analyselockdownd

Investigationnumérique&terminauxAppleiOSAcquisitiondedonnées1MathieuRENARDANSSI/LAMmathieu.
renard[à]ssi.
gouv.
fr2Constat#Démocratisationdel'usageterminauxmobileenentreprise–Stockaged'informationsprofessionnelles–Sécurité,managementdesterminauxmalounonmaitrisé#Menaces–Accèsillégitimesaudonnéesprofessionnelles/réseaudel'entité–Usurpationd'identité–Atteinteàladisponibilitéduterminal#Risquesaccentuésparlecaractèremobiledesterminaux(perte,vol)#Lesterminauxmobilessontdesciblesdechoixpourlesattaquants3InvestigationnumériqueiOSOutils#FrameworkiPhoneDataProtection–Acquisitionphysique(iPhone4etinférieur)#iPhoneBackupanalyzer2–AnalysedessauvegardesiOS#CelebriteUFED–Solutioncommerciale–Acquisitionphysique(iPhone4etinférieur)–AcquisitionLogique(backup&AFC)4Investigationnumérique&terminauxAppleiOS#Lalisted'outilsd'investigationnumériquepouriOSestlimitée#Aucunoutilnepermetd'infirmerouconfirmerunecompromission#Nécessitédedévelopperdesméthodesetoutils5iPhoneArchitectureetsécuritéhttp://iphoneroot.
com/ipad-mini-gets-x-rayed-photo/#more-187116BCM43342Wi-FiSoCSKHynixH2JTDG8UD3MBR16GBNANDAppleA7APL0698SoCQualcommMDM9615MLTEModem(BaseBand)QualcommWTR1605LLTE/HSPA+/CDMA2K/TDSCDMA/EDGE/GPS(Tranceiver)NXPLPC1800M7Motioncoprocessor(CortexM3)ArchitecturematérielleLet'sopentheboxhttp://www.
chipworks.
com/en/technical-competitive-analysis/resources/blog/inside-the-iphone-5s/7A7LTEModemQualcommMDM9615M1GBDDR21GBDDSDRAMBCM43342Wi-FiSoC16/32/64GBeMMC/NANDQualcommWTR1605LLTE/HSPA+/CDMA2K/TDSCDMA/EDGE/GPSCapteurs&ContrleurLCDEcranLCD4''CamerasCMOSFrontendRadio128MBSDRAMARM64GPUUSBCoprocesseurCryptoArchitecturematérielle(Simplifiée)iPhone5S8MécanismesdesécuritéiOSEn30secondes…SecureBootApplicationsSandboxSignaturedecodeExploitmitigationiPhoneDataProtectionENTERCODE9Investigationnumérique&terminauxAppleiOSAcquisitionphysique10VulnérabilitésBootROM#ExécutiondecodevialemodeDFU(devicefirmwareupdate)–LeBootROMestenlectureseule–Fonctionnequelquesoitlaversiond'iOSinstallée–Permetdechargerlenoyauet/ouramdiskalternatifnonsignésTechniquesimilaireaubootsurunliveCD/liveUSB–AccèsenlectureaucontenusdelaNAND(APIdebasniveau)#Exploitspublics–Pwnage2:iPhone2G,iPhone3G–Steaks4uce:iPodTouch2G–Limera1n:iPhone3GS,iPad1,iPhone411RAMBootROMLLBiBootAppsRedsnow/opensnowiBECpersonnaliséNoyauetRamdiskpersonnalisésNoyauRamdiskpersonnalisésshdiBSSiBECusbmuxdsshServicesNoyauMémoireFlashExploitationetTéléchargementiBSSpersonnaliséLimera1netanalyseforensicsAcquisitiond'uneimagedelaflashNANDMODEDFUMODENORMALUSBPipe12AcquisitionphysiquededonnéesConclusion#LecturedirectedelaNAND–Acquisitiondusystèmedefichiercomplet–Récupérationdefichierseffacés#FrameworkiPhoneDataProtection–MaintenuparJeanSigvald(Sogeti)–Acquisitiond'uneimagedelaflashNAND–MontageVFL/FTLpouraccéderàl'étatactueldelapartitiondedonnées–Constructiond'unelistedetouteslesversionsdisponiblesdechaquebloclogique#PossibleuniquementsuriPhonelockdowndDemandededémarrageduserviceAFCPairingrequestServiceAFCClientAFCUSBMuxdlibmobiledevicePairingOKXMLPlist/USBpipeServiceAFCEnécoutesurleport:XXXCommandesAFCRésultatsCommuniqueravecuniPhoneServicesiTunesTerminal16InvestigationnumériqueetservicesiTunesConfiguration&userdatabasescom.
apple.
mobile.
file_relayDebugging&Instrumentationcom.
apple.
pcapdcom.
apple.
syslog_relayBackupscom.
