구조적 파일 포맷 익스플로잇 탐지 (0‑Click Chains)

Tip

AWS 해킹 배우기 및 연습하기:HackTricks Training AWS Red Team Expert (ARTE)
GCP 해킹 배우기 및 연습하기: HackTricks Training GCP Red Team Expert (GRTE) Azure 해킹 배우기 및 연습하기: HackTricks Training Azure Red Team Expert (AzRTE)

HackTricks 지원하기

• 구독 계획 확인하기!
• **💬 디스코드 그룹 또는 텔레그램 그룹에 참여하거나 트위터 🐦 @hacktricks_live를 팔로우하세요.
• HackTricks 및 HackTricks Cloud 깃허브 리포지토리에 PR을 제출하여 해킹 트릭을 공유하세요.

이 페이지는 포맷의 구조적 불변성(structural invariants)을 검증하여 byte signatures에 의존하지 않고 0‑click 모바일 exploit 파일을 탐지하는 실무 기법들을 요약합니다. 이 접근법은 동일한 parser logic을 악용하는 샘플, polymorphic 변형 및 향후 exploit 전반에 걸쳐 일반화됩니다.

핵심 아이디어: 취약한 decoder/parser 상태에 도달했을 때에만 나타나는 구조적 불가능성(structural impossibilities)과 필드 간 불일치(cross‑field inconsistencies)를 인코딩합니다.

See also:

PDF File analysis

왜 구조인가, 시그니처가 아닌가

무기화된 샘플을 구할 수 없고 payload bytes가 변이할 때 전통적인 IOC/YARA 패턴은 실패합니다. 구조적 탐지는 컨테이너가 선언한 레이아웃과 포맷 구현에서 수학적 또는 의미론적으로 가능한 것 사이를 비교 검사합니다.

일반적인 검사:

• 스펙과 안전한 구현에서 도출된 테이블 크기와 경계 유효성 검사
• 임베디드 bytecode에서 불법/문서화되지 않은 opcodes나 상태 전환 플래그
• metadata와 실제 인코딩된 스트림 구성 요소 간 교차 검증
• parser 혼란이나 integer overflow 설정을 시사하는 모순된 필드 탐지

아래에는 여러 고영향 체인에 대해 현장에서 검증된 구체적 패턴들이 정리되어 있습니다.

PDF/JBIG2 – FORCEDENTRY (CVE‑2021‑30860)

Target: PDFs 내부에 임베디드된 JBIG2 symbol dictionaries (종종 모바일 MMS 파싱에서 사용).

구조적 신호:

• arithmetic decoding에서 오버플로우를 유발하기 위해 필요한, 정상 콘텐츠에서는 발생할 수 없는 모순된 dictionary 상태
• refinement coding 동안 비정상적인 심볼 개수와 결합된 global segments의 의심스러운 사용

Pseudo‑logic:

# Detecting impossible dictionary state used by FORCEDENTRY
if input_symbols_count == 0 and (ex_syms > 0 and ex_syms < 4):
mark_malicious("JBIG2 impossible symbol dictionary state")

실무 트리아지:

• PDF에서 JBIG2 스트림을 식별하고 추출
• pdfid/pdf-parser/peepdf를 사용해 스트림을 찾아 덤프
• 산술 부호화 플래그와 심볼 사전 매개변수를 JBIG2 스펙에 대해 검증

Notes:

• 임베디드 payload 서명 없이 동작
• 플래그된 상태가 수학적으로 불일치하므로 실제로 FP가 낮음

WebP/VP8L – BLASTPASS (CVE‑2023‑4863)

Target: WebP lossless (VP8L) Huffman prefix‑code tables.

Structural signals:

• 구성된 Huffman 테이블의 총 크기가 참조/패치된 구현에서 기대되는 안전한 상한을 초과하여 overflow 전제조건을 의미함.

