Τα Mach-o δυαδικά περιέχουν μια εντολή φόρτωσης που ονομάζεται LC_CODE_SIGNATURE που υποδεικνύει την θέση και το μέγεθος των υπογραφών μέσα στο δυαδικό. Στην πραγματικότητα, χρησιμοποιώντας το εργαλείο GUI MachOView, είναι δυνατόν να βρείτε στο τέλος του δυαδικού μια ενότητα που ονομάζεται Code Signature με αυτές τις πληροφορίες:
Η μαγική κεφαλίδα της Code Signature είναι 0xFADE0CC0. Στη συνέχεια, έχετε πληροφορίες όπως το μήκος και τον αριθμό των blobs του superBlob που τα περιέχει.
Είναι δυνατόν να βρείτε αυτές τις πληροφορίες στον πηγαίο κώδικα εδώ:
/** Structure of an embedded-signature SuperBlob*/typedefstruct __BlobIndex {uint32_t type; /* type of entry */uint32_t offset; /* offset of entry */} CS_BlobIndex__attribute__ ((aligned(1)));typedefstruct __SC_SuperBlob {uint32_t magic; /* magic number */uint32_t length; /* total length of SuperBlob */uint32_t count; /* number of index entries following */CS_BlobIndex index[]; /* (count) entries *//* followed by Blobs in no particular order as indicated by offsets in index */} CS_SuperBlob__attribute__ ((aligned(1)));#defineKERNEL_HAVE_CS_GENERICBLOB1typedefstruct __SC_GenericBlob {uint32_t magic; /* magic number */uint32_t length; /* total length of blob */char data[];} CS_GenericBlob__attribute__ ((aligned(1)));
Common blobs contained are Code Directory, Requirements and Entitlements and a Cryptographic Message Syntax (CMS).
Moreover, note how the data encoded in the blobs is encoded in Big Endian.
Moreover, signatures cloud be detached from the binaries and stored in /var/db/DetachedSignatures (used by iOS).
typedefstruct __CodeDirectory {uint32_t magic; /* magic number (CSMAGIC_CODEDIRECTORY) */uint32_t length; /* total length of CodeDirectory blob */uint32_t version; /* compatibility version */uint32_t flags; /* setup and mode flags */uint32_t hashOffset; /* offset of hash slot element at index zero */uint32_t identOffset; /* offset of identifier string */uint32_t nSpecialSlots; /* number of special hash slots */uint32_t nCodeSlots; /* number of ordinary (code) hash slots */uint32_t codeLimit; /* limit to main image signature range */uint8_t hashSize; /* size of each hash in bytes */uint8_t hashType; /* type of hash (cdHashType* constants) */uint8_t platform; /* platform identifier; zero if not platform binary */uint8_t pageSize; /* log2(page size in bytes); 0 => infinite */uint32_t spare2; /* unused (must be zero) */char end_earliest[0];/* Version 0x20100 */uint32_t scatterOffset; /* offset of optional scatter vector */char end_withScatter[0];/* Version 0x20200 */uint32_t teamOffset; /* offset of optional team identifier */char end_withTeam[0];/* Version 0x20300 */uint32_t spare3; /* unused (must be zero) */uint64_t codeLimit64; /* limit to main image signature range, 64 bits */char end_withCodeLimit64[0];/* Version 0x20400 */uint64_t execSegBase; /* offset of executable segment */uint64_t execSegLimit; /* limit of executable segment */uint64_t execSegFlags; /* executable segment flags */char end_withExecSeg[0];/* Version 0x20500 */uint32_t runtime;uint32_t preEncryptOffset;char end_withPreEncryptOffset[0];/* Version 0x20600 */uint8_t linkageHashType;uint8_t linkageApplicationType;uint16_t linkageApplicationSubType;uint32_t linkageOffset;uint32_t linkageSize;char end_withLinkage[0];/* followed by dynamic content as located by offset fields above */} CS_CodeDirectory__attribute__ ((aligned(1)));
Σημειώστε ότι υπάρχουν διαφορετικές εκδόσεις αυτής της δομής όπου οι παλιές μπορεί να περιέχουν λιγότερες πληροφορίες.
Σελίδες Υπογραφής Κώδικα
Η κατακερματισμένη μορφή του πλήρους δυαδικού θα ήταν αναποτελεσματική και ακόμη και άχρηστη αν φορτωθεί μόνο μερικώς στη μνήμη. Επομένως, η υπογραφή κώδικα είναι στην πραγματικότητα ένας κατακερματισμός κατακερματισμών όπου κάθε δυαδική σελίδα κατακερματίζεται ατομικά.