apple.
mobilebackupcom.
apple.
mobilebackup2Fichiers&Mediascom.
apple.
afccom.
apple.
mobile.
house_arresthttps://docs.
google.
com/file/d/0B0Va1DwwuHR-TmhQcEpHR1lpT1k/editpli=117Whats0nDEMO:Démonstrationd'acquisitionLogique18AcquisitionlogiquededonnéesConclusion#RequiertL'autorisationdel'utilisateur–Déverrouillageduterminal–Extractionetutilisationdesfichiersgénéréslorsdel'appairage#Récupérationdesdonnéesstockéessurleterminal#Récupérationdefichierseffacésimpossible#Acquisitiondusystèmedefichiercompletimpossible19Investigationnumérique&terminauxAppleiOSAcquisitionLogiqueIntrusive.
/p0sixspwn20ADVISORYSECURITYINSECURITYAHEAD21JailbreakAvertissement#Cecin'estpasuneincitationàl'exploitationouauJailbreak#Jailbreak–Désactivationdesfonctionnalitésdesécuritédesterminaux–Augmentationdelasurfaced'attaque–Augmentationdurisquedecompromission#L'ANSSIincitesystématiquementleséditeursàcorrigertoutesvulnérabilitésidentifiées,danslesplusbrefsdélais#Lesutilisateurssontinvitésàappliquerlescorrectifsdèsleurspublications22JailbreakAvertissement#Cecin'estpasuneincitationàl'exploitationouauJailbreak#Jailbreak–Désactivationdesfonctionnalitésdesécuritédesterminaux–Augmentationdelasurfaced'attaque–Augmentationdurisquedecompromission#L'ANSSIincitesystématiquementleséditeursàcorrigertoutesvulnérabilitésidentifiées,danslesplusbrefsdélais#Lesutilisateurssontinvitésàappliquerlescorrectifsdèsleurspublications23#InvestigationNumérique–Collecteetidentificationdepreuve–Traabilitédesactionsréalisées–Reproductibilitédel'analyse#Jailbreak–Désactivationdesfonctionnalitésdesécurité–Modificationspersistantes–Absencededocumentationdesmodifications#Incompatiblesaveclesobjectifsdel'investigation–ConservationdelapreuveInvestigationnumériqueetJailbreakJailbreak24AnalysedesJailbreaksevasi0n7etp0sixpwn#Identificationdesmodificationsréaliséessurlesystème#Identificationdetechniquesutilisablesdanslecontexteforensique#ApplicationdestechniquesdeJailbreakàl'analyseforensique–Réductiondel'impactsurlesystème–Maitriseettraabilitédesmodifications#Activationtemporaired'unecopiedéverrouilléeduservice–Permetd'acquérirl'intégralitédesfichiers–Impactsurlesystèmevariableenfonctiondelaversiond'iOS–Impactmatrisé25DébridageduserviceAFCiOS6.
x.
x-MobileStorageMounter#com.
apple.
mobile_image_mounter–ServiceutilisépourmonterdesimagesDMGsignées–Montagedesoutilsdedéveloppement–MontagedesoutilsdemiseàjourOTAiOS6#RaceconditiondansMobileStorageMounter–VulnérabilitéidentifiéeparComex–Leakducoded'exploitation(2013)–Réutilisationducodepar.
/p0sixspwn(2013)–Autoriselemontaged'uneimageDMGnonsignée26DébridageduserviceAFCiOS6.
x.
x:Racecondition&MobileStorageMounter#Montaged'uneimageDMG–Téléchargementdel'imagedans/var/mobile/Media–Calculdel'empreinte–Vérificationdelasignature–Déplacementl'imagedansunezonenonaccessible–Montagedel'image#Absencedeverrouentrelecalculdel'empreinteetlemontage–Possibilitéderemplacerl'imageaprèsvérification27DébridageduserviceAFCiOS6.
x.
x.
/p0sixSpwnstyle#Créationd'uneimagepersonnalisée–Fichierdeconfigurationd'unserviceAFCpersonnaliséExécutiondepuislerépertoireracine(option-d/)Autorisationd'accèsauxfichiersspéciaux(option-S)#Téléchargementdel'imagesignéeetdel'imagepersonnalisée#Remplacementdel'imagesingéparuneimagepersonnalisée#DemandededémarrageduserviceAFCdébridé28ShareUnl0ckDEMO:AcquisitionLogiqueintrusiveiOS6.
x.
x29DébridageduserviceAFCLecasd'iOS7.
