2012년 4월 26 ~ 27일에 SYSCAN Singapore 컨퍼런스가 개최됩니다. 이번 컨퍼런스에서 발표될 내용들을 정리해보았습니다. 본 정리 글은 보안 전문 뉴스 사이트인 Dailysecu(www.dailysecu.com)의 후원으로 작성되었습니다.
 
Thomas Lim이 한국인들을 위한 특별 오퍼를 제시해줬습니다. 현재 Early bird로 등록하더라도 싱가폴 달러로 $1,000의 입장료를 내야 하지만 (walk-in은 $2,000 싱가폴 달러) 한국에서 오시는 분들을 위해 특별히 $600 싱가폴 달러로 티켓을 제공해주겠다고 합니다.
 
저렴한 가격에 등록할 수 있는 기회이므로, 관심있으신 분들은 저에게 이메일을 보내주시기 바랍니다. beistlab 골뱅이 gmail 닷 컴으로 보내시면 됩니다. 직장인들은 가능한 정상가로 구입하시고, 개인적으로 가보고 싶으신 분들은 할인된 가격으로 월드 클래스 해커들이 제공하는 발표를 직접 들어보시기 바랍니다.
 
- 컨퍼런스 홈페이지 바로가기: syscan.org/
 - 컨퍼런스 등록 페이지: syscan.org/index.php/sg/registrations
 - 발표 일정 페이지
 Day 1 – syscan.org/index.php/sg/program/day/1
 Day 2 – syscan.org/index.php/sg/program/day/2
 - 트레이닝 코스 (24~25일): syscan.org/index.php/sg/training
 
다음은 발표 내용 소개입니다. 컨퍼런스 참가를 고려하고 계신 분은 참고하시기 바랍니다.
 
◇Heaps of Doom – Chris Valasek & Tarjei Mandt
Chris와 Tarjei가 합작 발표입니다. Chris Valasek은 윈도우 운영체제의 Heap memory management를 분석하는 해커로 유명합니다. Tarjei는 2011년 블랙햇 Pwnie award에서 user32k user-mode callback 취약점으로 “Pwnie for Best Privilege Escalation Bug“를 수상한 해커입니다. 유명한 해커 두명이 뭉쳐서 준비한 발표인데, 이번에는 Windows 8의 Heap memory management에 대해서 발표합니다.
 
Offensive 관점에서 봤을 때 기술적으로 어려운 분야는 Stack보다는 Heap입니다. Stack의 경우 보안 메커니즘을 적용하기가 간단한 반면에 Heap은 동적으로 생성되어 관리되는 객체이기 때문에 어렵습니다.
 
이 발표에서는 Windows 7에서 Windows 8 사이의 heap exploitation mitigation들에 대해서 자세히 살펴볼 예정입니다. Heap memory management를 분석하는 일은 쉽지 않지만 그만한 노력을 기울일 가치가 있습니다. 힙 Exploiting에 관심있는 분들께 추천할만한 발표입니다.
[추천 대상] – 힙 exploitation의 방어 기법 및 공격 기법에 관심있는 분
 
◇De Mysteriis Dom Jobsivs – Loukas
이 발표는 EFI(Extensible Firmware Interface)가 루트킷에 어떻게 활용될 수 있는지에 대해 다룹니다. EFI는 오래된 인터페이스인 바이오스를 대체하기 위해서 인텔이 개발한 규격이죠. EFI의 기본 백그라운드에 대한 발표를 시작하고 이것이 어떻게 루트킷에 활용될 수 있는지에 대해 다룹니다.
 
EFI는 운영체제가 부팅되기 전의 프로세스를 담당할 수 있습니다. 반대로 생각해보면, 이것은 security 관점에서는 진지하게 고려되야 할 부분입니다. 왜냐하면 EFI는 운영체제가 부팅이 되기 전부터 시스템을 제어할 수 있다는 의미이고, 따라서 운영체제에 악영향을 줄 수도 있기 때문입니다.
 
