analyselockdownd
lockdownd 时间:2021-02-20 阅读:()
Investigationnumérique&terminauxAppleiOSAcquisitiondedonnées1MathieuRENARDANSSI/LAMmathieu.
renard[à]ssi.
gouv.
fr2Constat#Démocratisationdel'usageterminauxmobileenentreprise–Stockaged'informationsprofessionnelles–Sécurité,managementdesterminauxmalounonmaitrisé#Menaces–Accèsillégitimesaudonnéesprofessionnelles/réseaudel'entité–Usurpationd'identité–Atteinteàladisponibilitéduterminal#Risquesaccentuésparlecaractèremobiledesterminaux(perte,vol)#Lesterminauxmobilessontdesciblesdechoixpourlesattaquants3InvestigationnumériqueiOSOutils#FrameworkiPhoneDataProtection–Acquisitionphysique(iPhone4etinférieur)#iPhoneBackupanalyzer2–AnalysedessauvegardesiOS#CelebriteUFED–Solutioncommerciale–Acquisitionphysique(iPhone4etinférieur)–AcquisitionLogique(backup&AFC)4Investigationnumérique&terminauxAppleiOS#Lalisted'outilsd'investigationnumériquepouriOSestlimitée#Aucunoutilnepermetd'infirmerouconfirmerunecompromission#Nécessitédedévelopperdesméthodesetoutils5iPhoneArchitectureetsécuritéhttp://iphoneroot.
com/ipad-mini-gets-x-rayed-photo/#more-187116BCM43342Wi-FiSoCSKHynixH2JTDG8UD3MBR16GBNANDAppleA7APL0698SoCQualcommMDM9615MLTEModem(BaseBand)QualcommWTR1605LLTE/HSPA+/CDMA2K/TDSCDMA/EDGE/GPS(Tranceiver)NXPLPC1800M7Motioncoprocessor(CortexM3)ArchitecturematérielleLet'sopentheboxhttp://www.
chipworks.
com/en/technical-competitive-analysis/resources/blog/inside-the-iphone-5s/7A7LTEModemQualcommMDM9615M1GBDDR21GBDDSDRAMBCM43342Wi-FiSoC16/32/64GBeMMC/NANDQualcommWTR1605LLTE/HSPA+/CDMA2K/TDSCDMA/EDGE/GPSCapteurs&ContrleurLCDEcranLCD4''CamerasCMOSFrontendRadio128MBSDRAMARM64GPUUSBCoprocesseurCryptoArchitecturematérielle(Simplifiée)iPhone5S8MécanismesdesécuritéiOSEn30secondes…SecureBootApplicationsSandboxSignaturedecodeExploitmitigationiPhoneDataProtectionENTERCODE9Investigationnumérique&terminauxAppleiOSAcquisitionphysique10VulnérabilitésBootROM#ExécutiondecodevialemodeDFU(devicefirmwareupdate)–LeBootROMestenlectureseule–Fonctionnequelquesoitlaversiond'iOSinstallée–Permetdechargerlenoyauet/ouramdiskalternatifnonsignésTechniquesimilaireaubootsurunliveCD/liveUSB–AccèsenlectureaucontenusdelaNAND(APIdebasniveau)#Exploitspublics–Pwnage2:iPhone2G,iPhone3G–Steaks4uce:iPodTouch2G–Limera1n:iPhone3GS,iPad1,iPhone411RAMBootROMLLBiBootAppsRedsnow/opensnowiBECpersonnaliséNoyauetRamdiskpersonnalisésNoyauRamdiskpersonnalisésshdiBSSiBECusbmuxdsshServicesNoyauMémoireFlashExploitationetTéléchargementiBSSpersonnaliséLimera1netanalyseforensicsAcquisitiond'uneimagedelaflashNANDMODEDFUMODENORMALUSBPipe12AcquisitionphysiquededonnéesConclusion#LecturedirectedelaNAND–Acquisitiondusystèmedefichiercomplet–Récupérationdefichierseffacés#FrameworkiPhoneDataProtection–MaintenuparJeanSigvald(Sogeti)–Acquisitiond'uneimagedelaflashNAND–MontageVFL/FTLpouraccéderàl'étatactueldelapartitiondedonnées–Constructiond'unelistedetouteslesversionsdisponiblesdechaquebloclogique#PossibleuniquementsuriPhonelockdowndDemandededémarrageduserviceAFCPairingrequestServiceAFCClientAFCUSBMuxdlibmobiledevicePairingOKXMLPlist/USBpipeServiceAFCEnécoutesurleport:XXXCommandesAFCRésultatsCommuniqueravecuniPhoneServicesiTunesTerminal16InvestigationnumériqueetservicesiTunesConfiguration&userdatabasescom.
apple.
mobile.
file_relayDebugging&Instrumentationcom.
apple.
pcapdcom.
apple.
syslog_relayBackupscom.
apple.
mobilebackupcom.
apple.
mobilebackup2Fichiers&Mediascom.
apple.
afccom.
apple.
mobile.
house_arresthttps://docs.
google.
com/file/d/0B0Va1DwwuHR-TmhQcEpHR1lpT1k/editpli=117Whats0nDEMO:Démonstrationd'acquisitionLogique18AcquisitionlogiquededonnéesConclusion#RequiertL'autorisationdel'utilisateur–Déverrouillageduterminal–Extractionetutilisationdesfichiersgénéréslorsdel'appairage#Récupérationdesdonnéesstockéessurleterminal#Récupérationdefichierseffacésimpossible#Acquisitiondusystèmedefichiercompletimpossible19Investigationnumérique&terminauxAppleiOSAcquisitionLogiqueIntrusive.
