threat intelligence report insight · 2018-08-30 · insight 2018 08 threat intelligence report...
TRANSCRIPT
INSIGHT
2 0 1 8
08
Threat Intelligence Report
EQST(이큐스트)는 ‘Experts, Qualified Security Team’
이라는 뜻으로 사이버 위협 분석 및 연구 분야에서 검증된
최고 수준의 보안 전문가 그룹입니다.
Special Report
Threat Analysis
Research & Technique
최신 보안 동향과 해킹 기술 현황은? 1
암호화폐 채굴 악성코드에 대응하라! 7
‘Black Hat USA 2018’을 통해 살펴본 자동차 해킹과 시스템 해킹 17
Contents
EQST insight | 1
최신 보안 동향과 해킹 기술 현황은?
- Black Hat USA 2018과 DEF CON 26 보안 컨퍼런스 참가 보고서
Black Hat USA와 DEF CON은 매년 라스베이거스에서 개최되는 보안 컨퍼런스이다. 전 세계의 많은 보안 전문가
들이 컨퍼런스에 참여하여, 최신 보안 동향과 연구 및 해킹 기술을 공유한다. Black Hat은 DEF CON에 비해 비즈
니스 성향이 강해 보안 담당자에게 교육하는 Training 세션, 스폰서 세션이 추가로 구성되어 있다. 컨퍼런스 일정은
미국 서부 시간을 기준으로 Black Hat USA 2018은 8월 4일부터 9일까지 총 6일간, DEF CON 26은 8월 9일부터
12까지 총 4일간 진행되었다.
Black Hat USA 2018의 개막을 알리는 기조연설에서 구글의 엔지니어 디렉터인 파리사 타브리즈(Parisa Tabriz)는
보안 업계의 프로젝트 수행 방식을 개선하기 위한 3가지 방안을 제시하였다. 그 내용은 다음과 같다. 첫째, 취약점
조치에 만족하지 말고, ‘5 Whys’와 같은 기술을 활용하여 문제에 대한 질문을 통해 근본적인 원인을 파악할 것! 둘
째, 프로젝트 내 단계 목표를 정하여 중요한 성과가 있을 때마다 이를 인정해주고 자축할 것! 셋째, 프로젝트 진행
과정에서 직면하고 있는 어려움을 경영진과 동료들에게 공유하고, 외부 협조를 통한 협력이 필요함을 인식할 것!
이러한 기조연설을 통해 파리사 타브리즈는 우리가 직면한 현재의 문제를 명확하게 인지하고, 이를 해결하기 위해
서는 보안 실무자와 경영진들의 이해와 노력이 필요하다는 것을 다시 한번 상기 시켜주었다.
지금부터는 두 컨퍼런스를 직접 참관하며 파악한 세계 전반의 보안 동향과 보안 취약점에 대한 내용을 살펴보고자
한다.
Special Report
EQST insight | 2
Black Hat USA 2018
Black Hat은 크게 주요 세션인 트레이닝(Training), 브리핑(Briefing)과 그 외의 비즈니스 홀(Business Hall), 아스날
(ARSENAL) 등으로 구성되어 있다. ‘트레이닝 세션’에서는 암호화, 방어, 사물인터넷(IoT), 멀웨어 분석, 모의해킹
등의 보안 전문가가 진행하는 교육을 듣고, 실제 실습을 할 수 있는 훈련 과정이 진행된다.
그리고 ‘비즈니스 홀’ 세션에서는 약 290 개의 업계 선두 기업 및 솔루션 제공 업체가 참여하여, 자사의 주요 솔루
션을 안내 및 홍보하는 활동을 진행한다. 많은 기업이 참여한 덕분에 사이버 위협 인텔리전스(CTI), 엔드포인트 보
안 플랫폼(EPP), 엔드포인트 위협 탐지 및 대응 (EDR), 멀웨어 분석, 사고조사, 가상화, 보안 정보 및 이벤트 관리
(SIEM), 2차 인증 등의 다양한 솔루션을 확인할 수 있었다. 일부 솔루션에서는 머신 러닝을 통해 사용자의 이상 행
위를 탐지하는 기술, 서비스로써의 소프트웨어(SaaS) 방식의 중앙집중식 관리 지원 등 최신 IT기술이 접목되고 있
음을 발견할 수 있었다.
‘아스날’에서는 CMS 취약점 탐지, 사물인터넷(IoT) 보안 테스트, 취약점 평가 및 관리 도구, 카드 복제, 웹 어플리
케이션 등을 포함한 총 91개의 오픈 소스 도구가 소개되었다. 도구의 소스 코드는 GitHub에 업로드되어 있어, 이를
활용해 취약점을 분석하고 진단하는 데 활용할 수 있다.
EQST insight | 3
‘브리핑’ 세션은 멀웨어, 네트워크, 플랫폼, 리버스 엔지니어링, 웹 등의 여러 보안 분야에 존재하는 취약점이나 해
킹 기법에 관한 연구내용을 발표하는 형식으로 진행된다. 그 내용을 정리하면 아래와 같다. 이를 통해 새로운 웹 취
약점 유형을 확인하고, 펌웨어 해킹 관련 내용을 살펴보고자 한다.
1. 웹어셈블리 (WebAssembly) : A New World of Native Exploits on the Browser
웹어셈블리를 활용하면 웹 개발자는 웹 페이지 상에서 네이티브(Native) 성능의 코드 실행이 가능하다. 이는 처리
성능이 중요한 그래픽, 연산, 실시간 처리 등에 활용하기 위해 만들어 졌다고 한다. LLVM(Low Level Virtual Ma-
chine) 기반의 엠스크립튼(Emscripten) 을 활용하여 네이티브 코드를 작성할 경우, 기존 FSB(Format String Bug),
BOF(Buffer overflow), RCE(Remote Code Execution) 취약점이 발생할 가능성이 있다고 한다. 이에 대한 데모로
XSS(Cross Site Scripting), FP(Function Pointer) Overflow, Server-side RCE를 보여줌으로써 실제 보안 위험을 확
인시켜 주었다.