쉽게 말하면 루트킷을 만드는데 매우 유용하게 이용될 수 있습니다. 이 발표는 EFI를 이용하여 어떻게 루트킷을 구성할 수 있는지에 대해서 다루고, 특히 Mac OSX 운영체제에 포커스를 맞춰서 이야기를 할 예정입니다.
[추천 대상] – 루트킷 등의 악성 소프트웨어의 개발이나 탐지 방법이 궁금하신 분
 
◇Owning entire organisations with regional software they’ve never heard of – Ryan MacArthur & Beist
본 발표는 저와 iSight에서 근무 중인 Ryan MacArthur에 의해서 진행된 프로젝트이고 기본적으로는 tech talk이 아니며 보안 산업 분야에서 지적되어야 할 문제 중에 하나를 언급하는 발표입니다. 이 발표에서 말하고자 하는 것은, 제 3국에 속한 기업들이 전 세계 유명 보안 회사들의 제품을 구입하기 위해 수백만 달러 이상을 쏟아 부어도, 이것들은 결국 회사 보안에 별 도움이 안된다는 것입니다.
 
예를 들어, 해외의 어떤 안티 바이러스들은 pdf 포맷을 파싱하여 악성 코드를 잡아냅니다. 이것은 대부분의 안티 바이러스들이 단순히 파일 시그내쳐 매칭으로 악성 코드를 잡는 것과는 차원이 다른 좋은 접근 방식이죠. 왜냐하면 대부분의 안티 바이러스들은 공격 파일의 1바이트만 바꾸더라도 시그내처가 달라지서 탐지를 못하기 때문입니다. 반면에 파싱을 통한 안티 바이러스들은은 단순 시그내쳐로 구분하는게 아니라서 탐지 커버리지가 높죠.
 
그러나, 만약 이러한 제품들이 제 3국에서 쓰인다면 그다지 효과가 없습니다. 예를 들어, 한국의 경우 ‘한글’ 프로그램을 많이 사용하고 있는데, 해외 보안 솔루션들은 hwp 포맷을 신경쓰지 않습니다. 결국, 로컬라이제이션을 제대로 해야 솔루션들이 제 값어치를 할 수 있다고 주장하는 발표입니다.
 
여기까지는 기술을 잘 모르는 분들을 위한 제너럴한 토픽이지만, 물론 해커들을 위한 기술 섹션들도 있습니다. 가령, ‘한글’ 프로그램의 취약점 헌팅 과정이나, 발견한 취약점을 이용하여 어떻게 상용 제품을 우회하고 대상 PC를 장악할 수 있는지에 대한 설명도 있을 예정입니다. 또한 잘 알려지지 않은 fuzzing 메커니즘도 소개합니다.
[추천 대상] – 보안 정책 담당자 및 퍼징에 관심있는 분
 
◇I/O, You own: Regaining control of your disk in the presence of bootkits – Aaron LeMasters
bootkits은 아직까지 그다지 널리 쓰인다고는 할 수 없지만 일부 악성 코드들에서 심심치 않게 발생하고 있습니다. 대표적으로 TDL4와 Popureb입니다. bootkits이 많이 사용되지 않는 대표적인 이유는, 비교적 접근하기 어려운 기술이고, 하드웨어와 밀접하게 관련되다 보니 제너럴하게 만드는 것이 힘들기 때문입니다. 그렇지만 무시할 수 있는 주제인 것은 분명하기에 리서처들 사이에서 많은 주목을 받고 있습니다.
 
현재까지 나온 bootkits들은 시스템에 설치된 MBR을 바꿔치기 하여, 해커가 원하는 특정 악성코드를 운영체제에서 실행시킵니다. 이렇게 되면 운영체제를 변조하지 않더라도, 악성 코드를 실행하는 것이 가능해집니다. 즉, 운영체제 단에서 실행되는 안티 바이러스들은 bootkits을 탐지하기가 어렵습니다.
 
bookits들은 감염된 MBR을 숨기기 위해 I/O port를 이용합니다. 이 I/O port를 이용한 방식은 비교적 널리 알려졌다고 볼 수 있는데, 이 발표에서는 I/O에 접근할 수 있는 또 다른 기법을 소개합니다. 바로 windows 운영체제가 제공하는 Crash dump 기능을 이용하는 것이라고 하네요.
 
이 기법이 실제로 얼마나 실용성이 있는지는 모르겠지만, crash dump를 이용하여 I/O를 이용하는 기법은 잘 알려지지가 않았기 때문에, 흥미로운 주제인 것 같습니다.
[추천 대상] – 윈도우 코어 루트킷에 관심있는 해커
 
◇Entomology: A Case Study of Rare and Interesting Bugs – James Burton
- 아직 홈페이지에 발표 개요가 올라오지 않았습니다. TBA!
 
