analyselockdownd
lockdownd 时间:2021-02-20 阅读:()
Investigationnumérique&terminauxAppleiOSAcquisitiondedonnées1MathieuRENARDANSSI/LAMmathieu.
renard[à]ssi.
gouv.
fr2Constat#Démocratisationdel'usageterminauxmobileenentreprise–Stockaged'informationsprofessionnelles–Sécurité,managementdesterminauxmalounonmaitrisé#Menaces–Accèsillégitimesaudonnéesprofessionnelles/réseaudel'entité–Usurpationd'identité–Atteinteàladisponibilitéduterminal#Risquesaccentuésparlecaractèremobiledesterminaux(perte,vol)#Lesterminauxmobilessontdesciblesdechoixpourlesattaquants3InvestigationnumériqueiOSOutils#FrameworkiPhoneDataProtection–Acquisitionphysique(iPhone4etinférieur)#iPhoneBackupanalyzer2–AnalysedessauvegardesiOS#CelebriteUFED–Solutioncommerciale–Acquisitionphysique(iPhone4etinférieur)–AcquisitionLogique(backup&AFC)4Investigationnumérique&terminauxAppleiOS#Lalisted'outilsd'investigationnumériquepouriOSestlimitée#Aucunoutilnepermetd'infirmerouconfirmerunecompromission#Nécessitédedévelopperdesméthodesetoutils5iPhoneArchitectureetsécuritéhttp://iphoneroot.
com/ipad-mini-gets-x-rayed-photo/#more-187116BCM43342Wi-FiSoCSKHynixH2JTDG8UD3MBR16GBNANDAppleA7APL0698SoCQualcommMDM9615MLTEModem(BaseBand)QualcommWTR1605LLTE/HSPA+/CDMA2K/TDSCDMA/EDGE/GPS(Tranceiver)NXPLPC1800M7Motioncoprocessor(CortexM3)ArchitecturematérielleLet'sopentheboxhttp://www.
chipworks.
com/en/technical-competitive-analysis/resources/blog/inside-the-iphone-5s/7A7LTEModemQualcommMDM9615M1GBDDR21GBDDSDRAMBCM43342Wi-FiSoC16/32/64GBeMMC/NANDQualcommWTR1605LLTE/HSPA+/CDMA2K/TDSCDMA/EDGE/GPSCapteurs&ContrleurLCDEcranLCD4''CamerasCMOSFrontendRadio128MBSDRAMARM64GPUUSBCoprocesseurCryptoArchitecturematérielle(Simplifiée)iPhone5S8MécanismesdesécuritéiOSEn30secondes…SecureBootApplicationsSandboxSignaturedecodeExploitmitigationiPhoneDataProtectionENTERCODE9Investigationnumérique&terminauxAppleiOSAcquisitionphysique10VulnérabilitésBootROM#ExécutiondecodevialemodeDFU(devicefirmwareupdate)–LeBootROMestenlectureseule–Fonctionnequelquesoitlaversiond'iOSinstallée–Permetdechargerlenoyauet/ouramdiskalternatifnonsignésTechniquesimilaireaubootsurunliveCD/liveUSB–AccèsenlectureaucontenusdelaNAND(APIdebasniveau)#Exploitspublics–Pwnage2:iPhone2G,iPhone3G–Steaks4uce:iPodTouch2G–Limera1n:iPhone3GS,iPad1,iPhone411RAMBootROMLLBiBootAppsRedsnow/opensnowiBECpersonnaliséNoyauetRamdiskpersonnalisésNoyauRamdiskpersonnalisésshdiBSSiBECusbmuxdsshServicesNoyauMémoireFlashExploitationetTéléchargementiBSSpersonnaliséLimera1netanalyseforensicsAcquisitiond'uneimagedelaflashNANDMODEDFUMODENORMALUSBPipe12AcquisitionphysiquededonnéesConclusion#LecturedirectedelaNAND–Acquisitiondusystèmedefichiercomplet–Récupérationdefichierseffacés#FrameworkiPhoneDataProtection–MaintenuparJeanSigvald(Sogeti)–Acquisitiond'uneimagedelaflashNAND–MontageVFL/FTLpouraccéderàl'étatactueldelapartitiondedonnées–Constructiond'unelistedetouteslesversionsdisponiblesdechaquebloclogique#PossibleuniquementsuriPhonelockdowndDemandededémarrageduserviceAFCPairingrequestServiceAFCClientAFCUSBMuxdlibmobiledevicePairingOKXMLPlist/USBpipeServiceAFCEnécoutesurleport:XXXCommandesAFCRésultatsCommuniqueravecuniPhoneServicesiTunesTerminal16InvestigationnumériqueetservicesiTunesConfiguration&userdatabasescom.
apple.
mobile.
file_relayDebugging&Instrumentationcom.
apple.
pcapdcom.
apple.
syslog_relayBackupscom.
apple.
mobilebackupcom.
apple.
mobilebackup2Fichiers&Mediascom.
apple.
afccom.
apple.
mobile.
house_arresthttps://docs.
google.
com/file/d/0B0Va1DwwuHR-TmhQcEpHR1lpT1k/editpli=117Whats0nDEMO:Démonstrationd'acquisitionLogique18AcquisitionlogiquededonnéesConclusion#RequiertL'autorisationdel'utilisateur–Déverrouillageduterminal–Extractionetutilisationdesfichiersgénéréslorsdel'appairage#Récupérationdesdonnéesstockéessurleterminal#Récupérationdefichierseffacésimpossible#Acquisitiondusystèmedefichiercompletimpossible19Investigationnumérique&terminauxAppleiOSAcquisitionLogiqueIntrusive.
