования для обеспечения защиты государственной тайны
Средства шифрования для обеспечения защиты государственной тайныСредства шифрования для обеспечения защиты государственной тайны
Средства шифрования для обеспечения защиты государственной тайныAncud Ltd.
 
компьютерные вирусы
компьютерные вирусыкомпьютерные вирусы
компьютерные вирусыЕлена Ключева
 
Построение системы защиты информации на базе инфраструктуры тонкого клиента
Построение системы защиты информации на базе инфраструктуры тонкого клиентаПостроение системы защиты информации на базе инфраструктуры тонкого клиента
Построение системы защиты информации на базе инфраструктуры тонкого клиентаAncud Ltd.
 
Prez2
Prez2Prez2
Prez2hmyrhik nikita
 
ESET. Галуст Шахбазян. Эрмитаж. Петр Герман. " ESET - КОТ безопасности Эрми...
ESET. Галуст Шахбазян. Эрмитаж. Петр Герман. " ESET - КОТ безопасности Эрми...ESET. Галуст Шахбазян. Эрмитаж. Петр Герман. " ESET - КОТ безопасности Эрми...
ESET. Галуст Шахбазян. Эрмитаж. Петр Герман. " ESET - КОТ безопасности Эрми...Expolink
 
Решения для защиты информации на основе архитектуры «тонкий клиент»
Решения для защиты информации на основе архитектуры «тонкий клиент»Решения для защиты информации на основе архитектуры «тонкий клиент»
Решения для защиты информации на основе архитектуры «тонкий клиент»Ancud Ltd.
 
способы обеспечения безопасной работы в интернет»
способы обеспечения безопасной работы в интернет»способы обеспечения безопасной работы в интернет»
способы обеспечения безопасной работы в интернет»VladislavFedotov
 
Обзор решений со встроенными средствами защиты от нсд
Обзор решений со встроенными средствами защиты от нсдОбзор решений со встроенными средствами защиты от нсд
Обзор решений со встроенными средствами защиты от нсдAncud Ltd.
 
Угрозы, таящиеся в USB-устройствах
Угрозы, таящиеся в USB-устройствахУгрозы, таящиеся в USB-устройствах
Угрозы, таящиеся в USB-устройствахPositive Hack Days
 
компьютерные вирусы и антивирусные программы
компьютерные вирусы и антивирусные программыкомпьютерные вирусы и антивирусные программы
компьютерные вирусы и антивирусные программыbvalentina
 
Security cores 1.10.13
Security cores 1.10.13Security cores 1.10.13
Security cores 1.10.13Boris Kizko
 
Технология «Защищенный тонкий клиент»
Технология «Защищенный тонкий клиент»Технология «Защищенный тонкий клиент»
Технология «Защищенный тонкий клиент»Ancud Ltd.
 
IBM Proventia IPS
IBM Proventia IPSIBM Proventia IPS
IBM Proventia IPSПетр Королев
 
FireEye - система защиты от целенаправленных атак
FireEye - система защиты от целенаправленных атакFireEye - система защиты от целенаправленных атак
FireEye - система защиты от целенаправленных атакDialogueScience
 
Основы информационной безопасности (Владимир Кузьмин)
Основы информационной безопасности (Владимир Кузьмин)Основы информационной безопасности (Владимир Кузьмин)
Основы информационной безопасности (Владимир Кузьмин)CivilLeadersRu
 
Fireeye 201FireEye - система защиты от целенаправленных атак5
Fireeye 201FireEye - система защиты от целенаправленных атак5Fireeye 201FireEye - система защиты от целенаправленных атак5
Fireeye 201FireEye - система защиты от целенаправленных атак5DialogueScience
 
Security cores 5.11.13
Security cores 5.11.13Security cores 5.11.13
Security cores 5.11.13Boris Kizko
 
Архитектура защищенного периметра
Архитектура защищенного периметраАрхитектура защищенного периметра
Архитектура защищенного периметраCisco Russia
 
Архитектура защищенного периметра
Архитектура защищенного периметраАрхитектура защищенного периметра
Архитектура защищенного периметраCisco Russia
 
Жизнь богаче схем ( APT Cobalt на кончиках пальцев). Сергей Золотухин, Group-IB
Жизнь богаче схем ( APT Cobalt на кончиках пальцев). Сергей Золотухин, Group-IBЖизнь богаче схем ( APT Cobalt на кончиках пальцев). Сергей Золотухин, Group-IB
Жизнь богаче схем ( APT Cobalt на кончиках пальцев). Сергей Золотухин, Group-IBБанковское обозрение
 
правовая охрана информации
правовая охрана информацииправовая охрана информации
правовая охрана информацииmessya
 
компьютер как средство автоматизации информационных процессов
компьютер как средство автоматизации информационных процессовкомпьютер как средство автоматизации информационных процессов
компьютер как средство автоматизации информационных процессовaleksei781016
 

More Related Content

What's hot

Средства шифрования для обеспечения защиты государственной тайны
Средства шифрования для обеспечения защиты государственной тайныСредства шифрования для обеспечения защиты государственной тайны
Средства шифрования для обеспечения защиты государственной тайныAncud Ltd.
 