/p0sixspwn20ADVISORYSECURITYINSECURITYAHEAD21JailbreakAvertissement#Cecin'estpasuneincitationàl'exploitationouauJailbreak#Jailbreak–Désactivationdesfonctionnalitésdesécuritédesterminaux–Augmentationdelasurfaced'attaque–Augmentationdurisquedecompromission#L'ANSSIincitesystématiquementleséditeursàcorrigertoutesvulnérabilitésidentifiées,danslesplusbrefsdélais#Lesutilisateurssontinvitésàappliquerlescorrectifsdèsleurspublications22JailbreakAvertissement#Cecin'estpasuneincitationàl'exploitationouauJailbreak#Jailbreak–Désactivationdesfonctionnalitésdesécuritédesterminaux–Augmentationdelasurfaced'attaque–Augmentationdurisquedecompromission#L'ANSSIincitesystématiquementleséditeursàcorrigertoutesvulnérabilitésidentifiées,danslesplusbrefsdélais#Lesutilisateurssontinvitésàappliquerlescorrectifsdèsleurspublications23#InvestigationNumérique–Collecteetidentificationdepreuve–Traabilitédesactionsréalisées–Reproductibilitédel'analyse#Jailbreak–Désactivationdesfonctionnalitésdesécurité–Modificationspersistantes–Absencededocumentationdesmodifications#Incompatiblesaveclesobjectifsdel'investigation–ConservationdelapreuveInvestigationnumériqueetJailbreakJailbreak24AnalysedesJailbreaksevasi0n7etp0sixpwn#Identificationdesmodificationsréaliséessurlesystème#Identificationdetechniquesutilisablesdanslecontexteforensique#ApplicationdestechniquesdeJailbreakàl'analyseforensique–Réductiondel'impactsurlesystème–Maitriseettraabilitédesmodifications#Activationtemporaired'unecopiedéverrouilléeduservice–Permetd'acquérirl'intégralitédesfichiers–Impactsurlesystèmevariableenfonctiondelaversiond'iOS–Impactmatrisé25DébridageduserviceAFCiOS6.
x.
x-MobileStorageMounter#com.
apple.
mobile_image_mounter–ServiceutilisépourmonterdesimagesDMGsignées–Montagedesoutilsdedéveloppement–MontagedesoutilsdemiseàjourOTAiOS6#RaceconditiondansMobileStorageMounter–VulnérabilitéidentifiéeparComex–Leakducoded'exploitation(2013)–Réutilisationducodepar.
/p0sixspwn(2013)–Autoriselemontaged'uneimageDMGnonsignée26DébridageduserviceAFCiOS6.
x.
x:Racecondition&MobileStorageMounter#Montaged'uneimageDMG–Téléchargementdel'imagedans/var/mobile/Media–Calculdel'empreinte–Vérificationdelasignature–Déplacementl'imagedansunezonenonaccessible–Montagedel'image#Absencedeverrouentrelecalculdel'empreinteetlemontage–Possibilitéderemplacerl'imageaprèsvérification27DébridageduserviceAFCiOS6.
x.
x.
/p0sixSpwnstyle#Créationd'uneimagepersonnalisée–Fichierdeconfigurationd'unserviceAFCpersonnaliséExécutiondepuislerépertoireracine(option-d/)Autorisationd'accèsauxfichiersspéciaux(option-S)#Téléchargementdel'imagesignéeetdel'imagepersonnalisée#Remplacementdel'imagesingéparuneimagepersonnalisée#DemandededémarrageduserviceAFCdébridé28ShareUnl0ckDEMO:AcquisitionLogiqueintrusiveiOS6.
x.
x29DébridageduserviceAFCLecasd'iOS7.
0.
x-Elémentsdecontexte#com.
apple.
afc–Servicedetransfertdefichiers–Servicegérépar/usr/libexec/afcd–UtilisépariTuneslorsdesphasesdesynchronisation–Accèslimitéauxcontenusdurépertoire/var/mobile/Media–Possibilitéd'accèsauxcontenusdesapplicationstierces#Activationtemporaired'unecopiedéverrouilléeduservice–DémarrageduserviceAFCàl'aidedelockdowndimpossible–VulnérabilitésutiliséesparlesJailbreaksprécédantcorrigées–Systèmedefichierenlectureseul–Impossibledecréerunexécutabledansunrépertoirecontrléparl'utilisateur–AfcdInitialisesapropresandboxlorsdudémarrage/usr/lib/system/libsystem_sandbox.
dylib30DébridageduserviceAFCiOS7.