0.
x-Elémentsdecontexte#com.
apple.
afc–Servicedetransfertdefichiers–Servicegérépar/usr/libexec/afcd–UtilisépariTuneslorsdesphasesdesynchronisation–Accèslimitéauxcontenusdurépertoire/var/mobile/Media–Possibilitéd'accèsauxcontenusdesapplicationstierces#Activationtemporaired'unecopiedéverrouilléeduservice–DémarrageduserviceAFCàl'aidedelockdowndimpossible–VulnérabilitésutiliséesparlesJailbreaksprécédantcorrigées–Systèmedefichierenlectureseul–Impossibledecréerunexécutabledansunrépertoirecontrléparl'utilisateur–AfcdInitialisesapropresandboxlorsdudémarrage/usr/lib/system/libsystem_sandbox.
dylib30DébridageduserviceAFCiOS7.
0.
x–Notyetanotherevasi0n…Créationd'unfichierRWXShareUnl0ckModificationdufichierRWXRemplacementdeShareUnl0ckparunshebang#!
/usr/libexec/afcdContournementdelasandboxafcdCréationd'unebibliothèque:ShareUnl0ck.
dylibChargementdeShareUnl0ck.
dylibaudémarragedeShareUnl0ckModificationdecom.
apple.
mobile.
installation.
plisthttp://geohot.
com/e7writeup.
htmlhttp://evasi0n.
com/ExécutiondeShareUnl0ckDébridagedeafcd31DébridageduserviceAFCObtentiond'unfichierdisposantdesdroitsRWX#installd–Serviceenchargedel'installationdesapplications#Directorytraversaldansinstalld–Requiertl'utilisationd'uneapplicationsignéeparApple–Extractiondel'application–Téléchargementducontenudupaquetdel'applicationsurleterminal/var/mobile/Media/–Modificationduchemindel'exécutabledanslefichierinfo.
plistCFBundleExecutablevar/mobile/Media/myapp.
app/myapp–Reconstructiondupaquetdel'applicationCustomApp.
ipa–Installationdel'applicationmodifiéeInstalld=>chmod+xvar/mobile/Media/myapp.
app/myapphttp://geohot.
com/e7writeup.
htmlhttp://evasi0n.
com/32DébridageduserviceAFCConfigurationduserviceAFC#Modificationdufichierexécutabledéployédans/var/mobile/media#Acestade,leserviceAFCesttoujourssoumis–Alapolitiqued'isolationdusystème#Leserviceafcdinitialisesapropresandbox–/usr/lib/system/libsystem_sandbox.
dylib#Possibilitéd'interposerunebibliothèquespécialementconuepourinterdirel'initialisationdelasandbox#!
/usr/libexec/afcd-S-d/-p8888http://geohot.
com/e7writeup.
htmlhttp://evasi0n.
com/33DébridageduserviceAFCContournementdelaSandbox#Re-exportationdesfonctionsàl'aidedeLazyBindings–Techniqueintroduitedansevasi0n(iOS6)–PrésentationdétailléesurleblogdeQuarksLab#Contournementdelasignaturedecode–S_ATTR_LOC_RELOCdéfinispourtouteslessectionsexécutables–+xretirédechaquesectionexécutables:AprèsvérificationduheaderMaisavantlemappageenmémoirepourvérificationdelasignaturehttp://blog.
quarkslab.
com/evasi0n-jailbreak-precisions-on-stage-3.
htmlhttp://geohot.
com/e7writeup.
htmlMACH-OKungFu34DébridageduserviceAFCModificationdesvariablesd'environnement#Chargementdelabibliothèquenonsignée–Utilisationdelavariabled'environnementDYLD_INSERT_LIBRARY–Lectureducontenudufichiercom.
apple.
installation.
plist/private/var/mobile/Library/Cache/com.
apple.
mobile.
installation.
plistContientlesparamètresdelancementdesapplicationsTéléchargeablevialeservice:com.
apple.
mobile.
file_relay#Modificationducontenudufichiercom.
apple.
installtion.
plistImpossibleenfonctionnementnominalhttp://geohot.
com/e7writeup.
htmlhttp://evasi0n.
com/35DébridageduserviceAFCModificationdesvariablesd'environnement#installd–Serviceenchargedel'installationdesapplicationsAppleiOSsignées–Nonsoumisauxrèglesd'isolationimposéesparlasandbox#Raceconditiondansinstalld–Extractionducontenud'unfichierzipsurlesystème–L'extractionducontenudelachargeactivedanslerépertoire:var/mobile/Library/Caches/–Permetd'actualisercom.
apple.
mobile.
installation.
plist–Requiertunaccèsaurépertoire/tmphttp://geohot.
com/e7writeup.
htmlhttp://evasi0n.
com/36DébridageduserviceAFCChargementdelabibliothèquenonsignée#com.
apple.
afc–Servicegérépar/usr/libexec/afcd–UtilisépariTuneslorsdesphasesdesynchronisation–Accèslimitéauxcontenusdurépertoire/var/mobile/Media–Possibilitéd'accèsauxcontenusdesapplicationstierces–Intègredesfonctionsencharged'interdireledirectorytraversal#Directorytraversal&afcd–Lorsdelacréationd'unliensymboliqueafcdcomptelenombrede.