Построение системы защиты информации на базе инфраструктуры тонкого клиента
Построение системы защиты информации на базе инфраструктуры тонкого клиентаПостроение системы защиты информации на базе инфраструктуры тонкого клиента
Построение системы защиты информации на базе инфраструктуры тонкого клиентаAncud Ltd.
 
ESET. Галуст Шахбазян. Эрмитаж. Петр Герман. " ESET - КОТ безопасности Эрми...
ESET. Галуст Шахбазян. Эрмитаж. Петр Герман. " ESET - КОТ безопасности Эрми...ESET. Галуст Шахбазян. Эрмитаж. Петр Герман. " ESET - КОТ безопасности Эрми...
ESET. Галуст Шахбазян. Эрмитаж. Петр Герман. " ESET - КОТ безопасности Эрми...Expolink
 
Решения для защиты информации на основе архитектуры «тонкий клиент»
Решения для защиты информации на основе архитектуры «тонкий клиент»Решения для защиты информации на основе архитектуры «тонкий клиент»
Решения для защиты информации на основе архитектуры «тонкий клиент»Ancud Ltd.
 
способы обеспечения безопасной работы в интернет»
способы обеспечения безопасной работы в интернет»способы обеспечения безопасной работы в интернет»
способы обеспечения безопасной работы в интернет»VladislavFedotov
 
Обзор решений со встроенными средствами защиты от нсд
Обзор решений со встроенными средствами защиты от нсдОбзор решений со встроенными средствами защиты от нсд
Обзор решений со встроенными средствами защиты от нсдAncud Ltd.
 
Угрозы, таящиеся в USB-устройствах
Угрозы, таящиеся в USB-устройствахУгрозы, таящиеся в USB-устройствах
Угрозы, таящиеся в USB-устройствахPositive Hack Days
 
компьютерные вирусы и антивирусные программы
компьютерные вирусы и антивирусные программыкомпьютерные вирусы и антивирусные программы
компьютерные вирусы и антивирусные программыbvalentina
 
Security cores 1.10.13
Security cores 1.10.13Security cores 1.10.13
Security cores 1.10.13Boris Kizko
 
Технология «Защищенный тонкий клиент»
Технология «Защищенный тонкий клиент»Технология «Защищенный тонкий клиент»
Технология «Защищенный тонкий клиент»Ancud Ltd.
 

What's hot (13)

Средства шифрования для обеспечения защиты государственной тайны
Средства шифрования для обеспечения защиты государственной тайныСредства шифрования для обеспечения защиты государственной тайны
Средства шифрования для обеспечения защиты государственной тайны
 
компьютерные вирусы
компьютерные вирусыкомпьютерные вирусы
компьютерные вирусы
 
Построение системы защиты информации на базе инфраструктуры тонкого клиента
Построение системы защиты информации на базе инфраструктуры тонкого клиентаПостроение системы защиты информации на базе инфраструктуры тонкого клиента
Построение системы защиты информации на базе инфраструктуры тонкого клиента
 
Prez2
Prez2Prez2
Prez2
 
ESET. Галуст Шахбазян. Эрмитаж. Петр Герман. " ESET - КОТ безопасности Эрми...
ESET. Галуст Шахбазян. Эрмитаж. Петр Герман. " ESET - КОТ безопасности Эрми...ESET. Галуст Шахбазян. Эрмитаж. Петр Герман. " ESET - КОТ безопасности Эрми...
ESET. Галуст Шахбазян. Эрмитаж. Петр Герман. " ESET - КОТ безопасности Эрми...
 
Решения для защиты информации на основе архитектуры «тонкий клиент»
Решения для защиты информации на основе архитектуры «тонкий клиент»Решения для защиты информации на основе архитектуры «тонкий клиент»
Решения для защиты информации на основе архитектуры «тонкий клиент»
 
способы обеспечения безопасной работы в интернет»
способы обеспечения безопасной работы в интернет»способы обеспечения безопасной работы в интернет»
способы обеспечения безопасной работы в интернет»
 
Обзор решений со встроенными средствами защиты от нсд
Обзор решений со встроенными средствами защиты от нсдОбзор решений со встроенными средствами защиты от нсд
Обзор решений со встроенными средствами защиты от нсд
 
Угрозы, таящиеся в USB-устройствах
Угрозы, таящиеся в USB-устройствахУгрозы, таящиеся в USB-устройствах
Угрозы, таящиеся в USB-устройствах
 