◇Exploiting the Linux Kernel: Measures and Countermeasures – Jon Oberheide
2011년, 리눅스 커널 해킹은 Jon Oberheide와 Dan Rosenberg의 해였습니다. 이 둘은 다수의 리눅스 커널 제로데이를 발견했고, 가장 보안 메커니즘이 잘 구현되어 있다고 평가받는 시스템 중 하나인 PAX의 보안 기술들을 우회하는 기법들을 발표하였습니다.
 
운영체제의 커널 제로데이는 갈수록 그 가치가 올라가고 있습니다. 그 이유는 리눅스 운영체제를 사용하는 안드로이드 스마트폰이 널리 보급되고 있고, 또 커널 제로데이는 샌드박스를 탈출하는데 사용될 수 있기 때문입니다. 특히 커널 제로데이는 샌드박스에서도 여전히 골칫거리인데, 아무리 strict한 샌드박스도 일부 시스템콜은 허용하는 경우가 많습니다. 그런데 만약 이 허용한 시스템콜에 버그가 있다면, 샌드박스를 탈출할 수 있게 됩니다.
 
Duo Security의 CTO인 Jon Oberheide는 본 발표에서 리눅스 커널 보안 메커니즘에 대해서 연구한 내용들을 공유합니다. 리눅스 커널 익스플로잇들의 기법과, 과거와 비교했을 때 보안이 얼마나 견고해졌는지, 앞으로 해결해야 할 문제가 무엇인지 얘기할 것입니다.
[추천 대상] – 리눅스 커널 exploitation 기법에 관심있는 리서처
 
◇ACPI 5.0 Rootkit Attacks Againts Windows 8 – Alex Ionescu
보안을 공부하시는 분들이라면 누구나 Windows Internal이라는 책을 알고 있습니다. Alex Ionescu는 해당 책의 저자 중에 한명이고, 윈도우 운영체제에 대한 깊은 이해를 갖고 있습니다.
 
물론 보안은 운영체제 분야에서 빼놓을 수 없는 파트이지만, Alex Ionescu는 보안에 대해서도 많은 관심을 갖고 있는데, 이번 발표에서는 ACPI 5.0을 이용한 루트킷에 대해서 소개할 예정입니다.
 
Rookit을 구현하는 방법은 굉장히 다양하고 low level로 갈수록 더 강력해지는 것이 정설입니다. 그 이유는, 일반적으로 low level 영역에서는 권한이 높을 뿐더러, 탐지해내기 힘들기 때문입니다. 또한, 사람들이 잘 다루지 않는 분야이기 때문에 자료가 많지 않아 접근 장벽이 비교적 높다고 볼 수 있습니다.
 
Windows 8에 포함될 ACPI 5.0의 일부 기능들에 대해서 설명하고, 해당 기술이 rootkit 제작에 어떻게 악용될 수 있는지 다룰 것으로 보입니다.
[추천 대상] – low level에서의 루트킷 구현에 관심있는 분
 
◇iOS Kernel Heap Armageddon – Stefan Esser
Stefan Esser는 한국에서도 무척 유명한 해커죠. 지금까지 여러 유명한 버그를 발견했고, 리서치 능력도 뛰어난 것으로 정평이 나있습니다. Stefan은 iOS 해킹에 대해서 다년간 연구하고 있는데, 이번 발표는 최근에 진행된 연구 결과에 대해서 발표한다고 합니다.
 
주로 iOS 커널 힙 메모리의 할당을 담당하고 있는 zone allocator에 대해 다룰 것으로 보입니다. 일반적으로 Stack은 관리적인 측면에서 특별할 것이 없어서 단순하지만, 힙은 그 구현 방식이 다양합니다. 힙의 운영 방식에 대해서 이해하는 것은 힙 오버플로우에서 무척 중요합니다. 그 이유는, 메모리 corruption이 일어나고 난 이후의 버퍼 흐름을 적절하게 컨트럴해야 code execution이 가능하기 때문입니다.
 