2. New Trends in Browser Exploitation: Attacking Client-Side JIT Compilers
Javascript 엔진의 구성(Parser, JIT Compiler, Interpreter, Runtime, Garbage Collector)에 대한 개요를 시작으로
WebKit JIT(Just-In-Time) 컴파일러의 내부에서 발생할 수 있는 취약점들이 설명되었다. 대표적으로 경계 검사
(Bounds-Check Elimination), 코드 최적화에 의한 중복 제거(Redundancy Elimination Bugs) 과정에서 발생할 수
있는 취약점에 대한 설명과 함께 아래의 주요 취약점들이 다루어졌다.
- CVE-2017-2536: WebKit/JavaScriptCore에서 발생하는 Integer overflow.
- CVE-2018-4233: Array, Proxy의 Type Confusion을 이용한 RCE 취약점
3. Remotely Attacking System Firmware
펌웨어의 보안 취약성이 꾸준히 증가하고 있음이 이슈로 언급되었다. 이러한 취약점들은 로컬 또는 물리적 접근을
필요로 하지만, 최근에는 시스템 펌웨어에 대한 원격 공격에 대한 위협이 늘고 있다고 한다. 먼저 BMC(Baseboard
Management Controller) / IPMI (Intelligent Platform Management Interface), ME(Intel Management Engine) /
AMT (Intel Active Management Technology)의 개념과 특징이 설명되었다. 이후 최근 거의 대부분 마더 보드(295
개의 모델)에 해당 취약점이 존재함을 언급하면서, 새로운 부분에서 네트워크 기능이 추가되고 있음을 소개하였다.
UEFI 내의 기능을 통해 펌웨어 온라인 업데이트 할 수 있는 ASRock, ASUS, HP 업체들의 바이오스 화면을 보여주
고, 이에 대한 익스플로잇도 진행되었다.
EQST insight | 4
DEF CON 26
비즈니스 성향이 강한 Black Hat과 달리 DEF CON은 크게 발표(Presentation), 데모 랩(DEMO LAB), 빌리지(Vil-
lage) 세션으로 구성되어 있다. 또한, 컨퍼런스의 시작과 함께 DEF CON CTF도 진행된다.
DEF CON의 발표 세션은 블랙햇의 브리핑과 동일하게 발표자가 취약점 분석 혹은 공격 기술에 관해 연구한 결
과를 발표한다. 데모 랩은 해커가 직접 개발한 도구 혹은 작업 결과를 공유하고, 피드백을 주고 받을 수 있게 오픈
된 공간이다. 여러 데모 중 2 가지 데모(WIFICACTUS, Expl-iot)에 대해 설명하면 다음과 같다. ‘WIFICACTUS’는
2.4, 5Ghz 60 여러 개의 채널을 청취 할 수 있는 무선 모니터링 장치를 제작한 과정과 무선 네트워크 해킹의 위협을
분석한 내용을 공개하였다. ‘Expl-iot’는 직접 개발한 사물인터넷(IoT) 익스플로잇 도구를 활용하여 취약점을 확인
하고, IoT 기기의 온도를 조작하는 데모를 시연하였다. 현재는 루비(ruby) 언어로 개발되어 있지만, 이를 파이썬 코
드로 변환하여, 추후 UART, ZigBee, Ble 등 다양한 케이스에 대해 지원할 계획이라고 한다.
EQST insight | 5
빌리지 세션은 다양한 주제를 다룬다는 측면에서 데모 랩과 유사하다. 하지만 발표 세션처럼 발표자가 연구 결과를
설명하기도 하고, 미니 게임, Challenge 등과 같은 이벤트를 제공하기도 한다. 자물쇠 풀기 실습(Lockpick Village)
에서는 실제 물리적인 잠금 장치를 해체하는 실습을 통해 잠금 장치의 취약점을 발견하기도 했고, 개봉 흔적 실습
(Tamper evident)에서는 다양한 보안용 봉인 테이프 혹은 케이블을 제거하거나, 정해진 시간 내에 폭탄 해체를 시
도할 수도 있었다.
발표 세션에서는 보안 전문가들이 발표한 주제 중에서 보안 동향과 최신 해킹 기술이 접목된 취약점에 대해 소개하
였다. 주요 내용은 다음과 같다.
1. NSA Talks Cybersecurity
암호화폐, 사물인터넷(IoT), 클라우드 컴퓨팅의 발달로 온라인 커뮤니티가 더욱 빠르게 성장하는 반면, 사이버 해
킹이 역시 빈번하게 발생하고 있다. NSA는 현재 미국과 사이버 보안 영역에 위협을 주는 4가지 요인과 대응 방안
에 대해 언급하였다. 4가지 위협 요인으로 첫째, 사이버 공격이 더욱 정교해지고 있으며 둘째, 쉽게 사용할 수 있는
새로운 인터넷 도구들이 개발되면서 해킹을 위한 전문 지식도 낮아지고 있다. 셋째, 해킹 트렌드가 착취에서 서비
스 중단으로 변화하고 있으며 넷째, 사이버 침입을 통해 정보를 조작하여 잘못된 정보를 확산시켜 악의적인 행위를
하고 있다. NSA는 혁신적인 기술을 사이버 방어에 도입하고, 다른 기관들과의 협력을 통해 사이버 위협을 막아야
한다고 제시하였다.
2. Your voice is my passport
머신 러닝의 발달로 ‘텍스트를 음성으로 변환해주는 시스템’이 타인의 음성 파일로 학습하여 고 품질의 오디오를
합성할 수 있다는 것이 증명되었다. 그 결과 음성 인증 시스템이 문자 음성 변환 공격으로 권한이 우회된다. 이러한
공격을 수행하기 위한 방법은 텍스트를 음성을 변환하는(TTS) 오픈 소스 모델(Tacotron)을 훈련시킴으로써 가능
하다. 모델 훈련에 사용할 데이터를 수집하기 위해 유튜브에서 고음질의 오디오를 획득하여 가공하거나, 24시간 이
상의 데이터를 제공하는 오픈 소스 데이터(Blizzard, LJ Speech)를 사용하면 된다. 이러한 공격 외에도 오디오에 명
령을 삽입해 머신 러닝 시스템 자체에 공격할 수 있고, 머신 러닝 시스템을 이용하여 피싱과 같은 공격도 발생할 것
이라고 전망하고 있다.
