CHAMCHICON SEASON 1 – Non ActiveX + IoT = Olleh :)

드디어 제 1회 참치콘 3주여 앞으로 다가오고 있다. 크지 않은 행사로 조그마하지만 강력한 주제들을 선정해서 제한된 실무 그룹들이 모여서 정보를 공유하는 모임으로 5월 9일과 10일 양일간 저녁 시간에 열린다. 장소는 판교 근처로 섭외중이다. 왜 내가 참치콘을 기획했는지는 김치콘, 참치콘, *치콘을 참고해 보기를 바란다. 연재를 통해서 지금까지 치열한 경쟁을 뚫고 선정된 몇몇 세션들에 대해서 간략하게 설명해 보는 자리를 가질까 한다.


  • Speaker: XXXXX
  • Duration: 30 minutes
  • Type: Technical

Phishing을 통해 공격 대상을 Non ActiveX 취약점을 공격하는 페이지로 유도하고, 최초 감염자를 통해 기업 내에 존재하는 네트워크 장비를 공격한 뒤 기업 내부 데이터를 수집하고, 내부망을 제어하는 시나리오를 시연하려고 합니다. 시연을 통해 Non ActiveX와 기업 내에 존재하는 네트워크 장비의 위험성에 대해 공유하고, 이러한 형태의 공격을 무력화하거나 최소화할 수 있는 방안에 대해서 함께 이야기할 수 있으면 좋을 것 같습니다.

From https://darungrim.com/intelligence/Chamichicon-2019-05.html

한국의 작금의 인터넷 뱅킹과 정부 시스템들은 사용성이 너무 떨어진다. 이미 액티브 엑스로 시작된 된 소위 공인 인증 시스템에 대한 논란들의 기원은 아주 오래 전부터이다. 보안 전문가의 입장에서는 솔직히 현재의 인터넷 뱅킹과 정부 시스템의 모습은 자랑스러운 모습은 아니다. 이러한 시스템을 만들고 설계하고 제작한 사람들 각각의 개인들도 이러한 모습에서 뿌듯함을 느끼지는 않을 것이라고 생각한다. 하지만, 이러한 문제를 어느 한 개인이나 한 회사의 책임이라고 말하고 싶지는 않다.

하지만, 사회에서는 항상 쓴소리를 할 수 있는 사람도 있어야 하기에, 참치콘이 이러한 역할을 맡았다. 이 토크는 소위 Non-ActiveX라는 새로운 떡칠의 폐해를 threat modelling과 어택 서피스의 차원에서 접근한다. 이미 김치콘 2018에서도 BokdungAbum이라는 익명의 스피커에 의해서 이러한 Non-ActiveX 보안 모듈들의 폐해와 취약점이 심도 있게 논의된 바 있다. 이러한 노력과 연구의 연장선상에서 이번에는 XXXXX님에 의해서 현실적인 공격 시나리오에 대해서 더 자세하게 다루어질 예정이다. 물론 현실적인 방어 방법과 함께.

Non-ActiveX라는 용어는 솔직히 굉장히 광범위한데, 왜냐하면 Non-ActiveX라는 건 ActiveX를 제외한 모든 세상에 존재하는 것을 의미하기 때문이다. 하지만, 우리가 논의할 실제로 구현된 Non-ActiveX의 구현체들은 몇가지 공통점을 지닌다.

일례를 들어, 본인이 오랜만에 한국의 뱅킹 시스템과 정부 시스템을 이용하고자 공인 인증서를 발급 받아 한국의 웹사이트 2-3곳을 방문하고 난 후의 시스템을 한번 확인해 보자. 다음 스크린샷에는 숨은 그림 찾기 처럼 한국 금융/관공서용 보안 모듈들의 문제점이 고스란히 드러나 있다.

여러가지 세세한 내용들은 생략한다고 해도, 언뜻 보이는 것들로는 다음과 같은 크게 5가지의 문제를 안고 있다.

  1. 첫번째, 많은 경우 메인 컴포넌트가 윈도우즈의 서비스로 구동 된다. ActiveX 처럼 웹컴퍼넌트에서 필요할 때 마다 보안 모듈을 로딩 시킬 수 있는 메카니즘이 없기 때문에 인스톨시에 startup 프로그램으로 등록하여 항상 시스템에서 구동하도록 한다. 필요 없이 사용자의 컴퓨터에는 수많이 서비스들이 무조건 돌아 가게 된다. 그리고, 사용자의 interaction 없이 exploit 될수 있는 여지를 남겨 두었다.
  2. 보안 설정이 취약하다. 심지어 ASLR/DEP 컴파일러 옵션도 넣기 귀찮아서 넣지 않은 모듈들이 한두개가 아니다. 보안 제품을 개발하는 사람들의 보안에 대한 무관심이 팽배해 있다. 이 부분은 개발자들에 대한 보안 교육이 절실할 것을 생각된다. 2019년에 ASLR 컴파일러 옵션에 대해서 논의를 해야 한다는 사실이 안타깝지만 말이다. CFG나 이런 류의 논의를 할때가 아닌듯 하다.
  3. 구동되는 서비스들의 권한이 너무 크다. 솔직히 많은 모듈들은 시스템 권한이나 Administrator 권한으로 돌아갈 이유가 없다. 하지만, 선천적으로 서비스로 구동해야 하는 이유로 불필요한 권한들을 가지고 있는 경우가 많다. 서비스로 구동을 시작하더라도 스스로 권한을 조정할 필요가 있는데, 그러한 노력을 하지 않았다.
  4. 서비스로 돌면서 웹브라우저의 요청을 처리해야 하기 때문에 웹서버를 돌린다. 여러 형태의 자체 웹서버를 다양한 포트에서 구동하고 있으며, 바인딩 주소 조차도 127.0.0.1의 로칼이 아닌 범용 주소인 0.0.0.0을 설정하여 RCE의 여지를 남겨 두었다. 이 부분도 단지 코드 한두줄로 해결되는 내용인데, 그 부분에 대해서 노력을 하지 않았다.
  5. 많은 보안 모듈들이 커널 드라이버들을 올린다. 그것도 많이. 얼마나 코드 리뷰나 pen-testing을 통해서 안정성이 검증 되었는지 알 수 없지만, 앞의 예들을 거울 삼아 보건데, 이러한 커널 드라이버들은 해커들에게 또다른 EoP (Escalation Of Privilege)의 기회를 주는 관문이 되지 않을까 하는 걱정이 든다.

