[정보보안] 시스템 해킹(버퍼 오버플로우, 포맷 스트링, 힙 스프레이, 레이스 컨디션)

작성자:

[정보보안] 시스템 해킹(버퍼 오버플로우,포맷 스트링, 힙 스프레이, 레이스 컨디션)

Buffer Overflow(버퍼 오버플로우)

버퍼 오버플로우는 시스템 해킹의 대표적인 공격 방법 중 하나이다.
버퍼(Buffer)라는 것은 보통 데이터가 저장되는 메모리 공간을 일컫는데 단순히 메인 메모리만이 아닌 다른 하드웨어에서 사용하는 임시 저장 공간 역시 버퍼라고 부른다.
오버플로우(Overflow)는 단어 뜻에서 유추할 수 있듯이 데이터가 지정된 크기의 공간보다 커서 해당 메모리 공간을 벗어 나는 경우 사용한다.


데이터의 길이에 대한 불명확한 정의를 악용한 덮어쓰기로 인해 발생한다.
예를 들면 8바이트 문자열을 넣을 수 있는 버퍼가 존재한다고 가정하자.
그리고 이 메모리 공간 뒤에는 컴퓨터를 동작하는데 중요한 기능을 수행하는 코드가 존재한다고 생각해보자. 우리는 이 8비트 공간에 8개의 문자만 입력할 수 있다.
그런데 이보다 더 길이가 긴 문자열을 임의로 입력해서 넣으면 중요한 기능을 수행하는 코드가 영향을 받게 되어 제대로 된 기능을 수행하지 못하는 상황이 발생한다.

결론적으로 버퍼 공간의 크기보다 큰 데이터를 저장하게 해서 일어나는 오버플로우(Overflow)를 이용한 공격이다.


보통 개발된 프로그래밍 언어의 버퍼 오버플로우에 취약한 함수가 있는 경우 이를 이용해 공격을 시도하며 공격이 성공할 경우 시스템의 권한을 상승시키거나 악성 행위를 하도록 할 수 있기 때문에 반드시 이 공격에 대한 방어를 철저히 해야 한다.
버퍼 오버플로우에 취약한 함수

  • strcpy, stract, gets, fscanf, scanf, sprintf, sscanf, vfscanf, vspringf, vscanf, vsscanf, streadd, strecpy, strtrns
  • 이러한 함수들의 공통적인 특징은 처리하는 문자열의 최대 길이를 정하지 않았다.

스택 버퍼 오버플로우의 절차

  1. 공격 셀 코드를 버퍼에 저장한다.
  2. 루트 권한으로 실행되는 프로그램 상에서 특정 함수의 스택 버퍼를 오버플로우시켜서 공격 셀 코드가 저장되어 있는 버퍼의 주소로 반환 주소를 변경한다.
  3. 특정 함수의 호출이 완료되면 조작된 반환 주소인 공격 셀 코드의 주소가 반환된다.
  4. 공격 셀 코드가 실행되어 루트 권한을 획득하게 된다.

대응책

  • 프로그래밍 시 경계값 검사를 적용하고 최신 운영체제로 패치

포맷 스트링 공격

버퍼 오버플로우와 다르게 데이터 형태에 대한 불명확한 정의로 인한 문제이다.

  • 취약점으로 스택(stack)에 비정상적으로 접근한다.
  • write가 허용 된 memory segment에 원하는 값을 삽입 할 수 있다.
2000년도 후반에 해커들 사이에서 큰 반항을 일으키는 보고서 하나가 발표되었다.
Format String Attack
이것은 기존에 널리 사용되고 있던 Buffer Overflow 공격 기법에 견줄 만한 강력한 해킹 기법이었다.
이해킹 기법이 발표되고 나서 그 동안 별 문제 없어 보였던 각종 프로그램들에 대한 취약점이 속속 발표되고 해당 프로그램을 제작했던 회사들은 이 취약점을 해결하기 위해 분주해지기 시작했다.