EQST insight | 6
3. Your Watch Can Watch You! Gear Up for the Broken Privilege Pitfalls in the Samsung Gear
Smartwatch
스마트워치 Gear의 운영체제 타이젠(Tizen)은 프로세스 간 통신 시스템 D-Bus(Desktop Bus)를 기반으로 한다. 이
는 클라이언트 프로세스가 메시지를 요청하면, Cynara에 의해 권한 검증을 수행한 후 서비스 프로세스에서 응답
메시지를 전송한다. 그러나 일부 함수에서 권한이 없는 요청에 대해서 엑세스 거부(AccesssDenied)를 반환하지 않
아, 권한 우회 취약점이 존재하는 것을 확인하였다. 이를 위해 D-Bus 분석기를 통해 모든 객체에 대해 속성과 호출
가능한(D-Bus에서 에러를 반환하지 않음) 함수를 수집하였다. 그 결과 Wi-Fi, 블루투스, 스크린, 알림, 이메일 등
의 권한을 우회하여 임의 명령이 실행 가능한 것을 확인할 수 있었다. 해당 취약점은 패치되었다.
시사점
우리가 현재 접하고 있는 IT환경은 4차 산업혁명으로 인해 급격하게 발전하고 있다. 이에 따라 알려지지 않은 잠재
적 취약점이 지속적으로 나타나고 있다. 머신 러닝과 딥 러닝 기술은 멀웨어를 분석하거나 탐지하기 위한 수단으로
활용되고 있으며, 해커가 사용되는 기술과 도구 역시 진화하고 있다.
올해 Black Hat USA 2018과 DEF CON 26 보안 컨퍼런스에서 인공지능(AI), 머신 러닝(Machine Learning), 사물
인터넷(IoT), 웨어러블 디바이스 등을 이용한 해킹 방법이 다수 발표되었다. 향후 공격은 AI가 포함된 형태의 악성
코드(DeepLocker)가 지속적으로 발견될 것이며, 머신 러닝을 통해 학습된 데이터를 활용해 시스템을 공격하는 형
태로 발전할 것으로 예상된다.
국내에서도 이러한 기술들에 대해 경쟁력을 갖추기 위해서는 최신 공격에 대한 위협 탐지와 분석 방법에 대한 연구
가 필요한 시점이다.
EQST insight | 7
파일리스(Fileless) 악성코드란?
파일리스 악성코드는 말 그대로 파일로 존재하지 않고 메모리 또는 레지스트리 상에서만 동작하는 악성코드를 말
한다. 주로 윈도우에 기본적으로 탑재된 파워쉘(Powershell)과 윈도우 관리 도구 명령줄 유틸리티(WMIC, Win-
dows Management Instrumentation Command-line)를 통해 작동하며, 파일이 없기 때문에 기존의 파일 기반 탐지
만으로는 탐지가 어려운 특징이 있다. 과거의 파일리스 기법은 주로 랜섬웨어 유포에 이용되었지만, 최근에는 암호
화폐 채굴을 수행하는 마이너(Miner) 악성코드 유포에도 이용되고 있다. 그 비중 또한 빠르게 증가하고 있어 메모
리 기반 탐지 강화 등의 적절한 대처가 필요하다.
암호화폐 채굴 악성코드에 대응하라! - 워너마인 악성코드를 이용한 모네로 암호화폐 채굴
Threat Analysis
EQST insight | 8
워너마인(WannaMine)의 주요 특징
최근 등장한 워너마인은 파워쉘(Powershell)을 이용한 파일리스(Fileless) 형태의 악성코드로 모네로(Monero) 암
호화폐를 채굴한다. 워너마인의 몸체는 Base64로 인코딩되어 있으며, 감염과정에서 사용할 해킹 도구, 필수 라이
브러리 등을 포함하고 있다. 주요 특징으로는 웜(Worm)과 같이 스스로 전파하는 기능을 들 수 있다. 전파 경로는
RPC(Remote Procedure Call) DCOM을 이용하거나 이터널블루(EternalBlue) SMB 취약점을 이용해 전파된다. 또
한, 악성코드의 지속성 유지를 위해 작업 스케줄러 등록 및 WMI(Windows Management Instrumentation) 쿼리
(Query)를 이용한다. 이 중 WMI는 윈도우의 서버나 PC를 관리하기 위한 인터페이스로 모든 리소스를 관리하고
모니터링 할 수 있으므로 사용자의 주의가 요구된다.
감염 현황
0
180,000
160,000
140,000
120,000
100,000
80,000
60,000
40,000
20,000
1 3 5 7 9 11 13 15 17 19 21 23 25 27 29 31
[2018년 7월 통계]
2018년 7월 한 달 동안의 해당 이벤트 탐지 추이 분석 결과, 월초에는 큰 변화가 없었지만 월 말에 급증한 것으로
확인되었다. 이는 최근 국내에 파일리스 형태의 암호화폐 채굴 악성코드 유포가 빠르게 확산되고 있음을 의미한다.
EQST insight | 9
산업별 분포를 살펴보면, IT 분야가 전체의 25.14%로 가장 높았고, 그 뒤로 서비스, 제조, 식품, 금융, 교육, 통신, 의
료, 물류 순으로 확인되었다.
A社 사고 사례
A社의 경우 외부에서 접근 가능한 웹 어플리케이션 서버의 취약점을 통해 최초 시스템 권한이 탈취되었다.
25.14%
17.05%
15.64%
14.59%
9.97%
6.95%
6.57%4.04%
IT 서비스 제조 식품 금융
교육 통신 의류 물류
[WAS Exploit]
EQST insight | 10
NET 유틸리티를 이용하여 새로운 계정을 생성한 후, 해당 계정을 이용하여 RDP 터미널 접속을 시도한다.
시스템 권한이 탈취된 서버는 워너마인 악성코드에 감염되고, 이후 시스템 정보 수집 기능의 악성코드를 추가로 다
운로드한다.
활성화되어 있는 RPC DCOM 기능을 이용하여 특정 네트워크 대역의 내부 전파를 시도한다.