компьютерные вирусы и антивирусные программы
компьютерные вирусы и антивирусные программыкомпьютерные вирусы и антивирусные программы
компьютерные вирусы и антивирусные программы
 
Security cores 1.10.13
Security cores 1.10.13Security cores 1.10.13
Security cores 1.10.13
 
Технология «Защищенный тонкий клиент»
Технология «Защищенный тонкий клиент»Технология «Защищенный тонкий клиент»
Технология «Защищенный тонкий клиент»
 
IBM Proventia IPS
IBM Proventia IPSIBM Proventia IPS
IBM Proventia IPS
 

Similar to Eugene Kulik & Pavel Kryvko - Executable Code Protection in ARM Systems

FireEye - система защиты от целенаправленных атак
FireEye - система защиты от целенаправленных атакFireEye - система защиты от целенаправленных атак
FireEye - система защиты от целенаправленных атакDialogueScience
 
Основы информационной безопасности (Владимир Кузьмин)
Основы информационной безопасности (Владимир Кузьмин)Основы информационной безопасности (Владимир Кузьмин)
Основы информационной безопасности (Владимир Кузьмин)CivilLeadersRu
 
Fireeye 201FireEye - система защиты от целенаправленных атак5
Fireeye 201FireEye - система защиты от целенаправленных атак5Fireeye 201FireEye - система защиты от целенаправленных атак5
Fireeye 201FireEye - система защиты от целенаправленных атак5DialogueScience
 
Security cores 5.11.13
Security cores 5.11.13Security cores 5.11.13
Security cores 5.11.13Boris Kizko
 
Архитектура защищенного периметра
Архитектура защищенного периметраАрхитектура защищенного периметра
Архитектура защищенного периметраCisco Russia
 
Архитектура защищенного периметра
Архитектура защищенного периметраАрхитектура защищенного периметра
Архитектура защищенного периметраCisco Russia
 
Жизнь богаче схем ( APT Cobalt на кончиках пальцев). Сергей Золотухин, Group-IB
Жизнь богаче схем ( APT Cobalt на кончиках пальцев). Сергей Золотухин, Group-IBЖизнь богаче схем ( APT Cobalt на кончиках пальцев). Сергей Золотухин, Group-IB
Жизнь богаче схем ( APT Cobalt на кончиках пальцев). Сергей Золотухин, Group-IBБанковское обозрение
 
правовая охрана информации
правовая охрана информацииправовая охрана информации
правовая охрана информацииmessya
 
компьютер как средство автоматизации информационных процессов
компьютер как средство автоматизации информационных процессовкомпьютер как средство автоматизации информационных процессов
компьютер как средство автоматизации информационных процессовaleksei781016
 
Windows 8 и Windows server 2012. Что нового с точки зрения безопасности?
Windows 8 и Windows server 2012. Что нового с точки зрения безопасности?Windows 8 и Windows server 2012. Что нового с точки зрения безопасности?
Windows 8 и Windows server 2012. Что нового с точки зрения безопасности?Andrey Beshkov
 
Юрий Леонычев «Безопасность мобильных приложений для Android. Теория и практика»
Юрий Леонычев «Безопасность мобильных приложений для Android. Теория и практика»Юрий Леонычев «Безопасность мобильных приложений для Android. Теория и практика»
Юрий Леонычев «Безопасность мобильных приложений для Android. Теория и практика»Yandex
 
Application Security - ответы на ежедневные вопросы / Сергей Белов (Mail.Ru G...
Application Security - ответы на ежедневные вопросы / Сергей Белов (Mail.Ru G...Application Security - ответы на ежедневные вопросы / Сергей Белов (Mail.Ru G...
Application Security - ответы на ежедневные вопросы / Сергей Белов (Mail.Ru G...Ontico
 
Тенденции киберугроз. Что необходимо знать?
Тенденции киберугроз. Что необходимо знать?Тенденции киберугроз. Что необходимо знать?
Тенденции киберугроз. Что необходимо знать?Aleksey Lukatskiy
 
Код безопасности. Иван Бойцов. " Secret Net Studio Комплексная защита конечн...
Код безопасности. Иван Бойцов. " Secret Net Studio Комплексная защита конечн...Код безопасности. Иван Бойцов. " Secret Net Studio Комплексная защита конечн...
Код безопасности. Иван Бойцов. " Secret Net Studio Комплексная защита конечн...Expolink
 
Код безопасности. Бойцов Иван. "Secret Net Studio - Комплексная защита конечн...
Код безопасности. Бойцов Иван. "Secret Net Studio - Комплексная защита конечн...Код безопасности. Бойцов Иван. "Secret Net Studio - Комплексная защита конечн...
Код безопасности. Бойцов Иван. "Secret Net Studio - Комплексная защита конечн...Expolink
 