/p0sixspwn20ADVISORYSECURITYINSECURITYAHEAD21JailbreakAvertissement#Cecin'estpasuneincitationàl'exploitationouauJailbreak#Jailbreak–Désactivationdesfonctionnalitésdesécuritédesterminaux–Augmentationdelasurfaced'attaque–Augmentationdurisquedecompromission#L'ANSSIincitesystématiquementleséditeursàcorrigertoutesvulnérabilitésidentifiées,danslesplusbrefsdélais#Lesutilisateurssontinvitésàappliquerlescorrectifsdèsleurspublications22JailbreakAvertissement#Cecin'estpasuneincitationàl'exploitationouauJailbreak#Jailbreak–Désactivationdesfonctionnalitésdesécuritédesterminaux–Augmentationdelasurfaced'attaque–Augmentationdurisquedecompromission#L'ANSSIincitesystématiquementleséditeursàcorrigertoutesvulnérabilitésidentifiées,danslesplusbrefsdélais#Lesutilisateurssontinvitésàappliquerlescorrectifsdèsleurspublications23#InvestigationNumérique–Collecteetidentificationdepreuve–Traabilitédesactionsréalisées–Reproductibilitédel'analyse#Jailbreak–Désactivationdesfonctionnalitésdesécurité–Modificationspersistantes–Absencededocumentationdesmodifications#Incompatiblesaveclesobjectifsdel'investigation–ConservationdelapreuveInvestigationnumériqueetJailbreakJailbreak24AnalysedesJailbreaksevasi0n7etp0sixpwn#Identificationdesmodificationsréaliséessurlesystème#Identificationdetechniquesutilisablesdanslecontexteforensique#ApplicationdestechniquesdeJailbreakàl'analyseforensique–Réductiondel'impactsurlesystème–Maitriseettraabilitédesmodifications#Activationtemporaired'unecopiedéverrouilléeduservice–Permetd'acquérirl'intégralitédesfichiers–Impactsurlesystèmevariableenfonctiondelaversiond'iOS–Impactmatrisé25DébridageduserviceAFCiOS6.
x.
x-MobileStorageMounter#com.
apple.
mobile_image_mounter–ServiceutilisépourmonterdesimagesDMGsignées–Montagedesoutilsdedéveloppement–MontagedesoutilsdemiseàjourOTAiOS6#RaceconditiondansMobileStorageMounter–VulnérabilitéidentifiéeparComex–Leakducoded'exploitation(2013)–Réutilisationducodepar.
/p0sixspwn(2013)–Autoriselemontaged'uneimageDMGnonsignée26DébridageduserviceAFCiOS6.
x.
x:Racecondition&MobileStorageMounter#Montaged'uneimageDMG–Téléchargementdel'imagedans/var/mobile/Media–Calculdel'empreinte–Vérificationdelasignature–Déplacementl'imagedansunezonenonaccessible–Montagedel'image#Absencedeverrouentrelecalculdel'empreinteetlemontage–Possibilitéderemplacerl'imageaprèsvérification27DébridageduserviceAFCiOS6.
x.
x.
/p0sixSpwnstyle#Créationd'uneimagepersonnalisée–Fichierdeconfigurationd'unserviceAFCpersonnaliséExécutiondepuislerépertoireracine(option-d/)Autorisationd'accèsauxfichiersspéciaux(option-S)#Téléchargementdel'imagesignéeetdel'imagepersonnalisée#Remplacementdel'imagesingéparuneimagepersonnalisée#DemandededémarrageduserviceAFCdébridé28ShareUnl0ckDEMO:AcquisitionLogiqueintrusiveiOS6.
x.
x29DébridageduserviceAFCLecasd'iOS7.
0.
x-Elémentsdecontexte#com.
apple.
afc–Servicedetransfertdefichiers–Servicegérépar/usr/libexec/afcd–UtilisépariTuneslorsdesphasesdesynchronisation–Accèslimitéauxcontenusdurépertoire/var/mobile/Media–Possibilitéd'accèsauxcontenusdesapplicationstierces#Activationtemporaired'unecopiedéverrouilléeduservice–DémarrageduserviceAFCàl'aidedelockdowndimpossible–VulnérabilitésutiliséesparlesJailbreaksprécédantcorrigées–Systèmedefichierenlectureseul–Impossibledecréerunexécutabledansunrépertoirecontrléparl'utilisateur–AfcdInitialisesapropresandboxlorsdudémarrage/usr/lib/system/libsystem_sandbox.
dylib30DébridageduserviceAFCiOS7.
0.
x–Notyetanotherevasi0n…Créationd'unfichierRWXShareUnl0ckModificationdufichierRWXRemplacementdeShareUnl0ckparunshebang#!
