Embedded devices, an AntiVirus-free safe hideout for Malware

KiChan Ahn - Hanyang University, UndergraduateDongJoo Ha - AhnLab Inc., Security Researcher

AVTOKYO 2010

Index

Background Knowledge- The pirate scene of Gamine consoles and Smartphones- Gaming consoles as an attacking tool - Hacking with NDS (DEMO)

Code Injection for Nintendo Wii- How custom code can be injected- Injection Tutorial (DEMO)

The mindset of an attacker- Malware on Wii (DEMO)

Preparation - Our defenses

AVTOKYO 2010

Background Knowledge

AVTOKYO 2010

Payed software being illegally downloaded

- Most embedded devices implement anti pirate Measures by some means, but these protections are eventually bypassed- ほとんどの組み込みデバイスは、保護装置を持っているが 効果がない。

AVTOKYO 2010

The distribution of illegal software

- Just like PC software, illegal software is Being distributed without any restrictions via P2P,

torrents, web storage- Easily accessible by the general public- PCのように海賊版ソフトウェアを簡単に一般の人々に共有されている。

AVTOKYO 2010

The hardware and software development environment

- Most embedded devices contain a high quality CPU, I/O devices, and network devices - 高性能の CPUと I/Oデバイス、ネットワークデバイスを 持っている。- Users can create legit software that runs on the device with a custom development environment- そのデバイスで動作するソフトウェアを公開された開発環 境を使って製作することができる。

AVTOKYO 2010

Hacking with NDS

HOME AP

NDS

Desktop PCNoteboo

kSmartphone

Internet Attacker

Web server

Web server

AVTOKYO 2010

Hacking with NDS

- Attacking and taking control of a PC

- Demo : Using NDS to attack a PC on the network with a public remote exploit 公開された remote exploitと NDSを利用して PCを攻撃 して制御する。

AVTOKYO 2010

Code Injection for Nintendo Wii

AVTOKYO 2010

Piracy in the gaming industry

2nd place among the current gaming console systems, closely following

PSP

Wiiソフトウェアは、 2番目に多くの不法に共有

されている。

AVTOKYO 2010

The inner workings of games running on Wii

- executables files are files with .dol extension- 実行可能ファイルは、拡張子が。 dolになっている

- they are essentially a stripped down version of an elf file- ELFファイルの形式と似ている。

- system menu -> apploader -> .dol

- .dol files(and sometimes .rel files) contain all code needed for the game to run- ゲームの実行に関連するすべての情報は。 dolファイルに含 まれている。

AVTOKYO 2010

DOL file format

AVTOKYO 2010

How custom code can be injected

Merge 2 dol files- 2つの dolファイルを一緒に加える。

- Update header information- 追加されたコードが最初に実行されるように、ヘッダー情報 を修正する。

- Inject code that transfers execution to the game .dol after the execution of the injected .dol- 追加されたコードが実行された後、元のゲームが実行される ようにコードを追加します。

- Fix a few problematic parts in the binary- バイナリが正常に実行されるように、いくつかの修正作業 をしています。

AVTOKYO 2010

Basic infection process

AVTOKYO 2010

PowerPC

AVTOKYO 2010

Manipulating DOL files

AVTOKYO 2010

Debugging - Crash Dump

AVTOKYO 2010

How custom code can be injected

- Demo : POC of malware injection on Nintendo Wii games Wiiゲームにコードを追加する。

AVTOKYO 2010

The mindset of an attacker

AVTOKYO 2010

Malware on Wii

HOME AP

WiiDesktop PCNoteboo

kSmartphone

Internet Attacker

Web server

Web server

AVTOKYO 2010

Malware on Wii

- Demo : Malware(attack remote host) in live action while the game is playing リモートの脆弱性を攻撃する。

AVTOKYO 2010

Malware on Wii

- Demo : Malware(network down) in live action while the game is playing ホームネットワークを攻撃する。

AVTOKYO 2010

Malware on Wii

- Demo : Malware(attack ap & dns pharming) in live action while the game is playing マルウェア、フィッシング攻撃。

AVTOKYO 2010

How to Defend

AVTOKYO 2010

Defenses

-Manufacturers : Steps to take when designing a new device

- Security Companies : Measurements in Software or Policies

- Users : Precautions for the general users

AVTOKYO 2010

Conclusion

AVTOKYO 2010

Conclusion

- There are no doubts that malware can run on embedded devices, and there may already be some running in the wild ゲーム機や組み込み機器でも、悪意のあるコードは、存在す ることができ、誰かは既に使用されているかもしれない。

- These malware can be equally strong as those on PC,

so one must be fully aware of their potential このような悪意のあるコードは、 PCとマチァンがジで、強 力な被害を与えることができる。

- Not only Gaming Consoles of Smartphones, but any other future embedded device may become a target, so users should be careful and be prepared ゲーム機やスマートフォンではなく、他のデバイスたちで も十分に可能なことだ。用心して準備しなければならない。

AVTOKYO 2010

Download Games at your own risk!

AVTOKYO 2010

References

- Google http://google.com/

- WiiBrewhttp://wiibrew.org/wiki/Main_Page

- GBATemphttp://gbatemp.net

- devkitPro.orghttp://www.devkitpro.org/

- kkamagui 프로그래밍 세상http://kkamagui.tistory.com/

- POChttp://www.powerofcommunity.net/

AVTOKYO 2010

Question?

DongJoo Ha (@ChakYi) : lovely@h4ck3r.krKiChan Ahn (@Externalist) : wringer@paran.com

AVTOKYO 2010