История из жизни. Демонстрация работы реального злоумышленника на примере ата...
История из жизни. Демонстрация работы реального злоумышленника на примере ата...История из жизни. Демонстрация работы реального злоумышленника на примере ата...
История из жизни. Демонстрация работы реального злоумышленника на примере ата...Dmitry Evteev
 
Защита данных безнеса с помощью шифрования
Защита данных безнеса с помощью шифрованияЗащита данных безнеса с помощью шифрования
Защита данных безнеса с помощью шифрованияVladyslav Radetsky
 
Обеспечение безопасности активов современного бизнеса с помощью криптографии
Обеспечение безопасности активов современного бизнеса с помощью криптографии Обеспечение безопасности активов современного бизнеса с помощью криптографии
Обеспечение безопасности активов современного бизнеса с помощью криптографии BAKOTECH
 
Сканер-ВС: швейцарский нож администратора безопасности
Сканер-ВС: швейцарский нож администратора безопасностиСканер-ВС: швейцарский нож администратора безопасности
Сканер-ВС: швейцарский нож администратора безопасностиУчебный центр "Эшелон"
 
Стажировка 2015. Разработка. Занятие 7. Работа с серверами
Стажировка 2015. Разработка. Занятие 7. Работа с серверамиСтажировка 2015. Разработка. Занятие 7. Работа с серверами
Стажировка 2015. Разработка. Занятие 7. Работа с серверами7bits
 

Similar to Eugene Kulik & Pavel Kryvko - Executable Code Protection in ARM Systems (20)

FireEye - система защиты от целенаправленных атак
FireEye - система защиты от целенаправленных атакFireEye - система защиты от целенаправленных атак
FireEye - система защиты от целенаправленных атак
 
Основы информационной безопасности (Владимир Кузьмин)
Основы информационной безопасности (Владимир Кузьмин)Основы информационной безопасности (Владимир Кузьмин)
Основы информационной безопасности (Владимир Кузьмин)
 
Fireeye 201FireEye - система защиты от целенаправленных атак5
Fireeye 201FireEye - система защиты от целенаправленных атак5Fireeye 201FireEye - система защиты от целенаправленных атак5
Fireeye 201FireEye - система защиты от целенаправленных атак5
 
Security cores 5.11.13
Security cores 5.11.13Security cores 5.11.13
Security cores 5.11.13
 
Архитектура защищенного периметра
Архитектура защищенного периметраАрхитектура защищенного периметра
Архитектура защищенного периметра
 
Архитектура защищенного периметра
Архитектура защищенного периметраАрхитектура защищенного периметра
Архитектура защищенного периметра
 
Жизнь богаче схем ( APT Cobalt на кончиках пальцев). Сергей Золотухин, Group-IB
Жизнь богаче схем ( APT Cobalt на кончиках пальцев). Сергей Золотухин, Group-IBЖизнь богаче схем ( APT Cobalt на кончиках пальцев). Сергей Золотухин, Group-IB
Жизнь богаче схем ( APT Cobalt на кончиках пальцев). Сергей Золотухин, Group-IB
 
правовая охрана информации
правовая охрана информацииправовая охрана информации
правовая охрана информации
 
компьютер как средство автоматизации информационных процессов
компьютер как средство автоматизации информационных процессовкомпьютер как средство автоматизации информационных процессов
компьютер как средство автоматизации информационных процессов
 
Windows 8 и Windows server 2012. Что нового с точки зрения безопасности?
Windows 8 и Windows server 2012. Что нового с точки зрения безопасности?Windows 8 и Windows server 2012. Что нового с точки зрения безопасности?
Windows 8 и Windows server 2012. Что нового с точки зрения безопасности?
 
Юрий Леонычев «Безопасность мобильных приложений для Android. Теория и практика»
Юрий Леонычев «Безопасность мобильных приложений для Android. Теория и практика»Юрий Леонычев «Безопасность мобильных приложений для Android. Теория и практика»
Юрий Леонычев «Безопасность мобильных приложений для Android. Теория и практика»
 
Application Security - ответы на ежедневные вопросы / Сергей Белов (Mail.Ru G...
Application Security - ответы на ежедневные вопросы / Сергей Белов (Mail.Ru G...Application Security - ответы на ежедневные вопросы / Сергей Белов (Mail.Ru G...
Application Security - ответы на ежедневные вопросы / Сергей Белов (Mail.Ru G...
 
Тенденции киберугроз. Что необходимо знать?
Тенденции киберугроз. Что необходимо знать?Тенденции киберугроз. Что необходимо знать?
Тенденции киберугроз. Что необходимо знать?
 
Код безопасности. Иван Бойцов. " Secret Net Studio Комплексная защита конечн...
Код безопасности. Иван Бойцов. " Secret Net Studio Комплексная защита конечн...Код безопасности. Иван Бойцов. " Secret Net Studio Комплексная защита конечн...
Код безопасности. Иван Бойцов. " Secret Net Studio Комплексная защита конечн...
 