/usr/libexec/afcdContournementdelasandboxafcdCréationd'unebibliothèque:ShareUnl0ck.
dylibChargementdeShareUnl0ck.
dylibaudémarragedeShareUnl0ckModificationdecom.
apple.
mobile.
installation.
plisthttp://geohot.
com/e7writeup.
htmlhttp://evasi0n.
com/ExécutiondeShareUnl0ckDébridagedeafcd31DébridageduserviceAFCObtentiond'unfichierdisposantdesdroitsRWX#installd–Serviceenchargedel'installationdesapplications#Directorytraversaldansinstalld–Requiertl'utilisationd'uneapplicationsignéeparApple–Extractiondel'application–Téléchargementducontenudupaquetdel'applicationsurleterminal/var/mobile/Media/–Modificationduchemindel'exécutabledanslefichierinfo.
plistCFBundleExecutablevar/mobile/Media/myapp.
app/myapp–Reconstructiondupaquetdel'applicationCustomApp.
ipa–Installationdel'applicationmodifiéeInstalld=>chmod+xvar/mobile/Media/myapp.
app/myapphttp://geohot.
com/e7writeup.
htmlhttp://evasi0n.
com/32DébridageduserviceAFCConfigurationduserviceAFC#Modificationdufichierexécutabledéployédans/var/mobile/media#Acestade,leserviceAFCesttoujourssoumis–Alapolitiqued'isolationdusystème#Leserviceafcdinitialisesapropresandbox–/usr/lib/system/libsystem_sandbox.
dylib#Possibilitéd'interposerunebibliothèquespécialementconuepourinterdirel'initialisationdelasandbox#!
/usr/libexec/afcd-S-d/-p8888http://geohot.
com/e7writeup.
htmlhttp://evasi0n.
com/33DébridageduserviceAFCContournementdelaSandbox#Re-exportationdesfonctionsàl'aidedeLazyBindings–Techniqueintroduitedansevasi0n(iOS6)–PrésentationdétailléesurleblogdeQuarksLab#Contournementdelasignaturedecode–S_ATTR_LOC_RELOCdéfinispourtouteslessectionsexécutables–+xretirédechaquesectionexécutables:AprèsvérificationduheaderMaisavantlemappageenmémoirepourvérificationdelasignaturehttp://blog.
quarkslab.
com/evasi0n-jailbreak-precisions-on-stage-3.
htmlhttp://geohot.
com/e7writeup.
htmlMACH-OKungFu34DébridageduserviceAFCModificationdesvariablesd'environnement#Chargementdelabibliothèquenonsignée–Utilisationdelavariabled'environnementDYLD_INSERT_LIBRARY–Lectureducontenudufichiercom.
apple.
installation.
plist/private/var/mobile/Library/Cache/com.
apple.
mobile.
installation.
plistContientlesparamètresdelancementdesapplicationsTéléchargeablevialeservice:com.
apple.
mobile.
file_relay#Modificationducontenudufichiercom.
apple.
installtion.
plistImpossibleenfonctionnementnominalhttp://geohot.
com/e7writeup.
htmlhttp://evasi0n.
com/35DébridageduserviceAFCModificationdesvariablesd'environnement#installd–Serviceenchargedel'installationdesapplicationsAppleiOSsignées–Nonsoumisauxrèglesd'isolationimposéesparlasandbox#Raceconditiondansinstalld–Extractionducontenud'unfichierzipsurlesystème–L'extractionducontenudelachargeactivedanslerépertoire:var/mobile/Library/Caches/–Permetd'actualisercom.
apple.
mobile.
installation.
plist–Requiertunaccèsaurépertoire/tmphttp://geohot.
com/e7writeup.
htmlhttp://evasi0n.
com/36DébridageduserviceAFCChargementdelabibliothèquenonsignée#com.
apple.
afc–Servicegérépar/usr/libexec/afcd–UtilisépariTuneslorsdesphasesdesynchronisation–Accèslimitéauxcontenusdurépertoire/var/mobile/Media–Possibilitéd'accèsauxcontenusdesapplicationstierces–Intègredesfonctionsencharged'interdireledirectorytraversal#Directorytraversal&afcd–Lorsdelacréationd'unliensymboliqueafcdcomptelenombrede.
.
/–Interdictiond'accèsauxfichierssituésàl'extérieurdurépertoireracine–Ledéplacementduliendansunrépertoiredeniveauinférieurpermetdecontournercemécanismedeprotectionhttp://geohot.
com/e7writeup.
htmlhttp://evasi0n.
com/37DébridageduserviceAFCMiseàjourducacheetdémarrageduservice#Rechargementdescaches–com.
apple.
mobile.
installation.
plist,…–Utilisationduservicecom.
apple.
diagnostique_relay–Redémarragelesystème#LancementduserviceAFCdébridé–Lancementdel'applicationmodifiéeparl'analysteShareUnl0ckhttp://geohot.
com/e7writeup.
htmlhttp://evasi0n.
com/38ShareUnl0ckDEMO:AcquisitionLogiqueintrusiveiOS7.