Format String?

포맷 스트링 공격에 대해 알아보기 전에 Format String이 무엇인지 알아보자.
다음은 일반 C프로그램에서 흔히 찾아볼 수 있는 printf함수이다.
직관적으로 ""안에 포함되어 있는 "Hello, %s\n"이 Format String이다.
즉 Format String은 이 Format String을 사용하는 함수에 대해, 어떤 형식 혹은 형태를 지정해주는 문자열을 의미한다.

일반적으로 프로그래머들은 어떤 프로그램을 작성할 때, 다음과 같은 형식으로 작성한다.

하지만 어떤 프로그래머들은 위와 같은 형태를 이용하지 않고 프로그래밍을 보다 편하게 하기 위해서 다음과 같이 사용하는 경우가 있다.
이와 같은 형태의 프로그래밍은 잘못된 것은 아니다.
어떻게 보면 같은 기능을 수행하는 두 가지의 코드 중 '2번'의 소스코드 '1번'의 소스코드보다 적은 양의 소스코드를 사용한다.
따라서 '2번'의 소스코드 형태가 좀 더 현명한 소스코드로 보일 수 있다.
그러나 '2번'의 소스코드를 이용하여 프로그래밍하는 경우에는 해커들에게 프로그램의 흐름을 바꿀 수 있는 기회를 제공하게 된다는 사실을 깨달아야 한다.

프로그래머의 잘못은 무엇일까?
printf함수에 의해서 해석되는 "str"은 출력하고자 하는 문자열이 아니라 printf함수에서 사용할 각종 형식 지시자(%d ,%s, %c..등)를 포함한 Format String으로 인식하게 된다.


예를 들면 %s를 사용하게 되면 해당하는 데이터의 문자열에 대해서 출력을 하게 된다. 하지만 이에 대해 임의적으로 %x라는 포맷 스트링으로 바꾸어준다면 컴파일을 실행시킬 때 문자열에 대한 값이 나오는 것이 아니라 주소에 대한 값이 나오게 되는 것을 볼 수 있다.
이렇게 되면 메모리 열람이 가능하게 되고 이렇게 열람을 할 수 있으면 메모리 조작도 가능해진다. 
해당 메모리에 대해 값을 바꾸어 집어넣게 되면 메모리에 주소 값이 바뀌게 된다.
이러한 공격을 포맷 스트링 공격이라고 한다.

힙 스프레이(페이로드 전달 기법)

특징

  • 이 기법은 공격자가 원하는 페이로드를 예측 가능한 메모리 주소에 둘 수 있다는 사실에서 기인하여 단순히 페이로드를 배치해 둔 주소로 점프
  • 자바스크립트를 이용하여 Heap 메모리 영역에 뿌리듯이(Spraying) Shell Code를 채우는 기법
힙 스프레이가 제대로 동작하려면 EIP(Elastic IP)를 제어하기 전에 힙 공간에서 메모리 덩어리를 할당하고 그 공간에 내용을 채워야 함
즉, 메모리 오염(버퍼 오버플로우, SEH 등등) 공격하기 전에 대상 애플리케이션의 메모리 영역에 원하는 데이터를 삽입할 수 있어야 함
EIP를 제어하기 전에 예측 가능한 메모리 위치에 데이터를 할당할 수 있으면, 힙 스프레이와 같은 기법을 사용할 수 있음.

공격원리

  • 힙의 결정적이고 예측 가능한 특성을 공격에 활용함
  • 즉, 공격자가 원하는 페이로드를 예측 가능한 위치에 삽입할 수 있다는 의미

공격 코드 실행 순서

  1. 힙 스프레이 실행
  2. 버그 / 취약점 동작
  3. EIP가 힙을 가리키도록 제어

레이스 컨디션(Race Condition)

한정된 자원을 동시에 이용하려는 여러 프로세스가 자원의 이용을 위해 경쟁을 벌이는 현상
레이스 컨디션을 이용하여 root권한을 얻는 공격을 레이스 컨디션 공격이라고 한다.