Στην πραγματικότητα, στον προηγούμενο κώδικα Καταλόγου Κώδικα μπορείτε να δείτε ότι το μέγεθος της σελίδας καθορίζεται σε ένα από τα πεδία του. Επιπλέον, αν το μέγεθος του δυαδικού δεν είναι πολλαπλάσιο του μεγέθους μιας σελίδας, το πεδίο CodeLimit καθορίζει πού είναι το τέλος της υπογραφής.
# Get all hashes of /bin/pscodesign-d-vvvvvv/bin/ps[...]CandidateCDHashsha256=c46e56e9490d93fe35a76199bdb367b3463c91dcCandidateCDHashFullsha256=c46e56e9490d93fe35a76199bdb367b3463c91dcdb3c46403ab8ba1c2d13fd86Hashchoices=sha256CMSDigest=c46e56e9490d93fe35a76199bdb367b3463c91dcdb3c46403ab8ba1c2d13fd86CMSDigestType=2ExecutableSegmentbase=0ExecutableSegmentlimit=32768ExecutableSegmentflags=0x1Pagesize=4096-7=a542b4dcbc134fbd950c230ed9ddb99a343262a2df8e0c847caee2b6d3b41cc8-6=0000000000000000000000000000000000000000000000000000000000000000-5=2bb2de519f43b8e116c7eeea8adc6811a276fb134c55c9c2e9dcbd3047f80c7d-4=0000000000000000000000000000000000000000000000000000000000000000-3=0000000000000000000000000000000000000000000000000000000000000000-2=4ca453dc8908dc7f6e637d6159c8761124ae56d080a4a550ad050c27ead273b3-1=00000000000000000000000000000000000000000000000000000000000000000=a5e6478f89812c0c09f123524cad560a9bf758d16014b586089ddc93f004e39c1=ad7facb2586fc6e966c004d7d1d16b024f5805ff7cb47c7a85dabd8b48892ca72=93d476eeace15a5ad14c0fb56169fd080a04b99582b4c7a01e1afcbc58688f[...]# Calculate the hasehs of each page manuallyBINARY=/bin/psSIZE=`stat-f "%Z" $BINARY`PAGESIZE=4096# From the previous outputPAGES=`expr $SIZE / $PAGESIZE`for i in`seq0 $PAGES`; doddif=$BINARY of=/tmp/`basename $BINARY`.page.$ibs=$PAGESIZE skip=$i count=1doneopensslsha256/tmp/*.page.*
Entitlements Blob
Σημειώστε ότι οι εφαρμογές μπορεί επίσης να περιέχουν ένα entitlement blob όπου ορίζονται όλα τα δικαιώματα. Επιπλέον, ορισμένα iOS binaries μπορεί να έχουν τα δικαιώματά τους συγκεκριμένα στη ειδική υποδοχή -7 (αντί για την ειδική υποδοχή -5).
Special Slots
Οι εφαρμογές MacOS δεν έχουν όλα όσα χρειάζονται για να εκτελούνται μέσα στο binary, αλλά χρησιμοποιούν επίσης εξωτερικούς πόρους (συνήθως μέσα στο bundle των εφαρμογών). Επομένως, υπάρχουν ορισμένες υποδοχές μέσα στο binary που θα περιέχουν τα hashes ορισμένων ενδιαφέροντων εξωτερικών πόρων για να ελέγξουν ότι δεν έχουν τροποποιηθεί.
Στην πραγματικότητα, είναι δυνατόν να δούμε στις δομές του Code Directory μια παράμετρο που ονομάζεται nSpecialSlots που υποδεικνύει τον αριθμό των ειδικών υποδοχών. Δεν υπάρχει ειδική υποδοχή 0 και οι πιο κοινές (από -1 έως -6) είναι:
Hash του info.plist (ή του μέσα στο __TEXT.__info__plist).
Hash των Απαιτήσεων
Hash του Resource Directory (hash του αρχείου _CodeSignature/CodeResources μέσα στο bundle).
