Codetronik

제가 분석한 바로는 EMET 4.1 에서는 ROP를 차단하기 위해 주요 함수들 - VirtualProtect / VitualAlloc 등을 후킹 한 뒤, 해당 함수들의 호출 지점을 디스어셈블링 하여 해당 함수가 Call로 호출되는지 판단합니다.

패킹된 EXE면 항상 Call 한다는 보장이 없기 때문에, 테스트를 해보았습니다.

해당 EXE를 빌드 후, CodeVirtualizing 하였습니다

그 다음 해당 EXE를 EMET로 보호 후, 디버거를 붙인 다음 VirtualProtect 지점에 BP를 걸었습니다.

ESP가 가리키는 리턴 주소가 0x40A277입니다. 따라가봅니다.

0x40A277 부분이 CALL이 아닌 JMP군요. 논패킹 EXE라면 아래 그림과 같이 되어있습니다.

EMET는 호출 지점이 Call이 아니면 진단합니다.

보통 ROP는 RETN / JMP 로 함수를 호출하기 때문에 이런 방어법은 강력한 차단 수단이 될 수 있지만, 패킹된 프로그램의 경우 오진이 발생하니 패킹 여부를 인식할 필요가 있을 것 같습니다. 

항상 JMP로 4바이트 점프만 해오다 JMP SHORT으로 1바이트 점프할 일이 생겨 정리를 하게 되었습니다.

결론부터 말씀드리면, 기준주소에서 -0x7E(126바이트), +0x81(129바이트) 까지 총 0xFF(255바이트) 점프할 수 있습니다.

# 앞 주소로 점프하는 경우

기준 주소 0x7243F281입니다. 최대 0x7243F203, 즉 -0x7E까지 점프할 수 있습니다.

오프셋 계산은 점프 할 주소 - 기준 주소 - 2 = 0x80

위 그림을 확인하여 주세요.

 # 뒷 주소로 점프하는 경우

 기준 주소 0x7243F281입니다. 최대 0x7243F302, 즉 +0x81까지 점프할 수 있습니다.

오프셋 계산은 점프 할 주소 - 기준 주소 - 2 = 0x7F

위 그림을 확인하여 주세요.

최근 자주 쓰이는 공격 기법중에 하나가 ROP 공격이며, exploit들을 검색해 보셨다면 한번 쯤은 접해보셨을 것입니다.

ROP는 Return Oriented Programming의 약자이며,

int function() { return 0; }

흔히 볼 수 있는 위와 같은 유형을 리턴 기반의 프로그래밍이라고 합니다..

그러나 통상적으로 ROP를 일컬을 때는 메모리 상의 명령어들을 모아서 리턴 기반으로 명령어들을 순차적으로 실행하는 것을 말합니다

무슨말인지 감이 잘 안오시죠? 예제 소스를 보면서 설명하겠습니다.

#include "stdafx.h" #include <Windows.h> /* 테스팅 환경 OS - Windows 7 SP1 x64 Dev Tool - Visual Studio 2010 ROP Using File - C:\windows\syswow64\msvcrt.dll File Version - 7.0.7601.17744 File MD5 - 9DC80A8AAAAAC397BDAB3C67165A824E */ char rop_gadget[] = "\xB5\x00\x99\x75" // NOP # RETN "\x15\x02\x99\x75" // NOP # RETN "\x4D\xEA\x9D\x75"; // NOP # RETN void attack() { char a; memcpy((&a)+5, rop_gadget, sizeof(rop_gadget)); } int _tmain(int argc, _TCHAR* argv[]) { attack(); return 0; }

attack() 함수를 보면 전형적으로 리턴 주소를 덮어씌우는 공격입니다.

attack()의 수행 후 return 시 main() 함수로 되돌아 가야 하지만 &a+5로 인하여 main()으로 가는 리턴 주소는 rop_gadget 변수로 덮어 씌어졌습니다.

이로써 ROP의 개념을 살펴보았고 다음 편에서는 좀 더 심화된 내용을 다루겠습니다.