0.
x39AcquisitionlogiqueintrusiveConclusion#RequiertL'autorisationdel'utilisateur–Déverrouillageduterminal–Extractionetutilisationdesfichiersgénéréslorsdel'appairage#Récupérationdesdonnéesstockéessurleterminal#Acquisitiondusystèmedefichiercomplet#Récupérationdefichierseffacésimpossible40iOSForensicsRésultats41Analysedifférentield'unsystèmeJailbraké#Acquisitiond'uneimagederéférence–Apartird'unfirmwareApple–Apartird'unterminalApple#Comparaisondesimages–Identificationdesfichiersconnus(Listeblanche/Listenoire)–ContextTriggeredPiecewiseHashing(CTPH)InitialementdéveloppéparAndrewTridgell:détectiondespamTransposéaumondeduforensicsparJesseKornblumOutils:ssdeep,binwally42CTPHIdentificationdesmodificationssurunterminalJailbreaké25differsetc/fstab25differsprivate/etc/fstab>>>uniquetarget/var/mobile/Media/.
evasi0n7_installed>>>uniquetarget/var/mobile/Media/jailbreak.
log>>>uniquetarget/private/var/tmp/evasi0n-started[.
.
]>>>uniquetarget/System/Library/LaunchDaemons/com.
evad3rs.
evasi0n7.
untether.
plist>>>uniquetarget/System/Library/LaunchDaemons/com.
saurik.
Cydia.
Startup.
plist>>>uniquetarget/System/Library/Caches/com.
apple.
xpcd/xpcd_cache.
dylib>>>uniquetarget/System/Library/Caches/com.
apple.
dyld/enable-dylibs-to-override-cache[.
.
]>>>uniquetarget/tmp/evasi0n-started>>>uniquetarget/pri/vate/var/mobile/Media/.
evasi0n7_installed>>>uniquetarget/private/var/mobile/Media/jailbreak.
log>>>uniquetarget/evasi0n7>>>uniquetarget/evasi0n7-installed43CTPHLimites#L'analysedespériphériquesn'estpaspriseencharge–Réalisationd'uneanalysemanuelle–Identificationdedeuxpériphériquessuspects#L'imagedunoyaun'estpasmodifiée–Evasi0npatchlenoyaulorsdudémarrage/dev/hax-ptsd/dev/hax-test100matchesSystem/Library/Caches/com.
apple.
kernelcaches/kernelcache44InvestigationnumériqueetiOSCompatibilité==45Compatibilitédesméthodesd'acquisitionsModèleAcquisitionphysique(sansjailbreak)AcquisitionlogiqueiPhone≤4OuiOui(Equipementdéverrouillé)iPhone≥4sNoniPad1OuiiPad≥2NoniPad≤2OuiVersionAcquisitionlogiquenonintrusiveAcquisitionlogiqueintrusiveiOS7.
0.
6Non46Conclusion47Conclusion1/2#Acquisitionphysiquedesdonnées–Méthodelapluspertinente–autoriselarécupérationducontenudecertainsfichierseffacés–S'affranchisdesAPIdusystème–Nes'appliquequ'auxterminauxutilisantleprocesseurAppleA4ouplus#Acquisitionlogiquenonintrusive–compatibleavectouteslesversionsdeterminauxencirculation–Inadaptéedanslecadredelarecherchedepreuvesdecompromissions48Conclusion2/2#Acquisitionlogiqueintrusive–Permetdecontournerleslimitesdelaméthodenonintrusive–S'appuiesurl'exploitationdevulnérabilité–UtiliselesAPIdusystème–Entrainedesmodifications–Extractiondusystèmedefichierspossible#Limites–Acquisitionetl'analysedelamémoireRAMimpossible–AcquisitionducodeexécutéparleBasebandimpossible–Analysedesapplicationsprovenantdel'AppStoreimpossible–ReposesurlesAPIdusystème49MercidevotreattentionQuestions
renard[à]ssi.
gouv.
fr2Constat#Démocratisationdel'usageterminauxmobileenentreprise–Stockaged'informationsprofessionnelles–Sécurité,managementdesterminauxmalounonmaitrisé#Menaces–Accèsillégitimesaudonnéesprofessionnelles/réseaudel'entité–Usurpationd'identité–Atteinteàladisponibilitéduterminal#Risquesaccentuésparlecaractèremobiledesterminaux(perte,vol)#Lesterminauxmobilessontdesciblesdechoixpourlesattaquants3InvestigationnumériqueiOSOutils#FrameworkiPhoneDataProtection–Acquisitionphysique(iPhone4etinférieur)#iPhoneBackupanalyzer2–AnalysedessauvegardesiOS#CelebriteUFED–Solutioncommerciale–Acquisitionphysique(iPhone4etinférieur)–AcquisitionLogique(backup&AFC)4Investigationnumérique&terminauxAppleiOS#Lalisted'outilsd'investigationnumériquepouriOSestlimitée#Aucunoutilnepermetd'infirmerouconfirmerunecompromission#Nécessitédedévelopperdesméthodesetoutils5iPhoneArchitectureetsécuritéhttp://iphoneroot.