[악성코드 다운로드]
[내부 전파 시도]
[터미널 접속]
[계정 생성]
EQST insight | 11
워너마인 악성코드에 감염된 서버는 최종적으로 모네로 암호화폐 채굴을 수행한다.
A社 사고 사례 TTPs 및 공격 정보 분석
- TTPS(Tactics, Techniques and Procedures)
- 악성코드 유포지 및 C&C 정보
Tactics 모네로 암호화폐 채굴
Technics WEB/WAS Exploit을 통해 파일리스 악성코드 감염
Procedures
① WEB/WAS Exploit
② 최초 파일리스 악성코드 감염
③ RPC DCOM 이용 1차 내부 전파 시도
④ 이터널블루 SMB 취약점 이용 2차 내부 전파 시도
⑤ 모네로 암호화폐 채굴 수행
IP URL
185.128.43.62 update.7h4uk.com
192.74.245.97 info.7h4uk.com
185.128.43.58 f4keu.7h4uk.com
[마이닝 풀 연결]
EQST insight | 12
- 모네로 채굴 정보
수집 악성코드 분석
감염된 서버는 ARP Broadcasting을 이용하여 C Class 대역을 스캐한 후, RPC DCOM 기능을 이용해 내부 전파를
시도한다. 또한 핑캐슬 스캐너(PingCastle Scanner)를 이용해 B 클래스 대역의 445/tcp 포트를 스캔하여 이터널블
루 SMB 취약점(MS17-010) 공격을 시도한다.
마이닝 풀 지갑 주소
xmr-eu1.nanopool.org:14444 4B9oDLDgeLnWnE9y2snHC3N2fX5CnBFMvQw1hgyZkhd8Vfg3nVAzJ2m-
VND9eryd5ZmauBredcbxtLMU35t346K6cPPQt7Btpool.minexmr.com:80
xmr-eu2.nanopool.org:14444
xmr-us-east1.nanopool.org:14444
xmr-us-west1.nanopool.org:14444
xmr-us-asia1.nanopool.org:14444
78.46.91.134:80(pool.minexmr.com)
[악성코드 동작 흐름]
❺ Monero 채굴 시작
❻ ARP Broadcating
Y
N 445/tcp
❹OS 버전 CPU
성능 전송
❾ antivirus.ps1다운로드 및 실행
❼
❽ DNS Query
감염서버(antivirus.ps1)
fk4eu.7h4uk.com
❸cohrence.exe
xmr.eu.1.nanopool.org:14444
2차 감염서버
3차 감염서버
3차 감염서버
3차 감염서버
3차 감염서버 3차 감염서버
IP 존재 여부확인
Mimikatz.exe(계정탈취)
update.7h4uk.com:443
info.7h4uk.com:443
❷ 버전정보(1.8) 획득
❶ DNS Query
PingCastle Scanner(B Class)
EQST insight | 13
파워쉘 악성코드는 동작할 때 필요한 여러 개의 변수들을 인코딩하여 파일로 저장하고 있다.
파워쉘 프로세스의 개수가 8개 이하일 경우 채굴 코드를 수행한다.
악성 행위를 지속시키기 위해 WQL을 이용한 쿼리를 설정한다. 실행 주기는 5600초(약 1시간 30분)으로, 해당 시
간마다 설정된 스크립트가 자동으로 실행되어 지속성을 유지한다.
[인코딩 데이터]
[모네로 채굴]
[WMI 쿼리]
EQST insight | 14
배치 파일(%SystemRoot%\Temp\y1.bat)을 이용한 스케줄링을 수행하며, 부팅 시 또는 20분 간격으로 악성코드
유포지에 주기적으로 접근한다.
[실행 스크립트]
[작업 스케줄링 등록]
EQST insight | 15
네트워크(Network)의 주소를 분리하고 서브넷 마스크를 이용하여 스캐닝을 수행하는데, 169.254로 시작하거나
127.0.0.1과 같은 루프백 주소들을 제외한다.
RPC DCOM 기능을 이용하여 원격 명령 실행을 통해 감염을 시도한다.
[내부 스캐닝]
[원격 연결 시도]
[원격 명령 실행]
EQST insight | 16
이터널블루 SMB 취약점을 이용하여 감염을 시도한다.
대응방안
감염 시 조치사항
구분 대응 방안
UserLevel
· 출처가 불명확한 이메일 열람 금지 · 비업무 사이트 접근 및 의심 URL 링크 실행 금지
ApplicationLevel
· WEB/WAS 최신 업데이트· 백신 최신 업데이트 및 주기적인 정밀검사
OSLevel
· OS 신규 취약점 패치 버전 업데이트 작업 수행· 개인용 PC 파워쉘 비활성화· DCOM Object 비활성화
NetworkLevel
· 135 / 139 / 445 tcp port 차단· 아웃바운드 차단 정책 검토
구분 대응 방안
Process Kill· 악성 프로세스 및 미사용 파워쉘 프로세스 종료· 분석 샘플의 경우 악성 프로세스 이름
- cohernece.exe, powershell.exe
File Delete· 임시 폴더에 악성 파일 제거(백신 정밀 검사 권고)· 분석 샘플의 경우 악성 파일 경로
- (사용자 계정)\AppData\Local\Temp\2\cohernece.exe
Task Delete· 작업 스케줄러에 미사용 예약 작업 제거· 분석 샘플의 경우 악성 스케줄 이름
- Windows Log Tasks, System Log Security Check
WMI Delete
미사용 WMI 설정 제거· 확인방법
1) sysinternals suite에 포함된 Autoruns 도구 관리자 권한 실행2) 상단의 탭에서 WMI 클릭3) 도구 하단의 등록된 스크립트 확인4) 미사용 시 해당 엔트리 선택 후 우클릭하여 삭제
· 분석 샘플의 경우 악성 WMI 쿼리
[SMB 스캐닝]
EQST insight | 17
‘Black Hat USA 2018’을 통해 살펴본 자동차 해킹과 시스템 해킹
Research & Technique
보안·해킹의 최신 기술을 발표하고, 관련 교육을 제공하는 최대 보안 컨퍼런스인 ‘Black Hat USA 2018’이 8월 4
일부터 9일(미국 서부시간 기준)까지 총 6일간 미국 라스베이거스에서 진행되었다. Black Hat은 크게 트레이닝
(Training), 브리핑(Briefing) 그리고 그 외의 프로그램(Business Hall, Arsenal, Career zone, Innovation City 등)으로
구성되어 있다. 컨퍼런스 기간 중 나흘 동안은 실습 기반의 트레이닝 세션을, 나머지 기간에는 연구 결과를 발표하
는 브리핑 세션이 진행된다. 그중 트레이닝 세션에서는 최신 기술 관련 해킹 기법과 심화된 침투 테스트 방법을 교
육 및 실습한다.