0.
x–Notyetanotherevasi0n…Créationd'unfichierRWXShareUnl0ckModificationdufichierRWXRemplacementdeShareUnl0ckparunshebang#!
/usr/libexec/afcdContournementdelasandboxafcdCréationd'unebibliothèque:ShareUnl0ck.
dylibChargementdeShareUnl0ck.
dylibaudémarragedeShareUnl0ckModificationdecom.
apple.
mobile.
installation.
plisthttp://geohot.
com/e7writeup.
htmlhttp://evasi0n.
com/ExécutiondeShareUnl0ckDébridagedeafcd31DébridageduserviceAFCObtentiond'unfichierdisposantdesdroitsRWX#installd–Serviceenchargedel'installationdesapplications#Directorytraversaldansinstalld–Requiertl'utilisationd'uneapplicationsignéeparApple–Extractiondel'application–Téléchargementducontenudupaquetdel'applicationsurleterminal/var/mobile/Media/–Modificationduchemindel'exécutabledanslefichierinfo.
plistCFBundleExecutablevar/mobile/Media/myapp.
app/myapp–Reconstructiondupaquetdel'applicationCustomApp.
ipa–Installationdel'applicationmodifiéeInstalld=>chmod+xvar/mobile/Media/myapp.
app/myapphttp://geohot.
com/e7writeup.
htmlhttp://evasi0n.
com/32DébridageduserviceAFCConfigurationduserviceAFC#Modificationdufichierexécutabledéployédans/var/mobile/media#Acestade,leserviceAFCesttoujourssoumis–Alapolitiqued'isolationdusystème#Leserviceafcdinitialisesapropresandbox–/usr/lib/system/libsystem_sandbox.
dylib#Possibilitéd'interposerunebibliothèquespécialementconuepourinterdirel'initialisationdelasandbox#!
/usr/libexec/afcd-S-d/-p8888http://geohot.
com/e7writeup.
htmlhttp://evasi0n.
com/33DébridageduserviceAFCContournementdelaSandbox#Re-exportationdesfonctionsàl'aidedeLazyBindings–Techniqueintroduitedansevasi0n(iOS6)–PrésentationdétailléesurleblogdeQuarksLab#Contournementdelasignaturedecode–S_ATTR_LOC_RELOCdéfinispourtouteslessectionsexécutables–+xretirédechaquesectionexécutables:AprèsvérificationduheaderMaisavantlemappageenmémoirepourvérificationdelasignaturehttp://blog.
quarkslab.
com/evasi0n-jailbreak-precisions-on-stage-3.
htmlhttp://geohot.
com/e7writeup.
htmlMACH-OKungFu34DébridageduserviceAFCModificationdesvariablesd'environnement#Chargementdelabibliothèquenonsignée–Utilisationdelavariabled'environnementDYLD_INSERT_LIBRARY–Lectureducontenudufichiercom.
apple.
installation.
plist/private/var/mobile/Library/Cache/com.
apple.
mobile.
installation.
plistContientlesparamètresdelancementdesapplicationsTéléchargeablevialeservice:com.
apple.
mobile.
file_relay#Modificationducontenudufichiercom.
apple.
installtion.
plistImpossibleenfonctionnementnominalhttp://geohot.
com/e7writeup.
htmlhttp://evasi0n.
com/35DébridageduserviceAFCModificationdesvariablesd'environnement#installd–Serviceenchargedel'installationdesapplicationsAppleiOSsignées–Nonsoumisauxrèglesd'isolationimposéesparlasandbox#Raceconditiondansinstalld–Extractionducontenud'unfichierzipsurlesystème–L'extractionducontenudelachargeactivedanslerépertoire:var/mobile/Library/Caches/–Permetd'actualisercom.
apple.
mobile.
installation.
plist–Requiertunaccèsaurépertoire/tmphttp://geohot.
com/e7writeup.
htmlhttp://evasi0n.
com/36DébridageduserviceAFCChargementdelabibliothèquenonsignée#com.
apple.
afc–Servicegérépar/usr/libexec/afcd–UtilisépariTuneslorsdesphasesdesynchronisation–Accèslimitéauxcontenusdurépertoire/var/mobile/Media–Possibilitéd'accèsauxcontenusdesapplicationstierces–Intègredesfonctionsencharged'interdireledirectorytraversal#Directorytraversal&afcd–Lorsdelacréationd'unliensymboliqueafcdcomptelenombrede.
.
/–Interdictiond'accèsauxfichierssituésàl'extérieurdurépertoireracine–Ledéplacementduliendansunrépertoiredeniveauinférieurpermetdecontournercemécanismedeprotectionhttp://geohot.
com/e7writeup.
htmlhttp://evasi0n.
com/37DébridageduserviceAFCMiseàjourducacheetdémarrageduservice#Rechargementdescaches–com.
apple.
mobile.
installation.
plist,…–Utilisationduservicecom.
apple.
diagnostique_relay–Redémarragelesystème#LancementduserviceAFCdébridé–Lancementdel'applicationmodifiéeparl'analysteShareUnl0ckhttp://geohot.
com/e7writeup.
htmlhttp://evasi0n.
com/38ShareUnl0ckDEMO:AcquisitionLogiqueintrusiveiOS7.