Pseudo‑logic:

# Detect malformed Huffman table construction triggering overflow
let total_size = sum(table_sizes)
if total_size > 2954:   # example bound: FIXED_TABLE_SIZE + MAX_TABLE_SIZE
mark_malicious("VP8L oversized Huffman tables")

실무적 분류:

• WebP 컨테이너 청크 확인: VP8X + VP8L
• VP8L prefix codes를 파싱하고 실제 할당된 테이블 크기를 계산

Notes:

• payload의 바이트 수준 다형성에 대해 강건함
• 경계는 upstream 제한/패치 분석에서 도출됨

TrueType – TRIANGULATION (CVE‑2023‑41990)

Target: fpgm/prep/glyf programs 내부의 TrueType bytecode.

Structural signals:

• 익스플로잇 체인에서 사용되는 Apple의 인터프리터에 문서화되지 않았거나 금지된 opcodes의 존재.

Pseudo‑logic:

# Flag undocumented TrueType opcodes leveraged by TRIANGULATION
switch opcode:
case 0x8F, 0x90:
mark_malicious("Undocumented TrueType bytecode")
default:
continue

실무 트리아지:

• 폰트 테이블 덤프(예: fontTools/ttx 사용) 및 fpgm/prep/glyf 프로그램 스캔
• 존재 여부 검사만으로도 가치 확보가 가능하므로 인터프리터를 완전 에뮬레이트할 필요 없음

참고:

• 비표준 폰트에 알 수 없는 opcodes가 포함된 경우 드물게 FP가 발생할 수 있음; 보조 툴로 검증

DNG/TIFF – CVE‑2025‑43300

대상: DNG/TIFF 이미지 메타데이터와 인코딩된 스트림의 실제 컴포넌트 수(예: JPEG‑Lossless SOF3) 간 불일치

구조적 신호:

• EXIF/IFD 필드(SamplesPerPixel, PhotometricInterpretation)와 파이프라인에서 사용되는 이미지 스트림 헤더에서 파싱된 컴포넌트 수 간 불일치

의사 로직:

# Metadata claims 2 samples per pixel but stream header exposes only 1 component
if samples_per_pixel == 2 and sof3_components == 1:
mark_malicious("DNG/TIFF metadata vs. stream mismatch")

실전 선별:

• 주요 IFD 및 EXIF 태그를 파싱
• 임베디드 JPEG‑Lossless 헤더(SOF3)를 찾아 파싱하고 컴포넌트 수를 비교

참고:

• 실제로 악용 사례가 보고됨; 구조적 일관성 검사에 매우 적합

DNG/TIFF – Samsung libimagecodec.quram.so (CVE‑2025‑21042) + Appended ZIP payload (LANDFALL)

Target: DNG (TIFF‑derived) images carrying an embedded ZIP archive appended at EOF to stage native payloads after parser RCE.

Structural signals:

• File magic indicates TIFF/DNG (II*\x00 or MM\x00*) but filename mimics JPEG (e.g., .jpg/.jpeg WhatsApp naming).
• Presence of a ZIP Local File Header or EOCD magic near EOF (PK\x03\x04 or PK\x05\x06) that is not referenced by any TIFF IFD data region (strips/tiles/JPEGInterchangeFormat).
• Unusually large trailing data beyond the last referenced IFD data block (hundreds of KB to MB), consistent with a bundled archive of .so modules.

Pseudo‑logic:

# Detect appended ZIP payload hidden after DNG/TIFF data (Samsung chain)
if is_tiff_dng(magic):
ext = file_extension()
if ext in {".jpg", ".jpeg"}: mark_suspicious("Extension/magic mismatch: DNG vs JPEG")

zip_off = rfind_any(["PK\x05\x06", "PK\x03\x04"], search_window_last_n_bytes=8*1024*1024)
if zip_off >= 0:
end_dng = approx_end_of_tiff_data()  # max(end of Strip/Tile/JPEGInterchangeFormat regions)
if zip_off > end_dng + 0x200:
mark_malicious("DNG with appended ZIP payload (LANDFALL‑style)")

실무 트리아지:

• 형식과 이름 구분:
• 파일 샘플; exiftool -s -FileType -MIMEType sample
• EOF 근처의 ZIP footer/header 찾기 및 carve:
• off=$(grep -aboa -E $‘PK\x05\x06|PK\x03\x04’ sample.dng | tail -n1 | cut -d: -f1)
• dd if=sample.dng of=payload.zip bs=1 skip=“$off”
• zipdetails -v payload.zip; unzip -l payload.zip
• TIFF 데이터 영역이 캐빙한 ZIP 영역과 겹치지 않는지 정합성 검사:
• tiffdump -D sample.dng | egrep ‘StripOffsets|TileOffsets|JPEGInterchangeFormat|StripByteCounts|TileByteCounts|JPEGInterchangeFormatLength’
• max(offset+length) << zip_off 검증
• 일괄 카빙(대략): binwalk -eM sample.dng

Notes:

• 실제 공격에서 Samsung’s libimagecodec.quram.so (CVE‑2025‑21042)를 대상으로 악용됨. 첨부된 ZIP에는 네이티브 모듈(예: loader + SELinux policy editor)이 포함되어 RCE 이후 추출/실행됨.

Implementation patterns and performance

실용적인 스캐너는 다음을 해야 합니다:

• 파일 타입을 자동 감지하고 관련된 분석기(PDF/JBIG2, WebP/VP8L, TTF, DNG/TIFF)만 실행하도록 분기
• 할당을 최소화하고 조기 종료를 가능하게 하기 위해 스트리밍/부분 파싱 사용
• 대량 트리아지를 위해 분석을 병렬로 실행(스레드 풀 사용)

ElegantBouncer (open‑source Rust implementation of these checks)를 사용한 예시 워크플로우:

# Scan a path recursively with structural detectors
$ elegant-bouncer --scan /path/to/directory

# Optional TUI for parallel scanning and real‑time alerts
$ elegant-bouncer --tui --scan /path/to/samples

DFIR 팁 및 예외 사례

• 임베디드 객체: PDFs는 이미지 (JBIG2) 및 폰트 (TrueType)를 포함할 수 있으므로 추출하여 재귀적으로 스캔하세요
• 압축 해제 안전성: 할당 전에 테이블/버퍼 크기를 엄격히 제한하는 라이브러리를 사용하세요
• 오탐지: 규칙을 보수적으로 유지하고, 스펙상 불가능한 모순을 우선시하세요
• 버전 드리프트: 상위 파서가 제한을 변경할 때 경계값(예: VP8L table sizes)을 재기준화하세요

Related tools

• ElegantBouncer – 위의 탐지들을 위한 구조적 스캐너
• pdfid/pdf-parser/peepdf – PDF 객체 추출 및 정적 분석
• pdfcpu – PDF 린터/무해화 도구
• fontTools/ttx – TrueType 테이블 및 바이트코드 덤프
• exiftool – TIFF/DNG/EXIF 메타데이터 읽기
• dwebp/webpmux – WebP 메타데이터 및 청크 파싱

References

• ELEGANTBOUNCER: When You Can’t Get the Samples but Still Need to Catch the Threat
• ElegantBouncer project (GitHub)
• Researching FORCEDENTRY: Detecting the exploit with no samples
• Researching BLASTPASS – Detecting the exploit inside a WebP file (Part 1)
• Researching BLASTPASS – Analysing the Apple & Google WebP PoC file (Part 2)
• Researching TRIANGULATION – Detecting CVE‑2023‑41990 with single‑byte signatures
• CVE‑2025‑43300: Critical vulnerability found in Apple’s DNG image processing
• LANDFALL: New Commercial-Grade Android Spyware in Exploit Chain Targeting Samsung Devices

Tip

AWS 해킹 배우기 및 연습하기:HackTricks Training AWS Red Team Expert (ARTE)
GCP 해킹 배우기 및 연습하기: HackTricks Training GCP Red Team Expert (GRTE) Azure 해킹 배우기 및 연습하기: HackTricks Training Azure Red Team Expert (AzRTE)

HackTricks 지원하기

• 구독 계획 확인하기!
• **💬 디스코드 그룹 또는 텔레그램 그룹에 참여하거나 트위터 🐦 @hacktricks_live를 팔로우하세요.
• HackTricks 및 HackTricks Cloud 깃허브 리포지토리에 PR을 제출하여 해킹 트릭을 공유하세요.