com/ipad-mini-gets-x-rayed-photo/#more-187116BCM43342Wi-FiSoCSKHynixH2JTDG8UD3MBR16GBNANDAppleA7APL0698SoCQualcommMDM9615MLTEModem(BaseBand)QualcommWTR1605LLTE/HSPA+/CDMA2K/TDSCDMA/EDGE/GPS(Tranceiver)NXPLPC1800M7Motioncoprocessor(CortexM3)ArchitecturematérielleLet'sopentheboxhttp://www.
chipworks.
com/en/technical-competitive-analysis/resources/blog/inside-the-iphone-5s/7A7LTEModemQualcommMDM9615M1GBDDR21GBDDSDRAMBCM43342Wi-FiSoC16/32/64GBeMMC/NANDQualcommWTR1605LLTE/HSPA+/CDMA2K/TDSCDMA/EDGE/GPSCapteurs&ContrleurLCDEcranLCD4''CamerasCMOSFrontendRadio128MBSDRAMARM64GPUUSBCoprocesseurCryptoArchitecturematérielle(Simplifiée)iPhone5S8MécanismesdesécuritéiOSEn30secondes…SecureBootApplicationsSandboxSignaturedecodeExploitmitigationiPhoneDataProtectionENTERCODE9Investigationnumérique&terminauxAppleiOSAcquisitionphysique10VulnérabilitésBootROM#ExécutiondecodevialemodeDFU(devicefirmwareupdate)–LeBootROMestenlectureseule–Fonctionnequelquesoitlaversiond'iOSinstallée–Permetdechargerlenoyauet/ouramdiskalternatifnonsignésTechniquesimilaireaubootsurunliveCD/liveUSB–AccèsenlectureaucontenusdelaNAND(APIdebasniveau)#Exploitspublics–Pwnage2:iPhone2G,iPhone3G–Steaks4uce:iPodTouch2G–Limera1n:iPhone3GS,iPad1,iPhone411RAMBootROMLLBiBootAppsRedsnow/opensnowiBECpersonnaliséNoyauetRamdiskpersonnalisésNoyauRamdiskpersonnalisésshdiBSSiBECusbmuxdsshServicesNoyauMémoireFlashExploitationetTéléchargementiBSSpersonnaliséLimera1netanalyseforensicsAcquisitiond'uneimagedelaflashNANDMODEDFUMODENORMALUSBPipe12AcquisitionphysiquededonnéesConclusion#LecturedirectedelaNAND–Acquisitiondusystèmedefichiercomplet–Récupérationdefichierseffacés#FrameworkiPhoneDataProtection–MaintenuparJeanSigvald(Sogeti)–Acquisitiond'uneimagedelaflashNAND–MontageVFL/FTLpouraccéderàl'étatactueldelapartitiondedonnées–Constructiond'unelistedetouteslesversionsdisponiblesdechaquebloclogique#PossibleuniquementsuriPhonelockdowndDemandededémarrageduserviceAFCPairingrequestServiceAFCClientAFCUSBMuxdlibmobiledevicePairingOKXMLPlist/USBpipeServiceAFCEnécoutesurleport:XXXCommandesAFCRésultatsCommuniqueravecuniPhoneServicesiTunesTerminal16InvestigationnumériqueetservicesiTunesConfiguration&userdatabasescom.
apple.
mobile.
file_relayDebugging&Instrumentationcom.
apple.
pcapdcom.
apple.
syslog_relayBackupscom.
apple.
mobilebackupcom.
apple.
mobilebackup2Fichiers&Mediascom.
apple.
afccom.
apple.
mobile.
house_arresthttps://docs.
google.
com/file/d/0B0Va1DwwuHR-TmhQcEpHR1lpT1k/editpli=117Whats0nDEMO:Démonstrationd'acquisitionLogique18AcquisitionlogiquededonnéesConclusion#RequiertL'autorisationdel'utilisateur–Déverrouillageduterminal–Extractionetutilisationdesfichiersgénéréslorsdel'appairage#Récupérationdesdonnéesstockéessurleterminal#Récupérationdefichierseffacésimpossible#Acquisitiondusystèmedefichiercompletimpossible19Investigationnumérique&terminauxAppleiOSAcquisitionLogiqueIntrusive.