0.
x39AcquisitionlogiqueintrusiveConclusion#RequiertL'autorisationdel'utilisateur–Déverrouillageduterminal–Extractionetutilisationdesfichiersgénéréslorsdel'appairage#Récupérationdesdonnéesstockéessurleterminal#Acquisitiondusystèmedefichiercomplet#Récupérationdefichierseffacésimpossible40iOSForensicsRésultats41Analysedifférentield'unsystèmeJailbraké#Acquisitiond'uneimagederéférence–Apartird'unfirmwareApple–Apartird'unterminalApple#Comparaisondesimages–Identificationdesfichiersconnus(Listeblanche/Listenoire)–ContextTriggeredPiecewiseHashing(CTPH)InitialementdéveloppéparAndrewTridgell:détectiondespamTransposéaumondeduforensicsparJesseKornblumOutils:ssdeep,binwally42CTPHIdentificationdesmodificationssurunterminalJailbreaké25differsetc/fstab25differsprivate/etc/fstab>>>uniquetarget/var/mobile/Media/.
evasi0n7_installed>>>uniquetarget/var/mobile/Media/jailbreak.
log>>>uniquetarget/private/var/tmp/evasi0n-started[.
.
]>>>uniquetarget/System/Library/LaunchDaemons/com.
evad3rs.
evasi0n7.
untether.
plist>>>uniquetarget/System/Library/LaunchDaemons/com.
saurik.
Cydia.
Startup.
plist>>>uniquetarget/System/Library/Caches/com.
apple.
xpcd/xpcd_cache.
dylib>>>uniquetarget/System/Library/Caches/com.
apple.
dyld/enable-dylibs-to-override-cache[.
.
]>>>uniquetarget/tmp/evasi0n-started>>>uniquetarget/pri/vate/var/mobile/Media/.
evasi0n7_installed>>>uniquetarget/private/var/mobile/Media/jailbreak.
log>>>uniquetarget/evasi0n7>>>uniquetarget/evasi0n7-installed43CTPHLimites#L'analysedespériphériquesn'estpaspriseencharge–Réalisationd'uneanalysemanuelle–Identificationdedeuxpériphériquessuspects#L'imagedunoyaun'estpasmodifiée–Evasi0npatchlenoyaulorsdudémarrage/dev/hax-ptsd/dev/hax-test100matchesSystem/Library/Caches/com.
apple.
kernelcaches/kernelcache44InvestigationnumériqueetiOSCompatibilité==45Compatibilitédesméthodesd'acquisitionsModèleAcquisitionphysique(sansjailbreak)AcquisitionlogiqueiPhone≤4OuiOui(Equipementdéverrouillé)iPhone≥4sNoniPad1OuiiPad≥2NoniPad≤2OuiVersionAcquisitionlogiquenonintrusiveAcquisitionlogiqueintrusiveiOS7.
0.
6Non46Conclusion47Conclusion1/2#Acquisitionphysiquedesdonnées–Méthodelapluspertinente–autoriselarécupérationducontenudecertainsfichierseffacés–S'affranchisdesAPIdusystème–Nes'appliquequ'auxterminauxutilisantleprocesseurAppleA4ouplus#Acquisitionlogiquenonintrusive–compatibleavectouteslesversionsdeterminauxencirculation–Inadaptéedanslecadredelarecherchedepreuvesdecompromissions48Conclusion2/2#Acquisitionlogiqueintrusive–Permetdecontournerleslimitesdelaméthodenonintrusive–S'appuiesurl'exploitationdevulnérabilité–UtiliselesAPIdusystème–Entrainedesmodifications–Extractiondusystèmedefichierspossible#Limites–Acquisitionetl'analysedelamémoireRAMimpossible–AcquisitionducodeexécutéparleBasebandimpossible–Analysedesapplicationsprovenantdel'AppStoreimpossible–ReposesurlesAPIdusystème49MercidevotreattentionQuestions
renard[à]ssi.
gouv.
fr2Constat#Démocratisationdel'usageterminauxmobileenentreprise–Stockaged'informationsprofessionnelles–Sécurité,managementdesterminauxmalounonmaitrisé#Menaces–Accèsillégitimesaudonnéesprofessionnelles/réseaudel'entité–Usurpationd'identité–Atteinteàladisponibilitéduterminal#Risquesaccentuésparlecaractèremobiledesterminaux(perte,vol)#Lesterminauxmobilessontdesciblesdechoixpourlesattaquants3InvestigationnumériqueiOSOutils#FrameworkiPhoneDataProtection–Acquisitionphysique(iPhone4etinférieur)#iPhoneBackupanalyzer2–AnalysedessauvegardesiOS#CelebriteUFED–Solutioncommerciale–Acquisitionphysique(iPhone4etinférieur)–AcquisitionLogique(backup&AFC)4Investigationnumérique&terminauxAppleiOS#Lalisted'outilsd'investigationnumériquepouriOSestlimitée#Aucunoutilnepermetd'infirmerouconfirmerunecompromission#Nécessitédedévelopperdesméthodesetoutils5iPhoneArchitectureetsécuritéhttp://iphoneroot.