이번 달 < Research & Technique >에서는 ‘Black Hat USA 2018’ 트레이닝 과정에서 진행된 ‘CAR HACKING
HANDS-ON’과 ‘DARK SIDE OPS 2 - ADVERSARY SIMULATION’ 총 2가지 내용을 함께 살펴보고, 해킹 기
술을 공유하고자 한다.
EQST insight | 18
Black Hat Training 1 - CAR HACKING HANDS-ON
사물인터넷(IoT)의 발달로 자동차와 인터넷의 접속이 가능해지면서 ‘커넥티드 카(connected car)’가 등장하게 되었
다. ‘커넥티드 카’란 다른 차량이나 교통·통신 기반 시설과 연결되어 내비게이션, 원격 차량 제어 등과 같은 서비스
를 제공하는 것을 의미한다. 하지만 이렇게 외부 네트워크가 폐쇄망인 자동차 내부 네트워크(CAN)에 접속이 가능
해지면서 해킹 사례가 증가하고 있다. 특히 자동차 해킹으로 인한 오작동은 운전자와 보행자의 생명과 직결되어 있
기 때문에 보안의 중요성이 더욱 높아지고 있다.
자동차 보안에 대한 중요성이 커지고 있는 만큼, 올해 ‘Black hat USA 2018’에서는 자동차 제조/공급 업체, 임베디
드 보안 담당자 등을 대상으로 ‘CAR HACKING HANDS-ON’라는 훈련 과정이 진행되었다. 교육 과정은 자동차
전자 시스템과 통신 네트워크의 개념, CAN bus를 구축하여 네트워크 데이터를 송·수신하는 과정으로 구성되었다.
이제부터는 자동차 해킹을 위한 자동차 네트워크의 기본적인 개념 설명과 CAN을 이용해 메시지를 요청하고 응답
받는 과정을 살펴보고자 한다.
[CAR HACKING HANDS-ON 훈련]
EQST insight | 19
1. 자동차 네트워크의 기본 개념 소개
- ECU(Electronic control unit, 전자제어장치)
자동차가 고성능화되면서 자동차 내의 서브 시스템을 제어하는 ECU(Electronic control unit, 전자제어장치)를 탑
재하게 되었다. ECU의 종류에는 엔진 제어 모듈(ECM, Engine Control Module), 변속기 제어 모듈(TCM, Trans-
mission Control Module), 중앙 제어 모듈(CCM, Central Control Module), 브레이크 제어 모듈(Brake Control
Module, BCM) 등과 같은 제어 모듈이 포함된다. 이러한 ECU들은 네트워크로 연결되어 있어 데이터 공유와 제어
가 가능하다. 이를 통해 자동차 정보를 확인하고 기능 오작동 여부를 점검할 수 있게 되었다.
현재 자동차에는 약 80개 이상의 ECU가 탑재되어 있으며, 자동차 업체마다 ECU가 제어하는 시스템이 다르다. 따
라서 이에 따른 제어 데이터도 상이하다.
- CAN(Controller Area Network) bus 통신
CAN bus는 자동차의 네트워크 통신을 위해 공통으로 사용하는 프로토콜로, 중앙관리자 없이 각 ECU 간 독립적으
로 버스를 통해 차량 동작 데이터를 송·수신할 수 있다. 각 자동차 제조업체마다 적합한 프로토콜을 사용하는데, 표
준으로 사용되는 대표적 프로토콜은 OBD(On-Board Diagnostics)-Ⅱ 커넥터에 연결되는 CAN이다. CAN 프로
토콜은 OSI 7계층에서 물리 계층(Physical Layer)과 데이터 링크 계층(Data Link Layer)에 해당하며, 케이블을 통해
물리적으로 연결하여 프레임을 전달하는 역할을 한다.
CAN은 Micro Controller, CAN Controller, CAN Transceiver로 구성된다. Micro Controller는 명령에 따라 TTL
레벨의★ Tx(Transmit), Rx(Receive)신호를 송·수신하는 역할을 한다. CAN Transceiver는 CAN bus로 데이터를 전
송하기 위해 Tx신호를 CAN 규격인 차동 신호로 변환하거나, 데이터 수신을 위해 차동 신호를 Rx신호로 변환하여
CAN Controller로 전송한다.
★ TTL레벨: 전압을 0, 1로 구분한 신호방식
Electronic Control Unit (ECU)
Microcontroller
CAN Controller
CAN Transceiver
CAN bus Line
CANH
Tx
CANL
Rx
[CAN bus]
EQST insight | 20
CAN은 데이터 전송을 위해 꼬임선(CAN High, CAN Low)을 사용한다. 꼬임선 중 한 선이 전압을 발생시키면 다
른 선에서 동일한 양만큼 전압을 낮추어 차동 신호를 발생시킨다. 예를 들어, CAN High의 전압이 1V만큼 증가하
면 CAN Low의 전압이 1V 낮아져 신호의 차이가 2V가 되고, 이때 실제 전송되는 데이터 비트는 ‘dominant(0)’이
다. 반면 신호 차이가 없을 경우 데이터 비트는 ‘recessive(1)’이 전송된다. 자동차 내의 센서들과 ECU들이 앞에서 언
급한 신호를 감지하여 처리하는 것이다. 일반적으로 폭스바겐, 피아트, 현대자동차에서 Body 네트워크로 사용된다.
CAN 메시지 프레임 구조는 표준형(Standard), 확장형(Extended) 총 2가지 종류가 있다. 표준형은 ID에 11Bit를 저
장할 수 있는 반면, 확장형은 29Bit로 더 큰 ID값을 저장할 수 있다. 지금부터는 프레임의 각 필드가 무엇을 의미하
는지 살펴보고자 한다.
