[iOS] Functions Hooking

What Functions?

iOS 앱을 진단하다 보면 탈옥을 탐지하는 특정 버전이 있을 수도 있고 어떤 함수를 통해 디바이스 내부를 검사하는지 조금씩 다릅니다. 그중에서 대표적으로 NSFileManager 클래스의 "fileExistsAtpath:"를 통해 현재 실행된 디바이스 내부에 탈옥과 관련된 디렉토리 또는 파일이 존재하는지 체크 후 Boolean 반환을 진행하는 방법과 UIApplication 클래스의 "canOpenURL:" 함수를 통해 탈옥과 관련된 앱이 존재하는지 URL Scheme 호출하는 2가지 방식이 존재합니다.

 

Example 코드

NSString *filePath = @"/Applications/Cydia.app";
	if ([[NSFileManager defaultManager] fileExistsAtPath:filePath])
	{
		//탈옥된 단말입니다.
	}

  if([[UIApplication sharedApplication] canOpenURL:[NSURL URLWithString:@"cydia://package/com.example.package"]]){
      //탈옥된 단말입니다.
    }

예시 코드를 보면 각각의 함수의 특성을 이용해 정상적인 단말기인지 검증을 하게 됩니다. 패턴의 키워드는 대표적으로 cydia, chimera, frida, cycript, ssh, su 등 내부에 존재하는 앱, 파일, 디렉토리 유무를 통해 판별하게 됩니다.

 

Objection을 통해 테스트하고자 하는 앱에 spawn하고 탈옥 우회를 실행시키면 위와 같이 검증하고 있는 패턴의 경로를 보여주고 반환된 Boolean 값을 리턴 시켜 줍니다. 하지만 대부분의 앱의 경우 Objection에서 우회시켜주는 블랙리스트의 경로 이외에도 다양한 탐지 체크를 하고 있어 우회가 불가능했습니다.

 

NSA에 배포한 기드라를 통해 대상 바이너리 파일을 분석하여 누락된 체크 경로가 있는지 확인해봐야 됩니다. 얼핏 보기만 해도 다수의 탈옥검증을 하고 있습니다. 

 

디컴파일된 소스로직을 보면 UIApplication 클래스를 통해 canOpenURL 함수를 호출하고 있지만 cydia://package. 앱이 정확하게 명시되어 있지 않습니다. 보통 Array 형식으로 탐지하고자 하는 리스트를 호출하기도 하지만 참조 형식으로 키워드를 호출하는 경우도 있습니다.

 

두 번째 디컴파일 분석에서는 NSFileManager 클래스의 fileExistsAtPath 함수를 호출하고 있지만 마찬가지로 소스 내부에 직접 명시된 키워드는 나오지 않기 때문에 KeyWord Search -> 위아래로 참조하고 있는 키워드 경로 수집 형태로 추측을 해야 됩니다.

 

파일 경로 기반 탈옥 여부를 체크하는 패턴은 크게 /Applications/, /private/, /usr/sbin/, /usr/bin/, /System/Library/LaunchDaemons/, /etc/, /bin/등으로 나뉩니다.

 

/private/디렉토리에서도 마찬가지로 샌드박스 영역의 제한이 풀린 경로로 넘어가 해당 파일이 존재하는지 체크합니다. 또한 JailbreakTest.txt가 확인되는데 이것은 해당 경로에 root 권한을 통한 파일 생성을 시도하여 자연스레 디바이스의 권한이 어떻게 되어 있는지도 체크하는 것이라 볼 수 있습니다. 정상적인 단말이라면 /private/경로에 임의 파일을 생성한다는 것은 불가능하기 때문입니다.

 

이러한 모든 디렉토리를 모두 검색하여 수집하는 방법은 시간이 오래 소요되므로 퍼징 리스트를 만들어 일괄 체크하는 것이 훨씬 정확하고 빠릅니다.

 

