Jump to content
Nytro

Return Oriented Programming for the ARM Architecture

By Nytro, in Reverse engineering & exploit development

Recommended Posts

Nytro Mentor

Nytro

Posted
Posted

Return Oriented Programming for the ARM

Architecture

Tim Kornau

December 22, 2009

Contents
1. Introduction 3
1.1. Introduction . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 3
1.2. Motivation . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 3
1.3. Related work . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 4
1.4. Thesis . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 5
1.5. Contributions of this work . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 6
1.6. Overview . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 6
2. Definition of objective 7
2.1. Protection mechanisms . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 7
2.1.1. Stack cookies . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 7
2.1.2. Address space layout randomisation . . . . . . . . . . . . . . . . . . . . . . 7
2.1.3. Code and data separation . . . . . . . . . . . . . . . . . . . . . . . . . . . . 7
2.2. The evolution of return-oriented programming . . . . . . . . . . . . . . . . . . . . . 8
2.2.1. The evolution time line . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 8
2.2.1.1. Buffer overflows . . . . . . . . . . . . . . . . . . . . . . . . . . . . 8
2.2.1.2. Return-into-library technique . . . . . . . . . . . . . . . . . . . . . 9
2.2.1.3. Borrowed code chunks technique . . . . . . . . . . . . . . . . . . 9
2.2.1.4. Return-oriented Programming on x86 . . . . . . . . . . . . . . . . 9
2.2.1.5. Return-oriented programming on SPARC . . . . . . . . . . . . . . 10
2.2.1.6. DEPlib . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 10
2.2.1.7. Return-oriented programming on Harvard-type architectures . . . 11
2.3. Strategy . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 11
2.3.1. Problem approach . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 11
3. Technical details 13
3.1. architecture and operating system details . . . . . . . . . . . . . . . . . . . . . . . 13
3.1.1. The ARM architecture . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 13
3.1.1.1. History . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 13
3.1.1.2. Registers . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 14
3.1.1.3. Instruction set . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 16
3.1.1.4. ARM and THUMB . . . . . . . . . . . . . . . . . . . . . . . . . . . 16
3.1.1.5. Endianness of memory . . . . . . . . . . . . . . . . . . . . . . . . 17
3.1.1.6. Stack modes . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 17
3.1.1.7. Subroutine calling convention . . . . . . . . . . . . . . . . . . . . . 18
3.1.2. Operating system . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 18
3.1.2.1. Operating system overview . . . . . . . . . . . . . . . . . . . . . . 18
3.1.2.2. Memory architecture . . . . . . . . . . . . . . . . . . . . . . . . . 18
3.1.2.3. XIP DLLs . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 20
3.1.2.4. DLL loading . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 20
3.1.2.5. Registers . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 20
3.1.2.6. The stack . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 21
3.1.2.7. ARM prologue and epilogue . . . . . . . . . . . . . . . . . . . . . 22
3.1.2.8. Function calling . . . . . . . . . . . . . . . . . . . . . . . . . . . . 24
3.1.2.9. System calls . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 24
3.1.2.10. Cache synchronisation and buffers . . . . . . . . . . . . . . . . . . 25
viii Contents
3.1.2.11. Dumping ROM and XIP . . . . . . . . . . . . . . . . . . . . . . . . 26
3.1.2.12. Debugging Windows Mobile . . . . . . . . . . . . . . . . . . . . . 27
3.2. The REIL meta-language . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 30
3.2.1. A brief description of REIL cornerstones . . . . . . . . . . . . . . . . . . . . 30
3.2.2. REIL architecture and instruction set . . . . . . . . . . . . . . . . . . . . . . 30
3.2.2.1. The REIL VM . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 31
3.2.2.2. REIL instructions . . . . . . . . . . . . . . . . . . . . . . . . . . . 32
3.2.3. Limitations of REIL . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 34
3.3. Return-Oriented Programming on ARM . . . . . . . . . . . . . . . . . . . . . . . . 35
3.3.1. A note on Turing-completeness . . . . . . . . . . . . . . . . . . . . . . . . . 35
3.3.2. Finding ARM Instruction Sequences in libraries . . . . . . . . . . . . . . . . 36
3.3.3. Construction of ARM Gadgets . . . . . . . . . . . . . . . . . . . . . . . . . 37
3.3.4. Crafting a Return-Oriented Program . . . . . . . . . . . . . . . . . . . . . . 37
3.3.5. Generating a return oriented program with a compiler . . . . . . . . . . . . 37
3.4. ARM gadget catalogue . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 38
3.4.1. Description . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 38
3.4.2. Nomenclature . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 39
3.4.3. Memory gadgets . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 39
3.4.3.1. Gadget: memory to register . . . . . . . . . . . . . . . . . . . . . 40
3.4.3.2. Gadget: memory to memory . . . . . . . . . . . . . . . . . . . . . 41
3.4.3.3. Memory arithmetic operation gadget . . . . . . . . . . . . . . . . . 42
3.4.3.4. Memory bitwise operation gadgets . . . . . . . . . . . . . . . . . . 43