Arbitration Field(식별자)는 통신을 시도하는 디바이스를 식별하기 위해 고유 ID값을 저장하는 공간이다. Identifier
Extension(식별자 확장 비트)는 표준형 CAN bus 프레임에서 항상 ‘0’ 값을 갖는다. Data Length Code(데이터 길이
코드)는 데이터 바이트 수(0~8 byte)이며, Data Field(데이터 필드)는 전송할 데이터를 저장한다.
[표준형 CAN 프레임 구조]
DATA
CAN HICAN LO
0
Arbitration Field Control Data CRC FieldComplete CAN Frame
End of Frame11 154 8
0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 01 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 11 1
Sta
rt of
Fra
me
ID10
ID9
ID8
ID7
ID6
ID5
ID4
ID3
ID2
ID1
ID0
Req
u.Rem
ote
ID E
xt. Bit
Res
erve
dDL3
DL2
DL1
DL0
DB7
DB6
DB5
DB4
DB3
DB2
DB1
DB0
EOF6
EOF5
EOF4
EOF3
EOF2
EOF1
EOF0
IFS2
IFS1
IFS0
CRC14
CRC13
CRC12
CRC11
CRC10
CRC9
CRC8
CRC7
CRC6
CRC5
CRC4
CRC3
CRC2
CRC1
CRC0
CRC D
elim
iter
Ack
now
. Slot Bit
Ack
now
. Delim
iter
[차동 신호 예시]
1
0
3.5 V
2.5 V
1.5 V
CANH
CANL
recessive recessive
dominant
그림 출처 : https://en.wikipedia.org/wiki/CAN_bus
EQST insight | 21
확장형 프레임의 경우, 표준형 프레임과 달리 Arbitration Field(식별자) 영역에 메시지 우선 순위를 나타내는 식
별자가 크기 11bit, 18bit인 두 부분으로 구성되어 있다. Identifier Extension(식별자 확장 비트)는 데이터 프레임의
경우 dominant(0)이고, 원격 요청 프레임인 경우 recessive(1)이다. Data Length Code(데이터 길이 코드)와 Data
Field(데이터 필드)는 표준형과 동일하다.
- 자동차 진단 표준 프로토콜: ISO 15765-2 & ISO 14229
ISO 15765-2은 CAN bus에서 데이터 패킷을 전송하기 위한 전송 프로토콜로, 네트워크 층(Network Layer)과 전
송 층(Transport Layer)에 해당한다. 일반적으로 통합 진단 통신 프로토콜인 UDS(Unified Diagnostic Services)를
사용하는 자동차에서 진단 메시지를 주고받는 데 이용된다. 이 프로토콜은 CAN 프레임으로 8바이트 이상의 메
시지 전송이 가능하다. 긴 메시지일 경우 여러 개의 프레임으로 분할되고, 각 프레임을 해석하기 위한 메타 데이터
(Protocol Control Information, PCI)가 추가되어 수신 시 온전한 메시지 패킷으로 재구성된다. 메시지 패킷 당 최대
4,095바이트를 전달할 수 있다. 대부분의 자동차(GM, Ford, Chrysler, BMW, Toyota 등)에서 진단 프로토콜로 사
용하고 있다.
ISO 14229(UDS)는 통합 진단 서비스로 자동차 ECU의 진단 기능을 제어하기 위해 진단 서비스의 요구사항을 표준
화한 것이다. 이는 ISO 15765-2 전송 층을 기반으로 한 OSI 7계층의 애플리케이션 층(Application Layer)에 해당
하며, 자동차 서버를 모니터링 및 진단하기 위해 사용된다. 폭스바겐, 포드, 크라이슬러/피아트 등 자동차업체에서
광범위하게 사용되고 있다.
Diagnostic application
User defined(e.g. ISO 11898-2/-3)
Physical media
ISO 15765-3Diagnostics on CAN
Part 1: Implementation of unified diagnosticservices (UDS)
ISO 15765-2Diagnostics on CAN
Part 2: Network layer services
ISO 11898-1Controler Area Network (CAN)
Part 1: Data link layer and physical signalling
Application
Application layer
Network layer
Data link layer
Physical layer
[OSI 모델에 자동차 진단 프로토콜 구현]
EQST insight | 22
2. CAN bus 프로토콜을 이용한 자동차 진단 실습
- 자동차 진단 실습 준비물
하드웨어- ValueCAN(USB) Tool: PC를 CAN bus에 연결하기 위한 디바이스
- 자동차 시뮬레이터 모듈(Vehicle Simulator Module)
소프트웨어- Vehicle Spy 3: ValueCAN 디바이스와 호환되어 CAN 인터페이스를
제공하는 상용 소프트웨어
[자동차 진단을 위한 하드웨어 구성]
EQST insight | 23
- CAN bus 프로토콜을 이용한 자동차 진단 실습 – 입·출력 제어
입·출력 서비스는 입력 신호, 내부 ECU 기능, 전자 시스템의 출력을 제어하는 것을 의미한다. 본 실습에서는 LED
의 입·출력을 제어하고자 한다.
입·출력을 제어하기 위한 메시지는 아래와 같은 형식으로 정의되어야 한다. 첫 번째(#1) 바이트에는 서비스 ID를
입력하고, 두 번째(#2)와 세 번째(#3)에는 2바이트 크기의 PID(Parameter identifier)를 넣어준다. PID는 진단 시
CAN이 제어할 수 있는 진단 파라미터를 의미한다. 그리고 마지막 네 번째(#4)에는 짧은 기간에 조절하는 옵션값 ’
03’을 넣는다.
Step 1. ISO 14229(UDS) 국제 표준 문서 내 서비스 목록에서 입·출력 제어 서비스 ID가 2F(Hex)인 것을 확인한다.