/p0sixspwn20ADVISORYSECURITYINSECURITYAHEAD21JailbreakAvertissement#Cecin'estpasuneincitationàl'exploitationouauJailbreak#Jailbreak–Désactivationdesfonctionnalitésdesécuritédesterminaux–Augmentationdelasurfaced'attaque–Augmentationdurisquedecompromission#L'ANSSIincitesystématiquementleséditeursàcorrigertoutesvulnérabilitésidentifiées,danslesplusbrefsdélais#Lesutilisateurssontinvitésàappliquerlescorrectifsdèsleurspublications22JailbreakAvertissement#Cecin'estpasuneincitationàl'exploitationouauJailbreak#Jailbreak–Désactivationdesfonctionnalitésdesécuritédesterminaux–Augmentationdelasurfaced'attaque–Augmentationdurisquedecompromission#L'ANSSIincitesystématiquementleséditeursàcorrigertoutesvulnérabilitésidentifiées,danslesplusbrefsdélais#Lesutilisateurssontinvitésàappliquerlescorrectifsdèsleurspublications23#InvestigationNumérique–Collecteetidentificationdepreuve–Traabilitédesactionsréalisées–Reproductibilitédel'analyse#Jailbreak–Désactivationdesfonctionnalitésdesécurité–Modificationspersistantes–Absencededocumentationdesmodifications#Incompatiblesaveclesobjectifsdel'investigation–ConservationdelapreuveInvestigationnumériqueetJailbreakJailbreak24AnalysedesJailbreaksevasi0n7etp0sixpwn#Identificationdesmodificationsréaliséessurlesystème#Identificationdetechniquesutilisablesdanslecontexteforensique#ApplicationdestechniquesdeJailbreakàl'analyseforensique–Réductiondel'impactsurlesystème–Maitriseettraabilitédesmodifications#Activationtemporaired'unecopiedéverrouilléeduservice–Permetd'acquérirl'intégralitédesfichiers–Impactsurlesystèmevariableenfonctiondelaversiond'iOS–Impactmatrisé25DébridageduserviceAFCiOS6.
x.
x-MobileStorageMounter#com.
apple.
mobile_image_mounter–ServiceutilisépourmonterdesimagesDMGsignées–Montagedesoutilsdedéveloppement–MontagedesoutilsdemiseàjourOTAiOS6#RaceconditiondansMobileStorageMounter–VulnérabilitéidentifiéeparComex–Leakducoded'exploitation(2013)–Réutilisationducodepar.
/p0sixspwn(2013)–Autoriselemontaged'uneimageDMGnonsignée26DébridageduserviceAFCiOS6.
x.
x:Racecondition&MobileStorageMounter#Montaged'uneimageDMG–Téléchargementdel'imagedans/var/mobile/Media–Calculdel'empreinte–Vérificationdelasignature–Déplacementl'imagedansunezonenonaccessible–Montagedel'image#Absencedeverrouentrelecalculdel'empreinteetlemontage–Possibilitéderemplacerl'imageaprèsvérification27DébridageduserviceAFCiOS6.
x.
x.
/p0sixSpwnstyle#Créationd'uneimagepersonnalisée–Fichierdeconfigurationd'unserviceAFCpersonnaliséExécutiondepuislerépertoireracine(option-d/)Autorisationd'accèsauxfichiersspéciaux(option-S)#Téléchargementdel'imagesignéeetdel'imagepersonnalisée#Remplacementdel'imagesingéparuneimagepersonnalisée#DemandededémarrageduserviceAFCdébridé28ShareUnl0ckDEMO:AcquisitionLogiqueintrusiveiOS6.
x.
x29DébridageduserviceAFCLecasd'iOS7.
0.
x-Elémentsdecontexte#com.
apple.
afc–Servicedetransfertdefichiers–Servicegérépar/usr/libexec/afcd–UtilisépariTuneslorsdesphasesdesynchronisation–Accèslimitéauxcontenusdurépertoire/var/mobile/Media–Possibilitéd'accèsauxcontenusdesapplicationstierces#Activationtemporaired'unecopiedéverrouilléeduservice–DémarrageduserviceAFCàl'aidedelockdowndimpossible–VulnérabilitésutiliséesparlesJailbreaksprécédantcorrigées–Systèmedefichierenlectureseul–Impossibledecréerunexécutabledansunrépertoirecontrléparl'utilisateur–AfcdInitialisesapropresandboxlorsdudémarrage/usr/lib/system/libsystem_sandbox.
dylib30DébridageduserviceAFCiOS7.
0.
x–Notyetanotherevasi0n…Créationd'unfichierRWXShareUnl0ckModificationdufichierRWXRemplacementdeShareUnl0ckparunshebang#!
/usr/libexec/afcdContournementdelasandboxafcdCréationd'unebibliothèque:ShareUnl0ck.
dylibChargementdeShareUnl0ck.
dylibaudémarragedeShareUnl0ckModificationdecom.
apple.
mobile.
installation.
plisthttp://geohot.
com/e7writeup.
htmlhttp://evasi0n.
com/ExécutiondeShareUnl0ckDébridagedeafcd31DébridageduserviceAFCObtentiond'unfichierdisposantdesdroitsRWX#installd–Serviceenchargedel'installationdesapplications#Directorytraversaldansinstalld–Requiertl'utilisationd'uneapplicationsignéeparApple–Extractiondel'application–Téléchargementducontenudupaquetdel'applicationsurleterminal/var/mobile/Media/–Modificationduchemindel'exécutabledanslefichierinfo.
plistCFBundleExecutablevar/mobile/Media/myapp.
app/myapp–Reconstructiondupaquetdel'applicationCustomApp.
ipa–Installationdel'applicationmodifiéeInstalld=>chmod+xvar/mobile/Media/myapp.
app/myapphttp://geohot.
com/e7writeup.
htmlhttp://evasi0n.
com/32DébridageduserviceAFCConfigurationduserviceAFC#Modificationdufichierexécutabledéployédans/var/mobile/media#Acestade,leserviceAFCesttoujourssoumis–Alapolitiqued'isolationdusystème#Leserviceafcdinitialisesapropresandbox–/usr/lib/system/libsystem_sandbox.
dylib#Possibilitéd'interposerunebibliothèquespécialementconuepourinterdirel'initialisationdelasandbox#!