var fileExistsAtPath = ObjC.classes.NSFileManager["- fileExistsAtPath:"];
var hideFile = 0;
var paths = [
	"/Applications/blackra1n.app",
    "/Applications/crackerxi.app",
    "/Applications/Cydia.app",
    "/Applications/FakeCarrier.app",
    "/Applications/Icy.app",
    "/Applications/IntelliScreen.app",
    "/Applications/MxTube.app",
    "/Applications/RockApp.app",
    "/Applications/SBSettings.app",
    "/Applications/WinterBoard.app",
    "/bin/bash",
    "/bin/sh",
    "/bin/su",
    "/etc/alternatives/sh",
    "/etc/apt/",
    "/etc/apt",
    "/etc/apt/sources.list.d/cydia.list",
    "/etc/apt/sources.list.d/electra.list",
    "/etc/apt/sources.list.d/sileo.sourcs",
    "/etc/apt/undecimus/undecimus.list",
    "/etc/ssh/sshd_config",
    "/jb/amfid_payload.dylib",
    "/jb/jailbreakd.plist",
    "/jb/libjailbreak.dylib",
    "/jb/lzma",
    "/jb/offsets.plists",
    "/Library/MobileSubstrate/CydiaSubstrate.dylib",
    "/Library/MobileSubstrate/DynamicLibraries/*",
    "/Library/MobileSubstrate/DynamicLibraries/LiveClock.plist",
    "/Library/MobileSubstrate/DynamicLibraries/Veency.plist",
    "/Library/MobileSubstrate/MobileSubstrate.dylib",
    "/pguntether",
    "/private/var/cache/apt",
    "/private/var/lib/apt",
    "/private/var/lib/cydia",
    "/private/var/log/syslog",
    "/private/var/mobile/Library/SBSettings/Themes",
    "/private/var/stash",
    "/private/var/tmp/cydia.log",
    "/private/var/tmp/frida-*.dylib",
    "/private/var/Users",
    "/System/Library/LaunchDaemons/com.ikey.bbot.plist",
    "/System/Library/LaunchDaemons/com.saurik.Cydia.Startup.plist",
    "/usr/bin/cycript",
    "/usr/bin/ssh",
    "/usr/bin/sshd",
    "/usr/lib/libjailbreak.dylib",
    "/usr/libexec/cydia/firmware.sh",
    "/usr/libexec/sftp-server",
    "/usr/libexec/sshd-keygen-wrapper",
    "/usr/libexec/ssh-keysign",
    "/usr/sbin/frida-server",
    "/usr/sbin/sshd",
    "/usr/share/jailbreak/injectme.plist",
    "/var/cache/apt",
    "/var/lib/apt",
    "/var/lib/cydia",
    "/var/lib/dpkg/info/mobilesubstrate.dylib",
    "/var/log/apt",
    "/var/mobile/Library/Caches/com.saurik.Cydia/sources.list",
    "/var/mobile/Media/.evasi0n7_installed",
    "/var/tmp/cydia.log",
    "/.bootstrapped_electra",
    "/.cydia_no_stash",
    "/.installed_unc0ver"
	];

Interceptor.attach(fileExistsAtPath.implementation, {
    onEnter: function(args) {
	var path = ObjC.Object(args[2]);

	if (paths.indexOf(path.toString()) > -1) {
	    console.log("Found Jailbreak Check: " + path.toString());
	    hideFile = 1;
	}},

    onLeave: function(retval) {
	if (hideFile) {
	    console.log("Return Value!!(0x0)");
	    retval.replace(0);
	    hideFile = 0;
	}}
});

간단하게 코드를 설명하자면paths라는 변수에 구글에서 수집한 탈옥 체크 경로를 추가 후 Interceptor를 통해 구동 중인 프로세스에 후킹을 시작합니다.

후킹이 시작되면 indexOf 함수를 통해 paths에 입력해둔 문자열을 찾기 시작하는데, 만약 찾는 문자열이 있거나 포함되기라도 했을 경우 0 또는 1을 출력하여 Console에 찍히게 하는 동시에 Value를 Return 시켜 파일 시스템 경로를 체크를 우회시켜줍니다.

 

위의 코드를 통해 앱을 spawn 하여 경로 체크를 진행해보면 실시간으로 검사할 수 있다. 만약 위의 코드를 통해 체크 및 우회를 진행해도 탐지에 걸린다면 canOpenURL 체크 또는 탐지하는 새로운 경로가 존재한다는 것을 의심해야됩니다.

 

탐지하고 있는 키워드를 paths 변수에 넣어주고 해당 경로를 체크 시 Return Value 시켜주는 과 동시에 canOpnURL 함수에 담긴 cydia 호출까지 Return Value 하여 최종적으로 탈옥 검증을 피할 수 있습니다.