Service No. Service Description Service No. Service Description
10 Diagnostic Session Control 2C Dynamically Controlled ID
11 ECU Reset 2E Write Data by ID
14 Clear DTCs 2F Input Output Control
19 Read DTCs 31 Routine Control
22 Read Data by ID 34 Request Download
23 Read Memory by Address 35 Request Upload
24 Read Scaling by ID 37 Request Transfer Exit
27 Security Access 3D Write Memory by Address
28 Communication Control 3E Tester Present
2A Read Data by DID BA외 기타 Supplier Services
[ISO 14229(UDS) 문서 내 서비스 목록]
A_Data byte Parameter name Cvt Hex value Mnemonic
#1 InputOutputControlByldentifier Request Service Id M 2F IOCBI
#2#3
DataIdentifier#1[] = [byte#1 (MSB)byte#2 (LSB) ]
MM
00-FF00-FF
IOI_B1B2
#4··
#4+(m-1)
controlOptionRecord#1[] = [controlState#1/inputOutputControlParameter..controlState#m ]
M1a..C1b
00-FF..00-FF
COR_IOCP_/CS_..
CS_
#4+m··#4+m+(r-1)
controlEnableMaskRecord#1[] = [controlMask#1..controlMask#r ]
C2c..C2
00-FF..00-FF
CEM_CM_..CM_
[ISO 14229 기반 Input/output 요청 메시지 정의]
EQST insight | 24
Step 2. 두 번째(#2)와 세 번째(#3)의 데이터 바이트에 PID를 넣기 위해서, 입·출력에 의해 제어할 수 있는 진단
PID 찾아야 한다. 먼저 PID에 2바이트 크기인 00 00 값을 삽입하고, PID를 하나씩 증가시키면서 입·출력 제어 PID
를 확인한다.
아래 그림은 Vehicle Spy의 Message Editor 화면으로 전송할 메시지(IO Control)에 앞서 정의한 값을 입력한 것이
고, 나머지 바이트는 ‘00’ 값으로 패딩하였다. 이때 CAN 데이터 패킷 전송을 위해 ISO 15765-2 프로토콜을 설정
하였다.
[입·출력 제어 메시지]
EQST insight | 25
Step 3. Function Blocks의 Script 기능을 이용하여, PID 탐색 명령을 스크립트로 구성하여 자동으로 수행한다. 메
뉴 Scripting and Automation >> Function Blocks를 선택한 후, Function Blocks에 ‘Find IO PIDs’ 이름으로 스크립
트를 생성한다.
스크립트의 구성은 먼저 진단 시작 메시지를 전송한 후 대략 Hex3100(DEC12,544)까지 PID를 하나씩 증가시키면
서 메시지를 전송하고, 이에 대한 입·출력 응답값(SId) ‘6F’이 존재하는지 확인한다.
Step 4. 스크립트를 구동한 결과, 입·출력 서비스 응답(‘6F’)은 총 2개가 존재하였고, 해당하는 PID는 ‘1001’, ‘2150’
이었다.
[PID 검색]
[진단 PID 검색]
EQST insight | 26
Step 5. 메시지의 두 번째(#2)와 세 번째(#3)에 PID를 각각 삽입하여 전송한 뒤, CAN에 의해 출력이 제어되는 것
을 확인할 수 있었다.
‘CAR HACKING HANDS-ON’ 트레이닝에서 CAN bus에 연결하여 자동차의 서브 시스템을 제어하는 하드웨어
모듈 공격을 실습하였다.
실제 ICT 기술 발전으로 CAN bus와 임베디드 프로세서 프로그램을 통해 다른 차량이나 인프라에 연결이 가능해
졌으며, 공격자는 악성 코드 삽입을 통해 ECU를 장악할 수 있다. 그 결과 임의로 자동차를 제어하거나, 서비스거부
공격(DoS)과 같은 악의적인 명령을 수행할 수 있게 되었다. 따라서 공격자가 변조한 데이터로 잘못 시스템을 제어
하는 등 악용 가능한 많은 취약점이 존재하므로, 자동차 해킹에 대해 ECU 침입 탐지 시스템 혹은 무선 통신 보안이
적용되어야 할 것이다.
[출력 제어]
EQST insight | 27
Black Hat Training 2 - DARK SIDE OPS 2 - ADVERSARY SIMULATION
해당 트레이닝 과정은 좀 더 정교한 공격을 수행하기 위해 자동화 공격 도구를 활용하지 않고 실제 공격에 사용하
는 기능들을 개발하는 능력을 향상시킬 수 있는 과정으로 구성되었다.
과정은 Silent Break Security 소속 총 2명에 의해 진행되었으며, 철저한 실습 위주로 코딩 시간이 전체의 80%, 발표
자의 각 단계별 개념 설명이 20% 정도의 비중을 차지했다. 총 3개의 VM 환경(공격자, 서버, 타깃)이 주어졌으며,
실습 도중 궁금한 점, 에러 발생 등 사항이 있으면 진행자에게 실시간으로 문의할 수 있었다.
[Black Hat - DARK SIDE OPS 2]
단계 실습 내용 선행 지식
1 PowerShell Web Cradle 구성 C++, PowerShell
2 배포 자동화 도구를 통한 서버 설정 Ansible, OpenVPN
3 최초 감염 방법 Html, JavaScript, VB Script
4 샌드박스 회피 PowerShell, JavaScript, VB Script
5 프로세스 WhiteList 우회 C#, PowerShell, JavaScript, VB Script
6 시스템 정보수집 PowerShell
7 Rootkit C++, Kernel Device Driver, 운영체제
8 N/W Hooking C++, Kernel Device Driver, 운영체제
9 트리거 작성 C++, Kernel Device Driver, 운영체제
10 모듈 상주 시키기 C++, DLL, x86 OS
11 권한 상승 C++, DLL, x86 OS
[트레이닝 과정 요약]
EQST insight | 28
단계별 내용을 크게 4단계로 정리 하면 아래와 같다.
상기 내용을 보면 트레이닝을 듣는 데 활용하는 언어가 다양하며 운영체제에 대한 이해를 수반해야 해당 과정을 이
수할 수 있다는 것을 알 수 있다. 후반부로 실습이 진행될수록 요구되는 지식과 함께 트러블슈팅이 많았다. IT 관련
학과가 아니며 실무를 경험하지 않은 학생, 모의 해킹 1~2년 차 정도는 정보 검색 및 문제를 해결하는 데 시간이 많
이 소요되었다.