Код безопасности. Бойцов Иван. "Secret Net Studio - Комплексная защита конечн...
Код безопасности. Бойцов Иван. "Secret Net Studio - Комплексная защита конечн...Код безопасности. Бойцов Иван. "Secret Net Studio - Комплексная защита конечн...
Код безопасности. Бойцов Иван. "Secret Net Studio - Комплексная защита конечн...
 
История из жизни. Демонстрация работы реального злоумышленника на примере ата...
История из жизни. Демонстрация работы реального злоумышленника на примере ата...История из жизни. Демонстрация работы реального злоумышленника на примере ата...
История из жизни. Демонстрация работы реального злоумышленника на примере ата...
 
Защита данных безнеса с помощью шифрования
Защита данных безнеса с помощью шифрованияЗащита данных безнеса с помощью шифрования
Защита данных безнеса с помощью шифрования
 
Обеспечение безопасности активов современного бизнеса с помощью криптографии
Обеспечение безопасности активов современного бизнеса с помощью криптографии Обеспечение безопасности активов современного бизнеса с помощью криптографии
Обеспечение безопасности активов современного бизнеса с помощью криптографии
 
Сканер-ВС: швейцарский нож администратора безопасности
Сканер-ВС: швейцарский нож администратора безопасностиСканер-ВС: швейцарский нож администратора безопасности
Сканер-ВС: швейцарский нож администратора безопасности
 
Стажировка 2015. Разработка. Занятие 7. Работа с серверами
Стажировка 2015. Разработка. Занятие 7. Работа с серверамиСтажировка 2015. Разработка. Занятие 7. Работа с серверами
Стажировка 2015. Разработка. Занятие 7. Работа с серверами
 

More from NoNameCon

Help, my browser is leaking! Exploring XSLeaks attacks and defenses - Tom Van...
Help, my browser is leaking! Exploring XSLeaks attacks and defenses - Tom Van...Help, my browser is leaking! Exploring XSLeaks attacks and defenses - Tom Van...
Help, my browser is leaking! Exploring XSLeaks attacks and defenses - Tom Van...NoNameCon
 
Anastasiia Vixentael – Encryption basics [NoName CyberKids]
Anastasiia Vixentael – Encryption basics [NoName CyberKids]Anastasiia Vixentael – Encryption basics [NoName CyberKids]
Anastasiia Vixentael – Encryption basics [NoName CyberKids]NoNameCon
 
Ihor Malchenyuk – What is privacy and how to protect it [NoName CyberKids]
Ihor Malchenyuk – What is privacy and how to protect it [NoName CyberKids]Ihor Malchenyuk – What is privacy and how to protect it [NoName CyberKids]
Ihor Malchenyuk – What is privacy and how to protect it [NoName CyberKids]NoNameCon
 
Olha Pasko - Hunting fileless malware [workshop]
Olha Pasko - Hunting fileless malware [workshop] Olha Pasko - Hunting fileless malware [workshop]
Olha Pasko - Hunting fileless malware [workshop] NoNameCon
 
Nazar Tymoshyk - Automation in modern Incident Detection & Response (IDR) pro...
Nazar Tymoshyk - Automation in modern Incident Detection & Response (IDR) pro...Nazar Tymoshyk - Automation in modern Incident Detection & Response (IDR) pro...
Nazar Tymoshyk - Automation in modern Incident Detection & Response (IDR) pro...NoNameCon
 
Ruslan Kiyanchuk - Калина, Купина, та інша флора вітчизняної криптографії
Ruslan Kiyanchuk - Калина, Купина, та інша флора вітчизняної криптографіїRuslan Kiyanchuk - Калина, Купина, та інша флора вітчизняної криптографії
Ruslan Kiyanchuk - Калина, Купина, та інша флора вітчизняної криптографіїNoNameCon
 
Artem Storozhuk - Search over encrypted records: from academic dreams to prod...
Artem Storozhuk - Search over encrypted records: from academic dreams to prod...Artem Storozhuk - Search over encrypted records: from academic dreams to prod...
Artem Storozhuk - Search over encrypted records: from academic dreams to prod...NoNameCon
 
Stephanie Vanroelen - Mobile Anti-Virus apps exposed
Stephanie Vanroelen - Mobile Anti-Virus apps exposedStephanie Vanroelen - Mobile Anti-Virus apps exposed
Stephanie Vanroelen - Mobile Anti-Virus apps exposedNoNameCon
 
Oksana Safronova - Will you detect it or not? How to check if security team i...
Oksana Safronova - Will you detect it or not? How to check if security team i...Oksana Safronova - Will you detect it or not? How to check if security team i...
Oksana Safronova - Will you detect it or not? How to check if security team i...NoNameCon
 
Bert Heitink - 10 major steps for Cybersecurity
Bert Heitink - 10 major steps for CybersecurityBert Heitink - 10 major steps for Cybersecurity
Bert Heitink - 10 major steps for CybersecurityNoNameCon
 