com/ipad-mini-gets-x-rayed-photo/#more-187116BCM43342Wi-FiSoCSKHynixH2JTDG8UD3MBR16GBNANDAppleA7APL0698SoCQualcommMDM9615MLTEModem(BaseBand)QualcommWTR1605LLTE/HSPA+/CDMA2K/TDSCDMA/EDGE/GPS(Tranceiver)NXPLPC1800M7Motioncoprocessor(CortexM3)ArchitecturematérielleLet'sopentheboxhttp://www.
chipworks.
com/en/technical-competitive-analysis/resources/blog/inside-the-iphone-5s/7A7LTEModemQualcommMDM9615M1GBDDR21GBDDSDRAMBCM43342Wi-FiSoC16/32/64GBeMMC/NANDQualcommWTR1605LLTE/HSPA+/CDMA2K/TDSCDMA/EDGE/GPSCapteurs&ContrleurLCDEcranLCD4''CamerasCMOSFrontendRadio128MBSDRAMARM64GPUUSBCoprocesseurCryptoArchitecturematérielle(Simplifiée)iPhone5S8MécanismesdesécuritéiOSEn30secondes…SecureBootApplicationsSandboxSignaturedecodeExploitmitigationiPhoneDataProtectionENTERCODE9Investigationnumérique&terminauxAppleiOSAcquisitionphysique10VulnérabilitésBootROM#ExécutiondecodevialemodeDFU(devicefirmwareupdate)–LeBootROMestenlectureseule–Fonctionnequelquesoitlaversiond'iOSinstallée–Permetdechargerlenoyauet/ouramdiskalternatifnonsignésTechniquesimilaireaubootsurunliveCD/liveUSB–AccèsenlectureaucontenusdelaNAND(APIdebasniveau)#Exploitspublics–Pwnage2:iPhone2G,iPhone3G–Steaks4uce:iPodTouch2G–Limera1n:iPhone3GS,iPad1,iPhone411RAMBootROMLLBiBootAppsRedsnow/opensnowiBECpersonnaliséNoyauetRamdiskpersonnalisésNoyauRamdiskpersonnalisésshdiBSSiBECusbmuxdsshServicesNoyauMémoireFlashExploitationetTéléchargementiBSSpersonnaliséLimera1netanalyseforensicsAcquisitiond'uneimagedelaflashNANDMODEDFUMODENORMALUSBPipe12AcquisitionphysiquededonnéesConclusion#LecturedirectedelaNAND–Acquisitiondusystèmedefichiercomplet–Récupérationdefichierseffacés#FrameworkiPhoneDataProtection–MaintenuparJeanSigvald(Sogeti)–Acquisitiond'uneimagedelaflashNAND–MontageVFL/FTLpouraccéderàl'étatactueldelapartitiondedonnées–Constructiond'unelistedetouteslesversionsdisponiblesdechaquebloclogique#PossibleuniquementsuriPhonelockdowndDemandededémarrageduserviceAFCPairingrequestServiceAFCClientAFCUSBMuxdlibmobiledevicePairingOKXMLPlist/USBpipeServiceAFCEnécoutesurleport:XXXCommandesAFCRésultatsCommuniqueravecuniPhoneServicesiTunesTerminal16InvestigationnumériqueetservicesiTunesConfiguration&userdatabasescom.
apple.
mobile.
file_relayDebugging&Instrumentationcom.
apple.
pcapdcom.
apple.
syslog_relayBackupscom.
apple.
mobilebackupcom.
apple.
mobilebackup2Fichiers&Mediascom.
apple.
afccom.
apple.
mobile.
house_arresthttps://docs.
google.
com/file/d/0B0Va1DwwuHR-TmhQcEpHR1lpT1k/editpli=117Whats0nDEMO:Démonstrationd'acquisitionLogique18AcquisitionlogiquededonnéesConclusion#RequiertL'autorisationdel'utilisateur–Déverrouillageduterminal–Extractionetutilisationdesfichiersgénéréslorsdel'appairage#Récupérationdesdonnéesstockéessurleterminal#Récupérationdefichierseffacésimpossible#Acquisitiondusystèmedefichiercompletimpossible19Investigationnumérique&terminauxAppleiOSAcquisitionLogiqueIntrusive.