/usr/libexec/afcd-S-d/-p8888http://geohot.
com/e7writeup.
htmlhttp://evasi0n.
com/33DébridageduserviceAFCContournementdelaSandbox#Re-exportationdesfonctionsàl'aidedeLazyBindings–Techniqueintroduitedansevasi0n(iOS6)–PrésentationdétailléesurleblogdeQuarksLab#Contournementdelasignaturedecode–S_ATTR_LOC_RELOCdéfinispourtouteslessectionsexécutables–+xretirédechaquesectionexécutables:AprèsvérificationduheaderMaisavantlemappageenmémoirepourvérificationdelasignaturehttp://blog.
quarkslab.
com/evasi0n-jailbreak-precisions-on-stage-3.
htmlhttp://geohot.
com/e7writeup.
htmlMACH-OKungFu34DébridageduserviceAFCModificationdesvariablesd'environnement#Chargementdelabibliothèquenonsignée–Utilisationdelavariabled'environnementDYLD_INSERT_LIBRARY–Lectureducontenudufichiercom.
apple.
installation.
plist/private/var/mobile/Library/Cache/com.
apple.
mobile.
installation.
plistContientlesparamètresdelancementdesapplicationsTéléchargeablevialeservice:com.
apple.
mobile.
file_relay#Modificationducontenudufichiercom.
apple.
installtion.
plistImpossibleenfonctionnementnominalhttp://geohot.
com/e7writeup.
htmlhttp://evasi0n.
com/35DébridageduserviceAFCModificationdesvariablesd'environnement#installd–Serviceenchargedel'installationdesapplicationsAppleiOSsignées–Nonsoumisauxrèglesd'isolationimposéesparlasandbox#Raceconditiondansinstalld–Extractionducontenud'unfichierzipsurlesystème–L'extractionducontenudelachargeactivedanslerépertoire:var/mobile/Library/Caches/–Permetd'actualisercom.
apple.
mobile.
installation.
plist–Requiertunaccèsaurépertoire/tmphttp://geohot.
com/e7writeup.
htmlhttp://evasi0n.
com/36DébridageduserviceAFCChargementdelabibliothèquenonsignée#com.
apple.
afc–Servicegérépar/usr/libexec/afcd–UtilisépariTuneslorsdesphasesdesynchronisation–Accèslimitéauxcontenusdurépertoire/var/mobile/Media–Possibilitéd'accèsauxcontenusdesapplicationstierces–Intègredesfonctionsencharged'interdireledirectorytraversal#Directorytraversal&afcd–Lorsdelacréationd'unliensymboliqueafcdcomptelenombrede.
.
/–Interdictiond'accèsauxfichierssituésàl'extérieurdurépertoireracine–Ledéplacementduliendansunrépertoiredeniveauinférieurpermetdecontournercemécanismedeprotectionhttp://geohot.
com/e7writeup.
htmlhttp://evasi0n.
com/37DébridageduserviceAFCMiseàjourducacheetdémarrageduservice#Rechargementdescaches–com.
apple.
mobile.
installation.
plist,…–Utilisationduservicecom.
apple.
diagnostique_relay–Redémarragelesystème#LancementduserviceAFCdébridé–Lancementdel'applicationmodifiéeparl'analysteShareUnl0ckhttp://geohot.
com/e7writeup.
htmlhttp://evasi0n.
com/38ShareUnl0ckDEMO:AcquisitionLogiqueintrusiveiOS7.
0.
x39AcquisitionlogiqueintrusiveConclusion#RequiertL'autorisationdel'utilisateur–Déverrouillageduterminal–Extractionetutilisationdesfichiersgénéréslorsdel'appairage#Récupérationdesdonnéesstockéessurleterminal#Acquisitiondusystèmedefichiercomplet#Récupérationdefichierseffacésimpossible40iOSForensicsRésultats41Analysedifférentield'unsystèmeJailbraké#Acquisitiond'uneimagederéférence–Apartird'unfirmwareApple–Apartird'unterminalApple#Comparaisondesimages–Identificationdesfichiersconnus(Listeblanche/Listenoire)–ContextTriggeredPiecewiseHashing(CTPH)InitialementdéveloppéparAndrewTridgell:détectiondespamTransposéaumondeduforensicsparJesseKornblumOutils:ssdeep,binwally42CTPHIdentificationdesmodificationssurunterminalJailbreaké25differsetc/fstab25differsprivate/etc/fstab>>>uniquetarget/var/mobile/Media/.
evasi0n7_installed>>>uniquetarget/var/mobile/Media/jailbreak.
log>>>uniquetarget/private/var/tmp/evasi0n-started[.
.
]>>>uniquetarget/System/Library/LaunchDaemons/com.
evad3rs.
evasi0n7.
untether.
plist>>>uniquetarget/System/Library/LaunchDaemons/com.
saurik.
Cydia.
Startup.
plist>>>uniquetarget/System/Library/Caches/com.
apple.
xpcd/xpcd_cache.
dylib>>>uniquetarget/System/Library/Caches/com.
apple.
dyld/enable-dylibs-to-override-cache[.