Ievgen Kulyk - Advanced reverse engineering techniques in unpacking
Ievgen Kulyk - Advanced reverse engineering techniques in unpackingIevgen Kulyk - Advanced reverse engineering techniques in unpacking
Ievgen Kulyk - Advanced reverse engineering techniques in unpackingNoNameCon
 
Stanislav Kolenkin & Igor Khoroshchenko - Knock Knock: Security threats with ...
Stanislav Kolenkin & Igor Khoroshchenko - Knock Knock: Security threats with ...Stanislav Kolenkin & Igor Khoroshchenko - Knock Knock: Security threats with ...
Stanislav Kolenkin & Igor Khoroshchenko - Knock Knock: Security threats with ...NoNameCon
 
Pavlo Zhavoronkov - What is autumn like in prison camps?
Pavlo Zhavoronkov - What is autumn like in prison camps?Pavlo Zhavoronkov - What is autumn like in prison camps?
Pavlo Zhavoronkov - What is autumn like in prison camps?NoNameCon
 
Alexander Olenyev & Andrey Voloshin - Car Hacking: Yes, You can do that!
Alexander Olenyev & Andrey Voloshin - Car Hacking: Yes, You can do that!Alexander Olenyev & Andrey Voloshin - Car Hacking: Yes, You can do that!
Alexander Olenyev & Andrey Voloshin - Car Hacking: Yes, You can do that!NoNameCon
 
Kostiantyn Korsun - State Cybersecurity vs. Cybersecurity of the State. #FRD ...
Kostiantyn Korsun - State Cybersecurity vs. Cybersecurity of the State. #FRD ...Kostiantyn Korsun - State Cybersecurity vs. Cybersecurity of the State. #FRD ...
Kostiantyn Korsun - State Cybersecurity vs. Cybersecurity of the State. #FRD ...NoNameCon
 
Eugene Pilyankevich - Getting Secure Against Challenges Or Getting Security C...
Eugene Pilyankevich - Getting Secure Against Challenges Or Getting Security C...Eugene Pilyankevich - Getting Secure Against Challenges Or Getting Security C...
Eugene Pilyankevich - Getting Secure Against Challenges Or Getting Security C...NoNameCon
 
Alexander Olenyev & Andrey Voloshin - Car Hacking 101 by NoNameCon
Alexander Olenyev & Andrey Voloshin - Car Hacking 101 by NoNameConAlexander Olenyev & Andrey Voloshin - Car Hacking 101 by NoNameCon
Alexander Olenyev & Andrey Voloshin - Car Hacking 101 by NoNameConNoNameCon
 
Stas Kolenkin & Taras Bobalo - CloudFlare Recon Workshop
Stas Kolenkin & Taras Bobalo - CloudFlare Recon WorkshopStas Kolenkin & Taras Bobalo - CloudFlare Recon Workshop
Stas Kolenkin & Taras Bobalo - CloudFlare Recon WorkshopNoNameCon
 
Serhii Korolenko - Passing Security By
Serhii Korolenko - Passing Security BySerhii Korolenko - Passing Security By
Serhii Korolenko - Passing Security ByNoNameCon
 
Serhii Aleynikov - Remote Forensics of a Linux Server Without Physical Access
Serhii Aleynikov - Remote Forensics of a Linux Server Without Physical AccessSerhii Aleynikov - Remote Forensics of a Linux Server Without Physical Access
Serhii Aleynikov - Remote Forensics of a Linux Server Without Physical AccessNoNameCon
 

More from NoNameCon (20)

Help, my browser is leaking! Exploring XSLeaks attacks and defenses - Tom Van...
Help, my browser is leaking! Exploring XSLeaks attacks and defenses - Tom Van...Help, my browser is leaking! Exploring XSLeaks attacks and defenses - Tom Van...
Help, my browser is leaking! Exploring XSLeaks attacks and defenses - Tom Van...
 
Anastasiia Vixentael – Encryption basics [NoName CyberKids]
Anastasiia Vixentael – Encryption basics [NoName CyberKids]Anastasiia Vixentael – Encryption basics [NoName CyberKids]
Anastasiia Vixentael – Encryption basics [NoName CyberKids]
 
Ihor Malchenyuk – What is privacy and how to protect it [NoName CyberKids]
Ihor Malchenyuk – What is privacy and how to protect it [NoName CyberKids]Ihor Malchenyuk – What is privacy and how to protect it [NoName CyberKids]
Ihor Malchenyuk – What is privacy and how to protect it [NoName CyberKids]
 
Olha Pasko - Hunting fileless malware [workshop]
Olha Pasko - Hunting fileless malware [workshop] Olha Pasko - Hunting fileless malware [workshop]
Olha Pasko - Hunting fileless malware [workshop]
 
Nazar Tymoshyk - Automation in modern Incident Detection & Response (IDR) pro...
Nazar Tymoshyk - Automation in modern Incident Detection & Response (IDR) pro...Nazar Tymoshyk - Automation in modern Incident Detection & Response (IDR) pro...
Nazar Tymoshyk - Automation in modern Incident Detection & Response (IDR) pro...
 