또한 지금까지 여러 차례 버그가 나왔던 iOS의 IOKit 드라이버 대해서도 소개할 예정인데, 해당 드라이버들에서 메모리 corruption 류의 버그가 일어났을 때, 어떤 방식으로 제어권을 획득할 수 있는지 low level 관점에서 설명한다고 합니다. 기타 제너럴한 이슈들에 대해서도 다룰 예정이니, iOS 해킹을 연구하시는 분들에게는 최고의 기회가 아닐까 생각이 듭니다.
[추천 대상] – 모바일 해킹, iOS 해킹에 관심있는 해커
 
◇Post Exploitation Process Continuation – Brett Moore
Insomnia Security의 Brett Moore는 이번 발표에서 메모리 corruption류의 공격에서 사용될 수 있는 Post Exploitation 기법들에 대해서 소개합니다. 사실 해커에게 만약 여러가지의 공격 벡터가 있을 때, 버퍼오버플로우 등의 메모리 corruption 공격은 우선 순위로 사용되지 않습니다. 프로세스의 메모리를 변조하는 공격들은 제어를 잘못할 경우 크래쉬가 일어날 수 있기 때문입니다.
 
그래서 리얼 월드에서는 Post Exploitation이 중요합니다. 메모리 corruption류의 공격을 통해서 제어권을 획득한 후에는 clean up 과정들을 통해서 프로세스가 죽지 않도록 해야 합니다. 만약 프로세스가 비정상적으로 죽거나 알림 창이 팝업된다면 공격 대상이 인지할 수 있기 때문입니다.
 
Post Exploitation은 사실상 제너럴한 방법은 알려지지 않았습니다. 가장 많이 쓰이는 기법으로는 현재 thread를 강제 종료시키거나 프로세스를 종료시킨 후 재빠르게 다시 실행하는 것이었는데, 이번 발표에서는 좀 더 나은 기법들을 제시한다고 합니다. 특정 대상에 dependant한 기법들을 다룰지, 제너럴한 기법을 언급할지 궁금하군요.
[추천 대상] – 리얼 월드에서 Memory corruption으로 인한 크래쉬 방지 기술들에 대해 살펴보고 싶으신 분
 
◇iOS Applications – Different Developers, Same Mistakes – Paul Craig
이번 발표에서는 보안 코딩 교육을 제대로 받지 않은 프로그래머들이 만들어내는 취약점들에 대해 다룰 것으로 보입니다. 특히 모바일 환경에서의 어플리케이션을 다룰 예정인데요, 이 발표를 통해 보안 코딩의 중요성을 다시 한번 알리는 것이 목적으로 보이네요.
 
보안 취약점은 반복되어 발생합니다. 전혀 다른 프로그래머가 작성을 하더라도, 완전히 동일한 유형의 취약점이 발생되죠. 보안 교육을 제대로 받지 않은 프로그래머들이 작성하는 코드들은 대부분 심각한 보안 문제점이 있습니다. 이들은 기능을 구현하는 과정은 잘 알고 있지만 자신이 작성하는 코드에서 보안 문제점이 발견될 경우 생길 일들에 대해서는 상상하지 못합니다.
 
Paul Craig은 iOS 모바일 뱅킹 어플리케이션의 보안성을 검증하기 위해 자신이 접근하는 방법을 설명하고, 발견해왔던 케이스들을 공유한다고 합니다.
[추천 대상] – 모바일 뱅킹 어플리케이션 보안이 궁금하신 분
 
◇Automating the Identification of Data Structures Inside Binaries – Edgar Barbosa
소스가 공개되지 않은 프로그램에서 사용되는 각종 데이터 스트럭쳐들의 타입을 자동으로 분석할 수 있다면, 여러모로 유용합니다. 가장 대표적인 예는 두가지인데, 첫째는 리버싱 작업을 굉장히 쉽게 해줄 수 있고 둘째는 효과적인 퍼징을 수행할 수 있게 도와줍니다. 가령, 퍼징 시에 데이터 타입을 미리 알 수 있다면 해당 데이터 타입에 맞는 테스트 케이스를 작성할 수 있기 때문입니다.
 
본 발표에서는 x86 환경에서 Intermediate Language를 이용하여 데이터 스트럭쳐의 타입을 자동으로 알아내는 방법을 연구한 내용을 애기합니다. 동적, 정적 분석을 활용하였고, 심볼 파일을 이용한 것이 아니라고 합니다. 실제 마이크로소프트 바이너리들을 대상으로 데이터 타입을 알아내는 데모를 보일 예정이라고 하는군요.
 
발표자인 Edgar Barbosa는 그 유명한 가상 머신 루트킷인 Blue Pill의 개발자 중에 한명입니다.
[추천 대상] – 자동화 분석에 대해 관심있으신 분
[글. beistlab.com / 이승진]