 

var paths = [
     	"/Applications/Cydia.app",
     	"/Applications/blackra1n.app",
     	"/Applications/FakeCarrier.app",
     	"/Applications/Icy.app",
	"/Applications/IntelliScreen.app",
	"/Applications/MxTube.app",
	"/Applications/RockApp.app",
	"/Applications/SBSettings.app",
	"/Applications/WinterBoard.app",
	"/Library/MobileSubstrate/DynamicLibraries/LiveClock.plist",
	"/Library/MobileSubstrate/DynamicLibraries/Veency.plist",
	"/private/var/lib/apt",
	"/private/var/lib/apt/",
	"/private/var/lib/cydia",
	"/private/var/mobile/Library/SBSettings/Themes",
	"/private/var/stash",
	"/private/var/tmp/cydia.log",
	"/System/Library/LaunchDaemons/com.ikey.bbot.plist",
	"/System/Library/LaunchDaemons/com.saurik.Cydia.Startup.plist",
	"/usr/bin/sshd",
	"/usr/libexec/sftp-server",
	"/usr/sbin/sshd",
	"/etc/apt",
	"/bin/bash",
	"/Library/MobileSubstrate/MobileSubstrate.dylib"
];

try {
    var resolver = new ApiResolver('objc');

    resolver.enumerateMatches('*[* fileExistsAtPath*]', {
        onMatch: function(match) {
            var ptr = match["address"];
            Interceptor.attach(ptr, {
                onEnter: function(args) {
                    var path = ObjC.Object(args[2]).toString();
                    this.jailbreakCall = false;
                    for (var i = 0; i < paths.length; i++) {
                        if (paths[i] == path) {
                            this.jailbreakCall = true;
                        }
                    }
                },
                onLeave: function(retval) {
                    if (this.jailbreakCall) {
                        retval.replace(0x0);
                    }
                }
            });
        },
        onComplete: function() {}
    });

    resolver.enumerateMatches('*[* canOpenURL*]', {
        onMatch: function(match) {
            var ptr = match["address"];
            Interceptor.attach(ptr, {
                onEnter: function(args) {
                    var url = ObjC.Object(args[2]).toString();
                    this.jailbreakCall = false;
                    if (url.indexOf("cydia") >= 0) {
                        this.jailbreakCall = true;
                    }
                },
                onLeave: function(retval) {
                    if (this.jailbreakCall) {
                        retval.replace(0x0);
                    }
                }
            });
        },
        onComplete: function() {}
    });

    var response = {
        type: 'sucess',
        data: {
            message: "[!] Jailbreak Bypass success"
        }
    };
    send(response);
} catch (e) {
    var message = {
        type: 'exception',
        data: {
            message: '[!] Jailbreak bypass script error: '
        }
    };
    send(message);
}

최종 후킹 코드를 보면. 첫번째로 체크하는 파일 경로의 문자열을 paths변수에 모두 추가한다. 참고로 indexOf 없이 경로 체크를 할 경우 문자열은 대소문자를 구분하며 “/” 기호도 정확하게 기입해야 됩니다.

 

해당 앱은 파일 경로 체크 이외에 canOpenURL 메소드 함수를 통해 URL Scheme을 실행하여 시디아 트윅을 호출하는 부분도 존재했습니다. 이부분은 enumerateMatche(query, callbacks) 함수를 통해 지정된 함수를 먼저 호출시켜 “cydia”라는 문자열이 존재하거나 포함되어 있을 경우 0 또는 1을 출력시키며 그 이후 retval로 값을 변조(true -> false(0x0))하여 우회합니다.

 

frida -U -f "Identifier" -l jailbreak.js --no-pause

프리다를 통해 앱을 호출하는 방법은 2가지 존재합니다. 첫 번째로 App Name을 통해 호출하여 코드를 후킹 하기 위해서는 탈옥을 탐지하기 이전에 공백 타이밍이 필요합니다(ex: 광고성 여부, 알림 여부, 권한 동의 등) 최초 앱 실행 시 공백 타이밍이 존재한다면 해당 시점에 코드를 실행시키면 되지만 최초 실행하자마자 바로 체크 후 종료시키면 "-f" 옵션을 이용하여 앱을 실행하자마자 바로 코드 실행을 할 수 있도록 해야 됩니다.

 

탈옥 탐지를 완벽하게 수행할 수 있는 방법은 굉장히 힘들다고 생각됩니다. 아무리 다수의 체크를 진행한다 하더라도 숙련된 해커는 디컴파일된 소스를 통해 정적 분석이 가능하므로 난독화 부분도 중요한 예방법에 속합니다. 또한 추측이 가능한 메소드 isJailbroken 같은 키워드는 되도록 사용하지 않는 것이 좋습니다. 왜냐하면 Objection이나 cycript 같은 기능들이 함수 Tracing에 최적화되어있기 때문에 손쉽게 변조가 가능해지므로 완벽할 순 없어도 혼란스럽게 구현해두는 것이 올바른 방향이라고 볼 수 있겠습니다.