Ruslan Kiyanchuk - Калина, Купина, та інша флора вітчизняної криптографії
Ruslan Kiyanchuk - Калина, Купина, та інша флора вітчизняної криптографіїRuslan Kiyanchuk - Калина, Купина, та інша флора вітчизняної криптографії
Ruslan Kiyanchuk - Калина, Купина, та інша флора вітчизняної криптографії
 
Artem Storozhuk - Search over encrypted records: from academic dreams to prod...
Artem Storozhuk - Search over encrypted records: from academic dreams to prod...Artem Storozhuk - Search over encrypted records: from academic dreams to prod...
Artem Storozhuk - Search over encrypted records: from academic dreams to prod...
 
Stephanie Vanroelen - Mobile Anti-Virus apps exposed
Stephanie Vanroelen - Mobile Anti-Virus apps exposedStephanie Vanroelen - Mobile Anti-Virus apps exposed
Stephanie Vanroelen - Mobile Anti-Virus apps exposed
 
Oksana Safronova - Will you detect it or not? How to check if security team i...
Oksana Safronova - Will you detect it or not? How to check if security team i...Oksana Safronova - Will you detect it or not? How to check if security team i...
Oksana Safronova - Will you detect it or not? How to check if security team i...
 
Bert Heitink - 10 major steps for Cybersecurity
Bert Heitink - 10 major steps for CybersecurityBert Heitink - 10 major steps for Cybersecurity
Bert Heitink - 10 major steps for Cybersecurity
 
Ievgen Kulyk - Advanced reverse engineering techniques in unpacking
Ievgen Kulyk - Advanced reverse engineering techniques in unpackingIevgen Kulyk - Advanced reverse engineering techniques in unpacking
Ievgen Kulyk - Advanced reverse engineering techniques in unpacking
 
Stanislav Kolenkin & Igor Khoroshchenko - Knock Knock: Security threats with ...
Stanislav Kolenkin & Igor Khoroshchenko - Knock Knock: Security threats with ...Stanislav Kolenkin & Igor Khoroshchenko - Knock Knock: Security threats with ...
Stanislav Kolenkin & Igor Khoroshchenko - Knock Knock: Security threats with ...
 
Pavlo Zhavoronkov - What is autumn like in prison camps?
Pavlo Zhavoronkov - What is autumn like in prison camps?Pavlo Zhavoronkov - What is autumn like in prison camps?
Pavlo Zhavoronkov - What is autumn like in prison camps?
 
Alexander Olenyev & Andrey Voloshin - Car Hacking: Yes, You can do that!
Alexander Olenyev & Andrey Voloshin - Car Hacking: Yes, You can do that!Alexander Olenyev & Andrey Voloshin - Car Hacking: Yes, You can do that!
Alexander Olenyev & Andrey Voloshin - Car Hacking: Yes, You can do that!
 
Kostiantyn Korsun - State Cybersecurity vs. Cybersecurity of the State. #FRD ...
Kostiantyn Korsun - State Cybersecurity vs. Cybersecurity of the State. #FRD ...Kostiantyn Korsun - State Cybersecurity vs. Cybersecurity of the State. #FRD ...
Kostiantyn Korsun - State Cybersecurity vs. Cybersecurity of the State. #FRD ...
 
Eugene Pilyankevich - Getting Secure Against Challenges Or Getting Security C...
Eugene Pilyankevich - Getting Secure Against Challenges Or Getting Security C...Eugene Pilyankevich - Getting Secure Against Challenges Or Getting Security C...
Eugene Pilyankevich - Getting Secure Against Challenges Or Getting Security C...
 
Alexander Olenyev & Andrey Voloshin - Car Hacking 101 by NoNameCon
Alexander Olenyev & Andrey Voloshin - Car Hacking 101 by NoNameConAlexander Olenyev & Andrey Voloshin - Car Hacking 101 by NoNameCon
Alexander Olenyev & Andrey Voloshin - Car Hacking 101 by NoNameCon
 
Stas Kolenkin & Taras Bobalo - CloudFlare Recon Workshop
Stas Kolenkin & Taras Bobalo - CloudFlare Recon WorkshopStas Kolenkin & Taras Bobalo - CloudFlare Recon Workshop
Stas Kolenkin & Taras Bobalo - CloudFlare Recon Workshop
 
Serhii Korolenko - Passing Security By
Serhii Korolenko - Passing Security BySerhii Korolenko - Passing Security By
Serhii Korolenko - Passing Security By
 
