Embedded devices, an AntiVirus-free safe hideout for Malware
CODE INJECTION FOR NINTENDO
WII
KiChan Ahn
DongJoo Ha
AVTOKYO 2010
- Hanyang University, Undergraduate
- AhnLab Inc., Security Researcher
Index
Background Knowledge
- The pirate scene of Gamine consoles and Smartphones
- Gaming consoles as an attacking tool - Hacking with NDS (DEMO)
Code Injection for Nintendo Wii
- How custom code can be injected
- Injection Tutorial (DEMO)
The mindset of an attacker
- Malware on Wii (DEMO)
Preparation - Our defenses
AVTOKYO 2010
Background Knowledge
AVTOKYO 2010
Payed software being illegally downloaded
- Most embedded devices implement anti pirate
Measures by some means, but these protections are
eventually bypassed
- ほとんどの組み込みデバイスは、保護装置を持っているが
効果がない。
AVTOKYO 2010
The distribution of illegal software
- Just like PC software, illegal software is
Being distributed without any restrictions via P2P,
torrents, web storage
- Easily accessible by the general public
- PCのように海賊版ソフトウェアを簡単に一般の人々に共有されている。
AVTOKYO 2010
The hardware and software development environment
- Most embedded devices contain a high quality CPU,
I/O devices, and network devices
- 高性能のCPUとI/Oデバイス、ネットワークデバイスを
持っている。
- Users can create legit software that runs on
the device with a custom development environment
- そのデバイスで動作するソフトウェアを公開された開発環
境を使って製作することができる。
AVTOKYO 2010
Hacking with NDS
Internet
Attacker
Web server
HOME AP
Web server
NDS
Desktop PC
AVTOKYO 2010
Notebook
Smartp
hone
Hacking with NDS
- Attacking and taking control of a PC
- Demo : Using NDS to attack a PC on the network with
a public remote exploit
公開されたremote exploitとNDSを利用してPCを攻撃
して制御する。
AVTOKYO 2010
Code Injection for Nintendo Wii
AVTOKYO 2010
Piracy in the gaming industry
2nd place among the
current gaming console
systems, closely
following PSP
Wiiソフトウェアは、2番
目に多くの不法に共有さ
れている。
AVTOKYO 2010
The inner workings of games running on Wii
- executables files are files with .dol extension
- 実行可能ファイルは、拡張子が。dolになっている
- they are essentially a stripped down version of an
elf file
- ELFファイルの形式と似ている。
- system menu -> apploader -> .dol
- .dol files(and sometimes .rel files) contain all
code needed for the game to run
- ゲームの実行に関連するすべての情報は。dolファイルに含
まれている。
AVTOKYO 2010
DOL file format
AVTOKYO 2010
How custom code can be injected
Merge 2 dol files
- 2つのdolファイルを一緒に加える。
- Update header information
- 追加されたコードが最初に実行されるように、ヘッダー情報
を修正する。
- Inject code that transfers execution to the
game .dol after the execution of the injected .dol
- 追加されたコードが実行された後、元のゲームが実行される
ようにコードを追加します。
- Fix a few problematic parts in the binary
- バイナリが正常に実行されるように、いくつかの修正作業
をしています。
AVTOKYO 2010
Basic infection process
AVTOKYO 2010
PowerPC
AVTOKYO 2010
Manipulating DOL files
AVTOKYO 2010
Debugging - Crash Dump
AVTOKYO 2010
How custom code can be injected
- Demo : POC of malware injection on Nintendo Wii
games
Wiiゲームにコードを追加する。
AVTOKYO 2010
The mindset of an attacker
AVTOKYO 2010
Malware on Wii
Internet
Attacker
Web server
HOME AP
Desktop PC
AVTOKYO 2010
Notebook
Web server
Smartp
hone
Wii
Malware on Wii
- Demo : Malware(attack remote host) in live
action while the game is playing
リモートの脆弱性を攻撃する。
AVTOKYO 2010
Malware on Wii
- Demo : Malware(network down) in live
action while the game is playing
ホームネットワークを攻撃する。
AVTOKYO 2010
Malware on Wii
- Demo : Malware(attack ap & dns pharming) in live
action while the game is playing
マルウェア、フィッシング攻撃。
AVTOKYO 2010
How to Defend
AVTOKYO 2010
Defenses
-Manufacturers : Steps to take when designing a new
device
- Security Companies : Measurements in Software or
Policies
- Users : Precautions for the general users
AVTOKYO 2010
Conclusion
AVTOKYO 2010
Conclusion
- There are no doubts that malware can run on
embedded devices, and there may already be some
running in the wild
ゲーム機や組み込み機器でも、悪意のあるコードは、存在す
ることができ、誰かは既に使用されているかもしれない。
- These malware can be equally strong as those on PC,
so one must be fully aware of their potential
このような悪意のあるコードは、PCとマチァンがジで、強
力な被害を与えることができる。
- Not only Gaming Consoles of Smartphones, but any
other future embedded device may become a target,
so users should be careful and be prepared
ゲーム機やスマートフォンではなく、他のデバイスたちで
も十分に可能なことだ。用心して準備しなければならない。
AVTOKYO 2010
Download Games at your own risk!
AVTOKYO 2010
References
- Google
http://google.com/
- WiiBrew
http://wiibrew.org/wiki/Main_Page
- GBATemp
http://gbatemp.net
- devkitPro.org
http://www.devkitpro.org/
- kkamagui 프로그래밍 세상
http://kkamagui.tistory.com/
- POC
http://www.powerofcommunity.net/
AVTOKYO 2010
Question?
DongJoo Ha (@ChakYi)
: [email protected]
KiChan Ahn (@Externalist) : [email protected]
AVTOKYO 2010
ダウンロード

Malware on Wii