Ειδικό για την εφαρμογή (μη χρησιμοποιούμενο)
Hash των δικαιωμάτων
Μόνο υπογραφές κώδικα DMG
DER Entitlements
Code Signing Flags
Κάθε διαδικασία έχει σχετιζόμενο ένα bitmask γνωστό ως status που ξεκινά από τον πυρήνα και ορισμένα από αυτά μπορούν να παρακαμφθούν από την υπογραφή κώδικα. Αυτές οι σημαίες που μπορούν να περιληφθούν στην υπογραφή κώδικα είναι ορισμένες στον κώδικα:
/* code signing attributes of a process */#defineCS_VALID0x00000001 /* dynamically valid */#defineCS_ADHOC0x00000002 /* ad hoc signed */#defineCS_GET_TASK_ALLOW0x00000004 /* has get-task-allow entitlement */#defineCS_INSTALLER0x00000008 /* has installer entitlement */#defineCS_FORCED_LV0x00000010 /* Library Validation required by Hardened System Policy */#defineCS_INVALID_ALLOWED0x00000020 /* (macOS Only) Page invalidation allowed by task port policy */#defineCS_HARD0x00000100 /* don't load invalid pages */#defineCS_KILL0x00000200 /* kill process if it becomes invalid */#defineCS_CHECK_EXPIRATION0x00000400 /* force expiration checking */#defineCS_RESTRICT0x00000800 /* tell dyld to treat restricted */#defineCS_ENFORCEMENT0x00001000 /* require enforcement */#defineCS_REQUIRE_LV0x00002000 /* require library validation */#defineCS_ENTITLEMENTS_VALIDATED0x00004000 /* code signature permits restricted entitlements */#define CS_NVRAM_UNRESTRICTED 0x00008000 /* has com.apple.rootless.restricted-nvram-variables.heritable entitlement */
#defineCS_RUNTIME0x00010000 /* Apply hardened runtime policies */#defineCS_LINKER_SIGNED0x00020000 /* Automatically signed by the linker */#defineCS_ALLOWED_MACHO (CS_ADHOC | CS_HARD | CS_KILL | CS_CHECK_EXPIRATION | \CS_RESTRICT | CS_ENFORCEMENT | CS_REQUIRE_LV | CS_RUNTIME | CS_LINKER_SIGNED)#defineCS_EXEC_SET_HARD0x00100000 /* set CS_HARD on any exec'ed process */#defineCS_EXEC_SET_KILL0x00200000 /* set CS_KILL on any exec'ed process */#defineCS_EXEC_SET_ENFORCEMENT0x00400000 /* set CS_ENFORCEMENT on any exec'ed process */#defineCS_EXEC_INHERIT_SIP0x00800000 /* set CS_INSTALLER on any exec'ed process */#defineCS_KILLED0x01000000 /* was killed by kernel for invalidity */#defineCS_NO_UNTRUSTED_HELPERS0x02000000 /* kernel did not load a non-platform-binary dyld or Rosetta runtime */#defineCS_DYLD_PLATFORM CS_NO_UNTRUSTED_HELPERS /* old name */#defineCS_PLATFORM_BINARY0x04000000 /* this is a platform binary */#defineCS_PLATFORM_PATH0x08000000 /* platform binary by the fact of path (osx only) */#define CS_DEBUGGED 0x10000000 /* process is currently or has previously been debugged and allowed to run with invalid pages */
#defineCS_SIGNED0x20000000 /* process has a signature (may have gone invalid) */#define CS_DEV_CODE 0x40000000 /* code is dev signed, cannot be loaded into prod signed code (will go away with rdar://problem/28322552) */
#defineCS_DATAVAULT_CONTROLLER0x80000000 /* has Data Vault controller entitlement */#define CS_ENTITLEMENT_FLAGS (CS_GET_TASK_ALLOW | CS_INSTALLER | CS_DATAVAULT_CONTROLLER | CS_NVRAM_UNRESTRICTED)
Note that the function exec_mach_imgact μπορεί επίσης να προσθέσει τις σημαίες CS_EXEC_* δυναμικά κατά την εκκίνηση της εκτέλεσης.
Απαιτήσεις Υπογραφής Κώδικα
Κάθε εφαρμογή αποθηκεύει κάποιες απαιτήσεις που πρέπει να ικανοποιούνται προκειμένου να μπορεί να εκτελείται. Αν οι απαιτήσεις της εφαρμογής δεν ικανοποιούνται από την εφαρμογή, δεν θα εκτελείται (καθώς πιθανώς έχει τροποποιηθεί).
Οι απαιτήσεις ενός δυαδικού αρχείου χρησιμοποιούν μια ειδική γραμματική που είναι μια ροή εκφράσεων και κωδικοποιούνται ως blobs χρησιμοποιώντας το 0xfade0c00 ως το μαγικό, του οποίου το hash αποθηκεύεται σε μια ειδική θέση κώδικα.