.
]>>>uniquetarget/tmp/evasi0n-started>>>uniquetarget/pri/vate/var/mobile/Media/.
evasi0n7_installed>>>uniquetarget/private/var/mobile/Media/jailbreak.
log>>>uniquetarget/evasi0n7>>>uniquetarget/evasi0n7-installed43CTPHLimites#L'analysedespériphériquesn'estpaspriseencharge–Réalisationd'uneanalysemanuelle–Identificationdedeuxpériphériquessuspects#L'imagedunoyaun'estpasmodifiée–Evasi0npatchlenoyaulorsdudémarrage/dev/hax-ptsd/dev/hax-test100matchesSystem/Library/Caches/com.
apple.
kernelcaches/kernelcache44InvestigationnumériqueetiOSCompatibilité==45Compatibilitédesméthodesd'acquisitionsModèleAcquisitionphysique(sansjailbreak)AcquisitionlogiqueiPhone≤4OuiOui(Equipementdéverrouillé)iPhone≥4sNoniPad1OuiiPad≥2NoniPad≤2OuiVersionAcquisitionlogiquenonintrusiveAcquisitionlogiqueintrusiveiOS7.
0.
6Non46Conclusion47Conclusion1/2#Acquisitionphysiquedesdonnées–Méthodelapluspertinente–autoriselarécupérationducontenudecertainsfichierseffacés–S'affranchisdesAPIdusystème–Nes'appliquequ'auxterminauxutilisantleprocesseurAppleA4ouplus#Acquisitionlogiquenonintrusive–compatibleavectouteslesversionsdeterminauxencirculation–Inadaptéedanslecadredelarecherchedepreuvesdecompromissions48Conclusion2/2#Acquisitionlogiqueintrusive–Permetdecontournerleslimitesdelaméthodenonintrusive–S'appuiesurl'exploitationdevulnérabilité–UtiliselesAPIdusystème–Entrainedesmodifications–Extractiondusystèmedefichierspossible#Limites–Acquisitionetl'analysedelamémoireRAMimpossible–AcquisitionducodeexécutéparleBasebandimpossible–Analysedesapplicationsprovenantdel'AppStoreimpossible–ReposesurlesAPIdusystème49MercidevotreattentionQuestions
- analyselockdownd相关文档
- paidlockdownd
- lockdownd[求教]在淘宝买了张激活卡,请问怎么取消激活
- lockdowndiphone4s 完美越狱5.1.1时出现Could not connect to lockdownd。求救啊!!
- lockdowndios8.1能用gpp3to2吗?型号A1429
- lockdowndios8.1怎么激活内置卡贴
HostYun(月18元),CN2直连香港大带宽VPS 50M带宽起
对于如今的云服务商的竞争着实很激烈,我们可以看到国内国外服务商的各种内卷,使得我们很多个人服务商压力还是比较大的。我们看到这几年的服务商变动还是比较大的,很多新服务商坚持不超过三个月,有的是多个品牌同步进行然后分别的跑路赚一波走人。对于我们用户来说,便宜的服务商固然可以试试,但是如果是不确定的,建议月付或者主力业务尽量的还是注意备份。HostYun 最近几个月还是比较活跃的,在前面也有多次介绍到商...
Ceraus24元/月,国庆促销 香港云上新首月五折
Ceraus数据成立于2020年底,基于KVM虚拟架构技术;主营提供香港CN2、美国洛杉矶CN2、日本CN2的相关VPS云主机业务。喜迎国庆香港上新首月五折不限新老用户,cera机房,线路好,机器稳,适合做站五折优惠码:gqceraus 续费七五折官方网站:https://www.ceraus.com香港云内存CPU硬盘流量宽带优惠价格购买地址香港云2G2核40G不限5Mbps24元/月点击购买...
ATCLOUD.NET-OVH海外高防云主机,采用KVM架构,稳定安全且便宜好用,仅3刀起
官方网站:点击访问ATCLOUD.NET官网优惠码:目前提供Cloud VPS与Storage VPS两款产品的六折优惠活动(续费同价,截止至2021年5月31日)优惠码:UMMBPBR20Z活动方案:一、型号CPU内存磁盘流量优惠价格购买链接VPS-1GB0.5×2.6+GHz1GB20GB1TB$3立即购买VPS-2GB1×2.6+GHz2GB50GB2TB$6立即购买VPS-4GB2×2.6...
lockdownd为你推荐
-
伪装微信地理位置微信朋友圈怎么使用伪装地理位置安装程序配置服务器失败安装用友T3出现安装程序配置服务器失败是怎么回事windows优化大师怎么用windows优化大师怎么用啊?免费开通黄钻能免费开通黄钻吗??ps抠图技巧photoshop最基本的抠图方法和技巧!彩信中心移动的彩信中心是?主页是?收不到彩信,怎么设置?qq怎么发邮件怎样在QQ上发送邮件?iphone6上市时间苹果6是什么时候出的 ?gbk编码表GB GBK utf8码的区别域名库想自己买一个域名,然后自己做一个网站,挂上去。请问基本流程是什么样的?