모의 해킹 실무 경력으로 3년 이상의 경험, 악성코드 분석 실무를 하는 정도의 수준이라면 무난하게 실습 진행이
가능하였다. 해당 과정의 각 실습 단계는 서로 연계되어 있어 한 단계를 진행하지 못하면, 다음 단계의 실습에 지장
이 생기므로 주의가 필요하였다.
트레이닝 전반에 걸쳐 사용되는 지식 중 반드시 체크하고 넘어가야 하는 지식들은 강사가 10~15분 정도 PPT로 설
명을 진행하였다. 하지만 모든 사람이 개념에 대해 어느 정도 알고 있다고 생각하고 구체적으로 짚어 주지는 않기
때문에, 이를 추가로 검색하고 이해하는 부분은 학습자의 역량에 따라 크게 차이를 보였다.
[1~3] 단계 공격을 위한 서버 구성 및 웹 페이지 접근 시 프로세스 구동 실습
[4~5] 단계 침투한 시스템에 존재할 수 있는 상황을 가정 및 우회 방법으로 실습
[6] 단계 침투한 시스템 내부 정보 습득 방법 실습
[7~11] 단계 Rootkit 작성을 통한 SYSTEM 권한 쉘 획득 실습
EQST insight | 29
이제부터는 실습 주요 내용 중 2가지를 정리해 보고자 한다.
첫 번째는 이미 감염된 타깃 PC 내의 주요 정보를 수집하는 방법 및 스크립트를 작성하는 6번째 실습 과정이었다.
클라이언트에서 파워쉘을 활용하여 주요 정보를 수집하는 방법을 위주로 설명하였으며 여유 있게 실습을 진행할
수 있었다.
파워쉘을 활용하여 시스템 내 설치된 AV의 확인, UAC 확인, 악성 프로세스를 탐지 할 수 있는 프로세스 확인, 패치
현황, 특정 디렉터리 내에 사용자가 최근 수정했던 파일 등의 정보를 수집한다.
해당 과정은 비교적 짧은 시간 동안 진행되었지만 파워쉘을 통한 사용자의 중요 데이터들을 확인할 수 있는 중요
포인트를 알 수 있었다. 또한 관리해야 하는 패스워드가 많은 경우를 가정하고 패스워드 관리 프로그램을 사용할
경우 키 데이터를 추출하기 위한 과정도 진행되었다.
최종적으로는 해당 기능을 동작시킬 수 있도록 최초 실습 시 제공되는 프레임워크에 기능을 추가하고 이를 타깃에
서 실행하는 것으로 해당 실습 단계는 마무리되었다.
[실습 결과 화면]
EQST insight | 30
두 번째는 Rootkit 작성을 통한 SYSTEM 권한의 쉘 실행에 대한 7~9번째 실습 과정이었다. 해당 과정들의 실습 시
간이 제일 많이 할당되었으며, 블루스크린이 발생하는 경우가 많았다.
이 과정은 Windows 64bit OS를 대상으로 실습하지는 않았지만, 드라이버 작성 시 기본적인 개념에 대한 설명으로
Driver Signing, PatchGuard에 대한 윈도우별 히스토리를 함께 설명하였다.
64bit 환경에서의 주요 내용은 Rootkit 드라이버의 Driver Signing을 우회하기 위해 아래에 언급된 툴, 로더를 활용
한다는 점이다.
- DSEFix : ntoskrnl!g_CiEnabled / CI.DLL!g_CiOptions 커널 변수를 조작. 해당 조작은 (Win 8.1 / 10) Pathc-
Guard가 BSOD를 랜덤하게 발생시킬 가능성이 있어 안정성이 떨어짐
- TDL (Turla Driver Loader) : 커널 변수를 조작하지 않음. 드라이버 작성이 어렵고 예외처리 불가, Driver un-
loading이 불가
실제 실습은 Windows 10 32bit에서 진행되었다. 드라이버 로드는 파워 쉘 스크립트로 진행하였다. 프로세스 은닉
실습은 이미 잘 알려진 EPROCESS 구조체 내의 2개의 포인터에 대한 조작을 통해 프로세스를 은닉하는 방법을 실
습하였으며, 쉽게 탐지가 가능하다는 내용을 설명하였다.
SYSTEM 권한 쉘 획득 부분은 WFP(Windows Filtering Platform)를 활용하여 APC(Asynchronous Procedure Calls) In-
jection을 활용한 공격 코드를 작성해야 하였다. 전체 내용은 공격자가 조작한 ping을 타겟 PC에 전송할 경우, 사전 로
드한 디바이스 드라이버가 이를 트리거 조건으로 체크 하여 SYSTEM 권한의 쉘을 실행하도록 하는 실습이었다.
‘DARK SIDE OPS 2 - ADVERSARY SIMULATION’ 트레이닝에서 공격 대상을 완전하게 제어하기 위해 rootkit
까지 작성하는 과정으로 진행하였다. 해당 트레이닝 과정에는 포함되지 않았지만 공격자 입장에서는 이러한 root-
kit을 작성하고, 은닉하는 데 노력을 기울일 것이며, 우리가 고민해야 할 부분은 이를 탐지해 안전하게 제거해 내는
방법일 것이다.
[Rootkit 실습 중간 코드 및 실습 화면]
EQST insight | 31
두 가지 과정에 참여하면서 “해커들은 과연 수단과 방법을 가려가면서 해킹을 할까?” 라는 질문을 해보았다. 이에
대한 대답은 역시나 “아니다” 였다. 다양한 IT 기술들에 대한 공격들이 우리의 일상과 더욱 가까워지고 있다. 따라
서 이에 대한 기술 정리 및 연구가 항상 지속되어야 한다는 사실을 다시 한번 생각해 보아야 할 것이다.
2018.08
발행인 : SK인포섹 EQST Group
제 작 : SK인포섹 Communication팀
ⓒ 2018. SK infosec All rights reserved.
본 저작물은 SK인포섹의 EQST Group에서 작성한 콘텐츠로 어떤 부분도 SK인포섹의 서면 동의 없이 사용될 수 없습니다.
경기도 성남시 분당구 판교동 255번길 46 4층
www.skinfosec.com
INSIGHT