3.4.4. Memory dereference gadgets . . . . . . . . . . . . . . . . . . . . . . . . . . 44
3.4.4.1. Gadget: register to memory dereference (pointer read) . . . . . . 44
3.4.4.2. Gadget: memory to memory dereference (pointer read) . . . . . . 45
3.4.4.3. Gadget: memory dereference to memory or register (pointer write) 46
3.4.5. Register gadgets . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 47
3.4.5.1. Gadget: Register to register . . . . . . . . . . . . . . . . . . . . . 48
3.4.5.2. Gadget: Register to constant . . . . . . . . . . . . . . . . . . . . . 49
3.4.5.3. Gadget: register to memory . . . . . . . . . . . . . . . . . . . . . 49
3.4.5.4. Register arithmetic gadgets . . . . . . . . . . . . . . . . . . . . . . 50
3.4.5.5. Register bitwise operation gadgets . . . . . . . . . . . . . . . . . . 52
3.4.5.6. Shift gadgets . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 52
3.4.6. Flags . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 54
3.4.7. Control Flow gadgets . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 55
3.4.7.1. Gadget: branch Always . . . . . . . . . . . . . . . . . . . . . . . . 55
3.4.7.2. Gadget: branch conditionally . . . . . . . . . . . . . . . . . . . . . 56
3.4.8. Function call gadgets . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 57
3.4.8.1. Gadget: normal function call . . . . . . . . . . . . . . . . . . . . . 57
3.4.8.2. Gadget: leaf function call . . . . . . . . . . . . . . . . . . . . . . . 58
3.4.9. System Call gadget . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 58
4. Algorithms for automatic gadget searching 61
4.1. Stage I . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 61
4.1.1. Reverse walker algorithm . . . . . . . . . . . . . . . . . . . . . . . . . . . . 61
4.1.2. Algorithm: Expression tree extraction . . . . . . . . . . . . . . . . . . . . . 61
4.1.2.1. Instruction handler . . . . . . . . . . . . . . . . . . . . . . . . . . . 63
4.1.2.2. Algorithm to update the operand tree map . . . . . . . . . . . . . 67
4.1.2.3. Example for a single native instruction . . . . . . . . . . . . . . . . 67
4.1.3. Path extraction . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 69
4.2. Stage II . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 69
4.2.1. Algorithm to merge expression trees with path information . . . . . . . . . . 69
4.2.1.1. Merging example . . . . . . . . . . . . . . . . . . . . . . . . . . . 70
4.2.1.2. Jump condition determination algorithm . . . . . . . . . . . . . . . 70
Contents ix
4.2.1.3. Traverse and update operand tree map algorithm . . . . . . . . . 70
4.2.2. Algorithm to simplify expression tree . . . . . . . . . . . . . . . . . . . . . . 72
4.3. Stage III . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 73
4.3.0.1. Locate gadgets core function . . . . . . . . . . . . . . . . . . . . . 73
4.3.0.2. Gadget locator functions . . . . . . . . . . . . . . . . . . . . . . . 73
4.3.0.3. Gadget complexity calculation . . . . . . . . . . . . . . . . . . . . 74
5. System implementation 75
5.1. Integration into BinNavi . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 75
5.2. Initial data extraction . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 75
5.3. Extracting information . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 76
5.3.1. Extracting instruction information callback . . . . . . . . . . . . . . . . . . . 76
5.3.2. Extracting path information callback . . . . . . . . . . . . . . . . . . . . . . 77
5.4. Merging of extracted information . . . . . . . . . . . . . . . . . . . . . . . . . . . . 77
5.4.1. Updating the expression tree in a path . . . . . . . . . . . . . . . . . . . . . 77
5.4.2. Simplification of expression trees . . . . . . . . . . . . . . . . . . . . . . . . 78
5.5. Using the extracted information . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 78
5.5.1. Finding suitable sequences . . . . . . . . . . . . . . . . . . . . . . . . . . . 78
5.5.2. Evaluating suitable sequences . . . . . . . . . . . . . . . . . . . . . . . . . 79
6. Experimental results 81
6.1. Testing environment . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 81
6.2. Library comparison . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 81
6.3. Exploit example . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 83
6.3.1. Vulnerable service . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 83
6.3.2. Shellcode . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 83
6.3.3. Conclusion . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 85
7. Conclusion and further work 87
7.1. Automatic gadget compiler . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 87
7.2. Gadget description language . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 87
7.3. Live system scanning . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 87
7.4. Partial function reconstruction . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 87
7.5. Attack vector broadening . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 88
7.6. Polymorphism . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 88
7.7. Conclusion . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 88
A. Bibliography i
B. List of Figures v

Download:

http://www.handgrep.se/repository/ebooks/Security/Reversing/kornau-tim--diplomarbeit--rop.pdf

Link to comment
Share on other sites

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.

×
Go to topic listing
×
×
  • Create New...