이 토크에서는 이러한 선천적인 보안에 취약한 구조를 가진 소위 Non-ActiveX 모듈들이 Lateral Movement 를 통해 어떻게 IoT 와 사내 security appliance 등의 네트워크 장비를 추가적으로 공격할 수 있는지에 시연이 이루어진다. 또한 엔터프라이즈 환경에서 이러한 Non-ActiveX 모듈들에 대해서 방화벽이나 어플리케이션 화이트 리스팅의 측면에서 어떠한 정책을 설정하여 하는지에 대한 논의도 이뤄진다. 혹시 아는가? 이미 Non-ActiveX 모듈들의 취약점을 이용한 APT 공격들이 진행 되고 있을지? 이러한 문제들은 일반적인 보안 문제가 아니기 때문에 또 다른 보안 제품 도입으로 해결할 수 있는 문제가 아니다.


*참치콘 예약 정책: 다음 링크에 들어가서 참가 신청 가능하고, 참가자 신분 확인 절차 거칠 예정입니다. 참치콘에서 공유된 정보는 외부에 공개 불가하고, 다만 기업 내 환경에서 적용과 팀내 공유는 가능합니다.

May/9/2019 (Thr) – Technical Sessions

Full day ticket

StartEndNameSpeakerDescription
17:0017:20The Hitchhiker’s Guide to the Cloud SecurityJune Park
17:2018:10Automatic Decoding of Highly Obfuscated PowerShell CodeMatt OhDescriptionTicket
18:1018:40Non-ActiveX + IOT = OLLEH 🙂XXXXXDescriptionTicket
18:4019:00Tea break/buffer
19:0019:50Practical Threat HuntingsommaDescriptionTicket
20:0020:50Betrayal of Reputation: Trusting the Untrustable Hardware and Software with ReputationSeunghun Han
21:0021:50Recent Android Kernel Exploitation: KNOX Kernel Mitigation Bypassesx82DescriptionTicket

May/10/2019 (Fri) – Intelligence Sessions

Full day ticket

StartEndNameSpeakerDescription
17:0017:504차 산업혁명시대 지능형 제어기기 보안Jungmin KangTicket
18:0018:50Do not blame your parents: from plastic spoon to personal TI environmentEMNSTRDescriptionTicket
19:0019:30주제 비밀 (특정 액터 연구)hypenTicket
19:3020:00해커그룹 004 의 공격패턴과 특징, 그리고 흔적JC Lee
20:0020:50PE보다 스크립트 – 핵인싸 악성코드의 진단 우회방식jzDescriptionTicket
21:0021:50Tick Tock Tick tock – Tick 그룹의 동아시아 지역 10년 활동mstoned7Ticket

May/9/2019 (Thr) – Technical Sessions

Full day ticket

StartEndNameSpeakerDescription
17:0017:20The Hitchhiker’s Guide to the Cloud SecurityJune Park
17:2018:10Automatic Decoding of Highly Obfuscated PowerShell CodeMatt OhDescriptionTicket
18:1018:40Non-ActiveX + IOT = OLLEH 🙂XXXXXDescriptionTicket
18:4019:00Tea break/buffer
19:0019:50Practical Threat HuntingsommaDescriptionTicket
20:0020:50Betrayal of Reputation: Trusting the Untrustable Hardware and Software with ReputationSeunghun Han
21:0021:50Recent Android Kernel Exploitation: KNOX Kernel Mitigation Bypassesx82

May/10/2019 (Fri) – Intelligence Sessions

Full day ticket

StartEndNameSpeakerDescription
17:0017:504차 산업혁명시대 지능형 제어기기 보안Jungmin KangTicket
18:0018:50Do not blame your parents: from plastic spoon to personal TI environmentEMNSTRDescriptionTicket
19:0019:30 주제 비밀 (특정 액터 연구)
hypenTicket
19:3020:00해커그룹 004 의 공격패턴과 특징, 그리고 흔적JC Lee
20:0020:50PE보다 스크립트 – 핵인싸 악성코드의 진단 우회방식jzDescriptionTicket
21:0021:50Tick Tock Tick tock – Tick 그룹의 동아시아 지역 10년 활동mstoned7Ticket

* 참치콘 스케쥴표: https://darungrim.com/intelligence/Chamichicon-2019-05.html

참치콘 CFP 서브미션은 다른그림 사이트를 참조하거나 다음 폼을 사용해 주세요.

Leave a Reply