Οι απαιτήσεις ενός δυαδικού αρχείου μπορούν να δουν τρέχοντας:
codesign-d-r-/bin/lsExecutable=/bin/lsdesignated =>identifier"com.apple.ls"andanchorapplecodesign-d-r-/Applications/Signal.app/Executable=/Applications/Signal.app/Contents/MacOS/Signaldesignated => identifier "org.whispersystems.signal-desktop" and anchor apple generic and certificate 1[field.1.2.840.113635.100.6.2.6] /* exists */ and certificate leaf[field.1.2.840.113635.100.6.1.13] /* exists */ and certificate leaf[subject.OU] = U68MSDN6DR
Σημειώστε πώς αυτές οι υπογραφές μπορούν να ελέγξουν πράγματα όπως πληροφορίες πιστοποίησης, TeamID, IDs, δικαιώματα και πολλά άλλα δεδομένα.
Επιπλέον, είναι δυνατόν να δημιουργηθούν κάποιες συμπιεσμένες απαιτήσεις χρησιμοποιώντας το εργαλείο csreq:
# Generate compiled requirementscsreq -b /tmp/output.csreq -r='identifier "org.whispersystems.signal-desktop" and anchor apple generic and certificate 1[field.1.2.840.113635.100.6.2.6] /* exists */ and certificate leaf[field.1.2.840.113635.100.6.1.13] /* exists */ and certificate leaf[subject.OU] = U68MSDN6DR'
# Get the compiled bytesod-Ax-tx1/tmp/output.csreq0000000fade0c00000000b000000001000000060000010000000060000000600000006000000020000020000000216f72672e7768697370657273[...]
Είναι δυνατόν να αποκτήσετε πρόσβαση σε αυτές τις πληροφορίες και να δημιουργήσετε ή να τροποποιήσετε απαιτήσεις με ορισμένα APIs από το Security.framework όπως:
Έλεγχος Εγκυρότητας
Sec[Static]CodeCheckValidity: Ελέγχει την εγκυρότητα του SecCodeRef ανά Απαίτηση.
SecRequirementEvaluate: Επικυρώνει την απαίτηση στο πλαίσιο του πιστοποιητικού.
SecTaskValidateForRequirement: Επικυρώνει μια εκτελούμενη SecTask έναντι της απαίτησης CFString.
Δημιουργία και Διαχείριση Απαιτήσεων Κωδικοποίησης
SecRequirementCreateWithData: Δημιουργεί ένα SecRequirementRef από δυαδικά δεδομένα που αντιπροσωπεύουν την απαίτηση.
SecRequirementCreateWithString: Δημιουργεί ένα SecRequirementRef από μια συμβολοσειρά έκφρασης της απαίτησης.
SecRequirementCopy[Data/String]: Ανακτά την δυαδική αναπαράσταση δεδομένων ενός SecRequirementRef.
SecRequirementCreateGroup: Δημιουργεί μια απαίτηση για την ιδιότητα μέλους ομάδας εφαρμογών.
Πρόσβαση σε Πληροφορίες Υπογραφής Κωδικού
SecStaticCodeCreateWithPath: Αρχικοποιεί ένα αντικείμενο SecStaticCodeRef από μια διαδρομή συστήματος αρχείων για την επιθεώρηση υπογραφών κωδικού.
SecCodeCopySigningInformation: Αποκτά πληροφορίες υπογραφής από ένα SecCodeRef ή SecStaticCodeRef.
Τροποποίηση Απαιτήσεων Κωδικοποίησης
SecCodeSignerCreate: Δημιουργεί ένα αντικείμενο SecCodeSignerRef για την εκτέλεση λειτουργιών υπογραφής κωδικού.
SecCodeSignerSetRequirement: Ορίζει μια νέα απαίτηση για τον υπογράφοντα κωδικό να εφαρμόσει κατά την υπογραφή.
SecCodeSignerAddSignature: Προσθέτει μια υπογραφή στον κωδικό που υπογράφεται με τον καθορισμένο υπογράφοντα.
Επικύρωση Κωδικού με Απαιτήσεις
SecStaticCodeCheckValidity: Επικυρώνει ένα στατικό αντικείμενο κωδικού έναντι καθορισμένων απαιτήσεων.
Επιπλέον Χρήσιμα APIs
SecCodeCopy[Internal/Designated]Requirement: Λάβετε SecRequirementRef από SecCodeRef
SecCodeCopyGuestWithAttributes: Δημιουργεί ένα SecCodeRef που αντιπροσωπεύει ένα αντικείμενο κωδικού με βάση συγκεκριμένα χαρακτηριστικά, χρήσιμο για sandboxing.