.
/–Interdictiond'accèsauxfichierssituésàl'extérieurdurépertoireracine–Ledéplacementduliendansunrépertoiredeniveauinférieurpermetdecontournercemécanismedeprotectionhttp://geohot.
com/e7writeup.
htmlhttp://evasi0n.
com/37DébridageduserviceAFCMiseàjourducacheetdémarrageduservice#Rechargementdescaches–com.
apple.
mobile.
installation.
plist,…–Utilisationduservicecom.
apple.
diagnostique_relay–Redémarragelesystème#LancementduserviceAFCdébridé–Lancementdel'applicationmodifiéeparl'analysteShareUnl0ckhttp://geohot.
com/e7writeup.
htmlhttp://evasi0n.
com/38ShareUnl0ckDEMO:AcquisitionLogiqueintrusiveiOS7.
0.
x39AcquisitionlogiqueintrusiveConclusion#RequiertL'autorisationdel'utilisateur–Déverrouillageduterminal–Extractionetutilisationdesfichiersgénéréslorsdel'appairage#Récupérationdesdonnéesstockéessurleterminal#Acquisitiondusystèmedefichiercomplet#Récupérationdefichierseffacésimpossible40iOSForensicsRésultats41Analysedifférentield'unsystèmeJailbraké#Acquisitiond'uneimagederéférence–Apartird'unfirmwareApple–Apartird'unterminalApple#Comparaisondesimages–Identificationdesfichiersconnus(Listeblanche/Listenoire)–ContextTriggeredPiecewiseHashing(CTPH)InitialementdéveloppéparAndrewTridgell:détectiondespamTransposéaumondeduforensicsparJesseKornblumOutils:ssdeep,binwally42CTPHIdentificationdesmodificationssurunterminalJailbreaké25differsetc/fstab25differsprivate/etc/fstab>>>uniquetarget/var/mobile/Media/.
evasi0n7_installed>>>uniquetarget/var/mobile/Media/jailbreak.
log>>>uniquetarget/private/var/tmp/evasi0n-started[.
.
]>>>uniquetarget/System/Library/LaunchDaemons/com.
evad3rs.
evasi0n7.
untether.
plist>>>uniquetarget/System/Library/LaunchDaemons/com.
saurik.
Cydia.
Startup.
plist>>>uniquetarget/System/Library/Caches/com.
apple.
xpcd/xpcd_cache.
dylib>>>uniquetarget/System/Library/Caches/com.
apple.
dyld/enable-dylibs-to-override-cache[.
.
]>>>uniquetarget/tmp/evasi0n-started>>>uniquetarget/pri/vate/var/mobile/Media/.
evasi0n7_installed>>>uniquetarget/private/var/mobile/Media/jailbreak.
log>>>uniquetarget/evasi0n7>>>uniquetarget/evasi0n7-installed43CTPHLimites#L'analysedespériphériquesn'estpaspriseencharge–Réalisationd'uneanalysemanuelle–Identificationdedeuxpériphériquessuspects#L'imagedunoyaun'estpasmodifiée–Evasi0npatchlenoyaulorsdudémarrage/dev/hax-ptsd/dev/hax-test100matchesSystem/Library/Caches/com.
apple.
kernelcaches/kernelcache44InvestigationnumériqueetiOSCompatibilité==45Compatibilitédesméthodesd'acquisitionsModèleAcquisitionphysique(sansjailbreak)AcquisitionlogiqueiPhone≤4OuiOui(Equipementdéverrouillé)iPhone≥4sNoniPad1OuiiPad≥2NoniPad≤2OuiVersionAcquisitionlogiquenonintrusiveAcquisitionlogiqueintrusiveiOS7.
0.
6Non46Conclusion47Conclusion1/2#Acquisitionphysiquedesdonnées–Méthodelapluspertinente–autoriselarécupérationducontenudecertainsfichierseffacés–S'affranchisdesAPIdusystème–Nes'appliquequ'auxterminauxutilisantleprocesseurAppleA4ouplus#Acquisitionlogiquenonintrusive–compatibleavectouteslesversionsdeterminauxencirculation–Inadaptéedanslecadredelarecherchedepreuvesdecompromissions48Conclusion2/2#Acquisitionlogiqueintrusive–Permetdecontournerleslimitesdelaméthodenonintrusive–S'appuiesurl'exploitationdevulnérabilité–UtiliselesAPIdusystème–Entrainedesmodifications–Extractiondusystèmedefichierspossible#Limites–Acquisitionetl'analysedelamémoireRAMimpossible–AcquisitionducodeexécutéparleBasebandimpossible–Analysedesapplicationsprovenantdel'AppStoreimpossible–ReposesurlesAPIdusystème49MercidevotreattentionQuestions