/p0sixspwn20ADVISORYSECURITYINSECURITYAHEAD21JailbreakAvertissement#Cecin'estpasuneincitationàl'exploitationouauJailbreak#Jailbreak–Désactivationdesfonctionnalitésdesécuritédesterminaux–Augmentationdelasurfaced'attaque–Augmentationdurisquedecompromission#L'ANSSIincitesystématiquementleséditeursàcorrigertoutesvulnérabilitésidentifiées,danslesplusbrefsdélais#Lesutilisateurssontinvitésàappliquerlescorrectifsdèsleurspublications22JailbreakAvertissement#Cecin'estpasuneincitationàl'exploitationouauJailbreak#Jailbreak–Désactivationdesfonctionnalitésdesécuritédesterminaux–Augmentationdelasurfaced'attaque–Augmentationdurisquedecompromission#L'ANSSIincitesystématiquementleséditeursàcorrigertoutesvulnérabilitésidentifiées,danslesplusbrefsdélais#Lesutilisateurssontinvitésàappliquerlescorrectifsdèsleurspublications23#InvestigationNumérique–Collecteetidentificationdepreuve–Traabilitédesactionsréalisées–Reproductibilitédel'analyse#Jailbreak–Désactivationdesfonctionnalitésdesécurité–Modificationspersistantes–Absencededocumentationdesmodifications#Incompatiblesaveclesobjectifsdel'investigation–ConservationdelapreuveInvestigationnumériqueetJailbreakJailbreak24AnalysedesJailbreaksevasi0n7etp0sixpwn#Identificationdesmodificationsréaliséessurlesystème#Identificationdetechniquesutilisablesdanslecontexteforensique#ApplicationdestechniquesdeJailbreakàl'analyseforensique–Réductiondel'impactsurlesystème–Maitriseettraabilitédesmodifications#Activationtemporaired'unecopiedéverrouilléeduservice–Permetd'acquérirl'intégralitédesfichiers–Impactsurlesystèmevariableenfonctiondelaversiond'iOS–Impactmatrisé25DébridageduserviceAFCiOS6.
x.
x-MobileStorageMounter#com.
apple.
mobile_image_mounter–ServiceutilisépourmonterdesimagesDMGsignées–Montagedesoutilsdedéveloppement–MontagedesoutilsdemiseàjourOTAiOS6#RaceconditiondansMobileStorageMounter–VulnérabilitéidentifiéeparComex–Leakducoded'exploitation(2013)–Réutilisationducodepar.
/p0sixspwn(2013)–Autoriselemontaged'uneimageDMGnonsignée26DébridageduserviceAFCiOS6.
x.
x:Racecondition&MobileStorageMounter#Montaged'uneimageDMG–Téléchargementdel'imagedans/var/mobile/Media–Calculdel'empreinte–Vérificationdelasignature–Déplacementl'imagedansunezonenonaccessible–Montagedel'image#Absencedeverrouentrelecalculdel'empreinteetlemontage–Possibilitéderemplacerl'imageaprèsvérification27DébridageduserviceAFCiOS6.
x.
x.
/p0sixSpwnstyle#Créationd'uneimagepersonnalisée–Fichierdeconfigurationd'unserviceAFCpersonnaliséExécutiondepuislerépertoireracine(option-d/)Autorisationd'accèsauxfichiersspéciaux(option-S)#Téléchargementdel'imagesignéeetdel'imagepersonnalisée#Remplacementdel'imagesingéparuneimagepersonnalisée#DemandededémarrageduserviceAFCdébridé28ShareUnl0ckDEMO:AcquisitionLogiqueintrusiveiOS6.
x.
x29DébridageduserviceAFCLecasd'iOS7.
0.
x-Elémentsdecontexte#com.
apple.
afc–Servicedetransfertdefichiers–Servicegérépar/usr/libexec/afcd–UtilisépariTuneslorsdesphasesdesynchronisation–Accèslimitéauxcontenusdurépertoire/var/mobile/Media–Possibilitéd'accèsauxcontenusdesapplicationstierces#Activationtemporaired'unecopiedéverrouilléeduservice–DémarrageduserviceAFCàl'aidedelockdowndimpossible–VulnérabilitésutiliséesparlesJailbreaksprécédantcorrigées–Systèmedefichierenlectureseul–Impossibledecréerunexécutabledansunrépertoirecontrléparl'utilisateur–AfcdInitialisesapropresandboxlorsdudémarrage/usr/lib/system/libsystem_sandbox.
dylib30DébridageduserviceAFCiOS7.
0.
x–Notyetanotherevasi0n…Créationd'unfichierRWXShareUnl0ckModificationdufichierRWXRemplacementdeShareUnl0ckparunshebang#!
/usr/libexec/afcdContournementdelasandboxafcdCréationd'unebibliothèque:ShareUnl0ck.
dylibChargementdeShareUnl0ck.
dylibaudémarragedeShareUnl0ckModificationdecom.
apple.
mobile.
installation.
plisthttp://geohot.
com/e7writeup.
htmlhttp://evasi0n.
com/ExécutiondeShareUnl0ckDébridagedeafcd31DébridageduserviceAFCObtentiond'unfichierdisposantdesdroitsRWX#installd–Serviceenchargedel'installationdesapplications#Directorytraversaldansinstalld–Requiertl'utilisationd'uneapplicationsignéeparApple–Extractiondel'application–Téléchargementducontenudupaquetdel'applicationsurleterminal/var/mobile/Media/–Modificationduchemindel'exécutabledanslefichierinfo.
plistCFBundleExecutablevar/mobile/Media/myapp.
app/myapp–Reconstructiondupaquetdel'applicationCustomApp.
ipa–Installationdel'applicationmodifiéeInstalld=>chmod+xvar/mobile/Media/myapp.
app/myapphttp://geohot.
com/e7writeup.
htmlhttp://evasi0n.
com/32DébridageduserviceAFCConfigurationduserviceAFC#Modificationdufichierexécutabledéployédans/var/mobile/media#Acestade,leserviceAFCesttoujourssoumis–Alapolitiqued'isolationdusystème#Leserviceafcdinitialisesapropresandbox–/usr/lib/system/libsystem_sandbox.
dylib#Possibilitéd'interposerunebibliothèquespécialementconuepourinterdirel'initialisationdelasandbox#!