SecCodeCopyPath: Ανακτά τη διαδρομή συστήματος αρχείων που σχετίζεται με ένα SecCodeRef.
SecCodeCopySigningIdentifier: Αποκτά τον αναγνωριστικό υπογραφής (π.χ., Team ID) από ένα SecCodeRef.
SecCodeGetTypeID: Επιστρέφει τον τύπο αναγνωριστικού για αντικείμενα SecCodeRef.
SecRequirementGetTypeID: Λαμβάνει ένα CFTypeID ενός SecRequirementRef.
Σημαίες και Σταθερές Υπογραφής Κωδικού
kSecCSDefaultFlags: Προεπιλεγμένες σημαίες που χρησιμοποιούνται σε πολλές λειτουργίες του Security.framework για λειτουργίες υπογραφής κωδικού.
kSecCSSigningInformation: Σημαία που χρησιμοποιείται για να καθορίσει ότι οι πληροφορίες υπογραφής πρέπει να ανακτηθούν.
Επιβολή Υπογραφής Κωδικού
Ο kernel είναι αυτός που ελέγχει την υπογραφή κωδικού πριν επιτρέψει την εκτέλεση του κωδικού της εφαρμογής. Επιπλέον, ένας τρόπος για να μπορείτε να γράφετε και να εκτελείτε νέο κωδικό στη μνήμη είναι η κατάχρηση του JIT εάν η mprotect καλείται με τη σημαία MAP_JIT. Σημειώστε ότι η εφαρμογή χρειάζεται μια ειδική εξουσιοδότηση για να μπορεί να το κάνει αυτό.
cs_blobs & cs_blob
cs_blob δομή περιέχει τις πληροφορίες σχετικά με την εξουσιοδότηση της εκτελούμενης διαδικασίας σε αυτήν. Το csb_platform_binary ενημερώνει επίσης αν η εφαρμογή είναι μια πλατφόρμα binary (η οποία ελέγχεται σε διάφορες στιγμές από το OS για να εφαρμόσει μηχανισμούς ασφαλείας όπως η προστασία των δικαιωμάτων SEND στους θύρες εργασίας αυτών των διαδικασιών).
struct cs_blob {struct cs_blob *csb_next;vnode_t csb_vnode;void*csb_ro_addr;__xnu_struct_group(cs_cpu_info, csb_cpu_info, {cpu_type_t csb_cpu_type;cpu_subtype_t csb_cpu_subtype;});__xnu_struct_group(cs_signer_info, csb_signer_info, {unsignedint csb_flags;unsignedint csb_signer_type;});off_t csb_base_offset; /* Offset of Mach-O binary in fat binary */off_t csb_start_offset; /* Blob coverage area start, from csb_base_offset */off_t csb_end_offset; /* Blob coverage area end, from csb_base_offset */vm_size_t csb_mem_size;vm_offset_t csb_mem_offset;void*csb_mem_kaddr;unsignedchar csb_cdhash[CS_CDHASH_LEN];conststruct cs_hash *csb_hashtype;#ifCONFIG_SUPPLEMENTAL_SIGNATURESunsignedchar csb_linkage[CS_CDHASH_LEN];conststruct cs_hash *csb_linkage_hashtype;#endifint csb_hash_pageshift;int csb_hash_firstlevel_pageshift; /* First hash this many bytes, then hash the hashes together */const CS_CodeDirectory *csb_cd;constchar*csb_teamid;#ifCONFIG_SUPPLEMENTAL_SIGNATURESchar*csb_supplement_teamid;#endifconst CS_GenericBlob *csb_entitlements_blob; /* raw blob, subrange of csb_mem_kaddr */const CS_GenericBlob *csb_der_entitlements_blob; /* raw blob, subrange of csb_mem_kaddr *//** OSEntitlements pointer setup by AMFI. This is PAC signed in addition to the* cs_blob being within RO-memory to prevent modifications on the temporary stack* variable used to setup the blob.*/void*XNU_PTRAUTH_SIGNED_PTR("cs_blob.csb_entitlements") csb_entitlements;unsignedint csb_reconstituted; /* signature has potentially been modified after validation */__xnu_struct_group(cs_blob_platform_flags, csb_platform_flags, {/* The following two will be replaced by the csb_signer_type. */unsignedint csb_platform_binary:1;unsignedint csb_platform_path:1;});/* Validation category used for TLE */unsignedint csb_validation_category;#ifCODE_SIGNING_MONITORvoid*XNU_PTRAUTH_SIGNED_PTR("cs_blob.csb_csm_obj") csb_csm_obj;bool csb_csm_managed;#endif};