Serhii Aleynikov - Remote Forensics of a Linux Server Without Physical Access
Serhii Aleynikov - Remote Forensics of a Linux Server Without Physical AccessSerhii Aleynikov - Remote Forensics of a Linux Server Without Physical Access
Serhii Aleynikov - Remote Forensics of a Linux Server Without Physical Access
 

Eugene Kulik & Pavel Kryvko - Executable Code Protection in ARM Systems

  • 1. Защита исполняемого кода для ARM систем Ievgen Kulyk & Pavel Kryvko
  • 2. Устройства на ARM процессорах ● Телефоны ● Планшеты ● Часы ● Автомобили ● Телевизоры и приставки к ним ● IoT
  • 3. OS под управлением ARM процессоров ● iOS, tvOS ● Android, Android TV ● Tizen ● WebOS ● Other Unix-like operating systems
  • 4. 1. Получение физического доступа к устройству. 2. Разборка, выпаивание Flash. 3. Чтение дампа карты памяти. 4. Анализ исполняемых файлов с целью выявления уязвимостей. 5. Написание эксплойта для атаки удалённых устройств. 6. Profit ! Как атакуют ARM-based устройства
  • 5. Как получить исполняемые файлы приложения Приложения сторонних разработчиков должны каким-либо образом попасть на устройство: ● Установка из market (play market, App Store и аналоги) Минусы в том, что можно выкачать приложение для дальнейшего анализа. ● Установка на устройство вместе с обновлениями Небезопасная передача по сети (слабое шифрование либо его отсутствие) позволяет перехватить трафик и извлечь исполняемые файлы. ● Установка на взломанные устройства (public root exploits, jailbreaks) С такого устройства легко скопировать исполняемые файлы приложения.
  • 6. Извлечение NAND Flash модуля NAND flash module
  • 7. Получение исполняемых файлов аппаратно ● Выпаивания flash памяти может оказаться недостаточно, если применяется шифрование. ● Многие производители не используют шифрование. ● Если даже шифрование используется, нет гарантии, что ваше приложение будет находиться на зашифрованном разделе. ● Если не получилось извлечь нужные файлы, можно попытаться сделать hardware root. После включить устройство, удаленно подключиться к нему с правами root, и попытаться извлечь файлы во время работы устройства, когда нужный раздел будет расшифрован.
  • 8. Утилиты для получения дампов файловой системы
  • 9. Приложение точно будет у атакующих ● Даже если некоторые устройства защищены хорошо, и для них неизвестны способы получения root доступа, это не говорит о том, что ваше приложение не будет установлено на устаревшее устройство. ● Шифрование не панацея – перед исполнением файл нужно расшифровать. ● Рано или поздно будет найдена уязвимость, которая позволит извлечь ваши исполняемые файлы даже из неуязвимого ранее устройства. ● Нельзя перекладывать вопросы защиты своего приложения на производителя прошивки.
  • 10. Распространённый сценарий атаки 1. Содержимое выпаянной карты памяти монтируется и становится доступным для чтения/записи на PC атакующего. 2. Атакующий видит множество бинарных файлов. Если компонент является частью прошивки, найти его может быть непросто. 3. Для поиска потенциальных целей используется grep. 4. Результаты работы grep анализируются, и предполагаемые цели дизассамблируются. Сценарий возможен благодаря: ● Наличию строк. ● Наличию отладочных символов. ● Наличию имён, описывающих назначение того или иного бинарного файла.
  • 11. Навесные упаковщики ● Защищают от статического и динамического анализа. ● Не требуют поддержки со стороны прошивки. ● Во время работы упакованный файл всегда остаётся защищённым. ● Легко расширяются. ● Имеется огромный опыт создания упаковщиков под ОС Windows.
  • 12. Основные защитные приемы упаковщика ● Шифрование ● Антиотладка ● Обфускация ● Защита импорта
  • 13. Some code Some data Some code Some data Code obfuscation Sensitive Data Library Code Original ELF Packed ELF Protection Library Data encryption Общая схема работы упаковщика Protected Code
  • 14. Внутреннее устройство ELF файлов ELF Header Program Header Table Segment 1 ... Section Header Table ● Сегменты нужны для исполнения, секции - нет. ● Секции могут полностью отсутствовать. ● Парсинг ELF-файлов должен осуществляться только на основе данных из сегментов.
  • 17. Section Headers после упаковки
  • 18. Dynamic Section после упаковки
  • 19. Relocation Section после упаковки
  • 24. Спасибо, пацаны, что пришли ! “Спасибо” в карман не положишь, а вот Raspberry PI - можно. Поэтому для вас есть несколько девайсов от наших друзей, задавайте вопросы, подходите общаться, разбирайте RPi ;) #NoNameCon P.S. Вдруг кому интересно посмотреть запакованные семплы - обращайтесь.