/usr/libexec/afcd-S-d/-p8888http://geohot.
com/e7writeup.
htmlhttp://evasi0n.
com/33DébridageduserviceAFCContournementdelaSandbox#Re-exportationdesfonctionsàl'aidedeLazyBindings–Techniqueintroduitedansevasi0n(iOS6)–PrésentationdétailléesurleblogdeQuarksLab#Contournementdelasignaturedecode–S_ATTR_LOC_RELOCdéfinispourtouteslessectionsexécutables–+xretirédechaquesectionexécutables:AprèsvérificationduheaderMaisavantlemappageenmémoirepourvérificationdelasignaturehttp://blog.
quarkslab.
com/evasi0n-jailbreak-precisions-on-stage-3.
htmlhttp://geohot.
com/e7writeup.
htmlMACH-OKungFu34DébridageduserviceAFCModificationdesvariablesd'environnement#Chargementdelabibliothèquenonsignée–Utilisationdelavariabled'environnementDYLD_INSERT_LIBRARY–Lectureducontenudufichiercom.
apple.
installation.
plist/private/var/mobile/Library/Cache/com.
apple.
mobile.
installation.
plistContientlesparamètresdelancementdesapplicationsTéléchargeablevialeservice:com.
apple.
mobile.
file_relay#Modificationducontenudufichiercom.
apple.
installtion.
plistImpossibleenfonctionnementnominalhttp://geohot.
com/e7writeup.
htmlhttp://evasi0n.
com/35DébridageduserviceAFCModificationdesvariablesd'environnement#installd–Serviceenchargedel'installationdesapplicationsAppleiOSsignées–Nonsoumisauxrèglesd'isolationimposéesparlasandbox#Raceconditiondansinstalld–Extractionducontenud'unfichierzipsurlesystème–L'extractionducontenudelachargeactivedanslerépertoire:var/mobile/Library/Caches/–Permetd'actualisercom.
apple.
mobile.
installation.
plist–Requiertunaccèsaurépertoire/tmphttp://geohot.
com/e7writeup.
htmlhttp://evasi0n.
com/36DébridageduserviceAFCChargementdelabibliothèquenonsignée#com.
apple.
afc–Servicegérépar/usr/libexec/afcd–UtilisépariTuneslorsdesphasesdesynchronisation–Accèslimitéauxcontenusdurépertoire/var/mobile/Media–Possibilitéd'accèsauxcontenusdesapplicationstierces–Intègredesfonctionsencharged'interdireledirectorytraversal#Directorytraversal&afcd–Lorsdelacréationd'unliensymboliqueafcdcomptelenombrede.
.
/–Interdictiond'accèsauxfichierssituésàl'extérieurdurépertoireracine–Ledéplacementduliendansunrépertoiredeniveauinférieurpermetdecontournercemécanismedeprotectionhttp://geohot.
com/e7writeup.
htmlhttp://evasi0n.
com/37DébridageduserviceAFCMiseàjourducacheetdémarrageduservice#Rechargementdescaches–com.
apple.
mobile.
installation.
plist,…–Utilisationduservicecom.
apple.
diagnostique_relay–Redémarragelesystème#LancementduserviceAFCdébridé–Lancementdel'applicationmodifiéeparl'analysteShareUnl0ckhttp://geohot.
com/e7writeup.
htmlhttp://evasi0n.
com/38ShareUnl0ckDEMO:AcquisitionLogiqueintrusiveiOS7.
0.
x39AcquisitionlogiqueintrusiveConclusion#RequiertL'autorisationdel'utilisateur–Déverrouillageduterminal–Extractionetutilisationdesfichiersgénéréslorsdel'appairage#Récupérationdesdonnéesstockéessurleterminal#Acquisitiondusystèmedefichiercomplet#Récupérationdefichierseffacésimpossible40iOSForensicsRésultats41Analysedifférentield'unsystèmeJailbraké#Acquisitiond'uneimagederéférence–Apartird'unfirmwareApple–Apartird'unterminalApple#Comparaisondesimages–Identificationdesfichiersconnus(Listeblanche/Listenoire)–ContextTriggeredPiecewiseHashing(CTPH)InitialementdéveloppéparAndrewTridgell:détectiondespamTransposéaumondeduforensicsparJesseKornblumOutils:ssdeep,binwally42CTPHIdentificationdesmodificationssurunterminalJailbreaké25differsetc/fstab25differsprivate/etc/fstab>>>uniquetarget/var/mobile/Media/.
evasi0n7_installed>>>uniquetarget/var/mobile/Media/jailbreak.
log>>>uniquetarget/private/var/tmp/evasi0n-started[.
.
]>>>uniquetarget/System/Library/LaunchDaemons/com.
evad3rs.
evasi0n7.
untether.
plist>>>uniquetarget/System/Library/LaunchDaemons/com.
saurik.
Cydia.
