As the mobile market continues to grow and applications that require high performance are developed, recent mobile processors are attempting to improve performance by increasing the number of cores. In addition, powerful debugging capabilities are built into the processor for application developers. However, recent studies have shown that the number of cores used by mobile applications is less than two. A typical ARM debugging feature is the Coresight module, which can extract core execution instructions in real time, in addition to traditional breakpoints. In Coresight, it is worth noting that one core can control the execution flow of another core or extract executed instructions. Using the above two facts, this paper proposes a detection methodology for Code Reuse Attack. The methodology executes the CFI detection module on a different core than the monitored application, extracts CPU instructions executed by the application through ARM Coresight, and detects whether there are instructions that violate the CFI policy. It also provides a way to isolate CPU cores and memory resources via TrustZone to block attacks against CFI modules from attackers. The methodology of this paper has an advantage that it is easy to apply to existing mobile devices because it does not require any modifications to the target application and the kernel and does not require hardware modification. The methodology presented in this thesis is implemented in ARM 64bit hardware and security evaluation is performed. We confirmed that the actual kernel area JOP attack was detected through the experiment. In addition, we confirm that the proposed methodology can be applied sufficiently in actual mobile environment through the performance benchmark which assumes mobile environment.

최근 모바일 시장이 증가하고 높은 성능이 필요한 어플리케이션이 개발됨에 따라, 최근의 모바일 프로세서는 코어 개수를 증가시켜 성능 향상을 꾀하고 있다. 또한 어플리케이션 개발자를 위해 강력한 디버깅 기능을 프로세서 내에 탑재하고 있다. 하지만 최근 연구에 의하면 증가된 코어에 비해 모바일 어플리케이션이 사용하는 코어의 수는 2개가 채 되지 않는다. ARM에서 대표적인 디버깅 기능은 코어사이트 모듈로, 전통적인 브레이크 포인트 외에, 코어 실행 명령을 실시간으로 추출할 수 있다. Coresight에서 주목할 점은, 하나의 코어가 다른 코어의 실행 흐름을 제어하거나 실행 명령을 추출할 수 있다는 것이다. 위에서 언급한 두 가지 사실을 이용해서, 본 논문은 코드 재사용 공격 에 대한 탐지 방법론을 제안하고자 한다. 본 방법론은 실행흐름보호 모듈을 감시 대상 어플리케이션과 다른 코어에서 실행하고, ARM 코어사이트를 통해 어플리케이션이 실행한 프로세서 인스트럭션을 추출하여 실행흐름보호 정책에 위배되는 명령이 존재하는지 탐지한다. 또한, 공격자로부터 CFI 모듈에 대한 공격을 차단하기 위해, TrustZone을 통한 프로세서 코어와 메모리 자원을 분리시키는 방법을 제시한다. 본 논문의 방법론은 대상 어플리케이션과 커널에 대해서 어떠한 수정이 필요하지 않고 하드웨어 수정도 요구하지 않아 기존 모바일 디바이스에 적용이 용이하다는 장점이 있다. 논문이 제시한 방법론은 ARM 64비트 하드웨어에 구현하여 보안성 평가를 수행하였다. 시험을 통해 실제 커널 영역 JOP 공격이 탐지됨을 확인하였다. 또한 모바일 사용 환경을 가정한 성능 벤치마크를 통해, 실제 모바일 환경에서 제안한 방법론이 충분히 적용 가능함을 확인하였다.