Startup.
plist>>>uniquetarget/System/Library/Caches/com.
apple.
xpcd/xpcd_cache.
dylib>>>uniquetarget/System/Library/Caches/com.
apple.
dyld/enable-dylibs-to-override-cache[.
.
]>>>uniquetarget/tmp/evasi0n-started>>>uniquetarget/pri/vate/var/mobile/Media/.
evasi0n7_installed>>>uniquetarget/private/var/mobile/Media/jailbreak.
log>>>uniquetarget/evasi0n7>>>uniquetarget/evasi0n7-installed43CTPHLimites#L'analysedespériphériquesn'estpaspriseencharge–Réalisationd'uneanalysemanuelle–Identificationdedeuxpériphériquessuspects#L'imagedunoyaun'estpasmodifiée–Evasi0npatchlenoyaulorsdudémarrage/dev/hax-ptsd/dev/hax-test100matchesSystem/Library/Caches/com.
apple.
kernelcaches/kernelcache44InvestigationnumériqueetiOSCompatibilité==45Compatibilitédesméthodesd'acquisitionsModèleAcquisitionphysique(sansjailbreak)AcquisitionlogiqueiPhone≤4OuiOui(Equipementdéverrouillé)iPhone≥4sNoniPad1OuiiPad≥2NoniPad≤2OuiVersionAcquisitionlogiquenonintrusiveAcquisitionlogiqueintrusiveiOS7.
0.
6Non46Conclusion47Conclusion1/2#Acquisitionphysiquedesdonnées–Méthodelapluspertinente–autoriselarécupérationducontenudecertainsfichierseffacés–S'affranchisdesAPIdusystème–Nes'appliquequ'auxterminauxutilisantleprocesseurAppleA4ouplus#Acquisitionlogiquenonintrusive–compatibleavectouteslesversionsdeterminauxencirculation–Inadaptéedanslecadredelarecherchedepreuvesdecompromissions48Conclusion2/2#Acquisitionlogiqueintrusive–Permetdecontournerleslimitesdelaméthodenonintrusive–S'appuiesurl'exploitationdevulnérabilité–UtiliselesAPIdusystème–Entrainedesmodifications–Extractiondusystèmedefichierspossible#Limites–Acquisitionetl'analysedelamémoireRAMimpossible–AcquisitionducodeexécutéparleBasebandimpossible–Analysedesapplicationsprovenantdel'AppStoreimpossible–ReposesurlesAPIdusystème49MercidevotreattentionQuestions
- analyselockdownd相关文档
- paidlockdownd
- lockdownd[求教]在淘宝买了张激活卡,请问怎么取消激活
- lockdowndiphone4s 完美越狱5.1.1时出现Could not connect to lockdownd。求救啊!!
- lockdowndios8.1能用gpp3to2吗?型号A1429
- lockdowndios8.1怎么激活内置卡贴
ManSora:英国CN2 VPS,1核/1GB内存/10GB SSD/1TB流量/100Mbps/KVM,$18.2/月
mansora怎么样?mansora是一家国人商家,主要提供沪韩IEPL、沪日IEPL、深港IEPL等专线VPS。现在新推出了英国CN2 KVM VPS,线路为AS4809 AS9929,可解锁 Netflix,并有永久8折优惠。英国CN2 VPS,$18.2/月/1GB内存/10GB SSD空间/1TB流量/100Mbps端口/KVM,有需要的可以关注一下。点击进入:mansora官方网站地址m...
Friendhosting(月1.35欧元),不限流量,9机房可选
今天9月10日是教师节,我们今天有没有让孩子带礼物和花送给老师?我们这边不允许带礼物进学校,直接有校长在门口遇到有带礼物的直接拦截下来。今天有看到Friendhosting最近推出了教师节优惠,VPS全场45折,全球多机房可选,有需要的可以看看。Friendhosting是一家成立于2009年的保加利亚主机商,主要提供销售VPS和独立服务器出租业务,数据中心分布在:荷兰、保加利亚、立陶宛、捷克、乌...
Hosteons:洛杉矶/纽约/达拉斯免费升级10Gbps端口,KVM年付21美元起
今年1月的时候Hosteons开始提供1Gbps端口KVM架构VPS,目前商家在LET发布消息,到本月30日之前,用户下单洛杉矶/纽约/达拉斯三个地区机房KVM主机可以从1Gbps免费升级到10Gbps端口,最低年付仅21美元起。Hosteons是一家成立于2018年的国外VPS主机商,主要提供VPS、Hybrid Dedicated Servers及独立服务器租用等,提供IPv4+IPv6,支持...
lockdownd为你推荐
-
手游运营手册2019新个税主要内容有哪些?可以简单说明一下吗?iphone5解锁iphone5密码忘了怎么解锁bbsxpdvbbs bbsxp LeadBBS 对比qq怎么发邮件qq怎么发文件和邮件cr2格式如何打开CR2格式的照片呢网络广告投放怎样在网络上进行广告的投放?网管工具做技术网管需要哪些工具?具体做些什么?网站地图制作网站地图 怎么制作?网站地图制作如何制作、提交网站地图聚美优品红包聚美优品里怎么合并红包