레이스 컨디션 공격의 기본 개념
  1. 취약 프로그램이 생성하는 임시 파일의 이름을 파악합니다.
  2. 생성될 임시 파일과 같은 이름의 파일을 생성합니다.
  3. 이에 대한 심볼릭 링크를 생성합니다.
  4. 원본 파일을 지운 채 취약 프로그램이 심볼릭 링크를 건 파일과 같은 파일을 생성할 때까지 기다립니다.
  5. 생성되었을 때, 심볼릭 링크를 이용해서 파일 내용을 변경합니다.
  6. 시스템은 변경된 파일을 자신이 생성한 임시 파일로 생각하고 프로세스를 진행시킬 것이고, 공격자는 관리자권한으로 실행되는 프로그램에 끼어들어 무언가를 할 수 있는 여지를 만듭니다.


출처
Someday I'll be a full stack developer.

댓글

댓글 쓰기

이 블로그의 인기 게시물

[Python] # -*- coding: utf-8 -*-를 쓰는 이유

작성자:
[Python] # -*- coding: utf-8 -*-를 쓰는 이유 파이썬2의 기본 인코딩은 ascii 이다 파이썬2는 한글을 쓸때 골치아프다.  파이썬 스크립트에서 한글을 사용하게 될 때 파이썬은 ascii 인코딩일 것으로 예상하고 해석하려고 하지만 한글을 ascii로 해석이 불가능하기 때문에 SyntaxError발생 영어만 사용하면 별로 신경 쓸게 없지만 한글은 euc-kr , utf-8 이 공존하기 때문이다. 그냥 골치아픈것도 아니고 unicode와 조합되어서도 골치아프다. unicode 관련 부분의 경우 최초부터 지원한게 아니라 파이썬 2.4부터 지원을 추가되어서 문자열을 의미하는 타입이 str 와 unicode 가 존재해서 더 골치가 아프다 파이썬3에서는 기본값이 UTF-8이기 때문에 기본값에서 벗어나거나 다른 tool( ex: IDE또는 텍스트 편집기)를 사용하는 경우에만 사용 즉, 파이썬에 관한 다른 인코딩을 사용하고자 할때만 사용하면 됨 파이썬의 기본 인코딩은 ascii 이다. 스크립트 파일이 ascii인코딩일거라고 가정하고 읽어서 파싱하려고하는데 ascii로 해석이 불가능한 한글이라는 단어가 존재하기 때문에 SyntaxError(문법 에러)가 발생 이를 해결하기 위해서는 아래와 같은 스크립트 파일 첫줄에 파일의 인코딩을 명시해주면 된다. #-*- coding: utf-8 -*-  파이썬2.x의 기본 인코딩은 ascii 이다. 파이썬 스크립트에서 한글을 사용하게 될 때 파이썬은 ascii 인코딩일 것으로 예상하고 해석하려고 하지만 한글을 ascii로 해석이 불가능 하기 때문에 SyntaxError가 발생 한다. 출처 : https://libsora.so/posts/python-hangul/
자세한 내용 보기

[소프트웨어공학] NS(Nassi-Schneiderman) 차트

작성자:
이미지
[소프트웨어공학] NS(Nassi-Schneiderman) 차트 NS(나씨 슈나이더만) 차트 모듈 명세서를 글로 쓸수도 있지만 N-S차트로 그림으로 그릴 수 있다. 플로우차트는 생각보다는 사용횟수가 많지 않다.  손으로 그리기가 까다롭기 때문이다. 이에 비해 NS차트는 더 쉽게 그릴 수 있어 생각을 더 쉽게 정리할 수 있다. 물론 NS차트만으로 모든것이 해결되는것은 아니다. 프로그램은 정해진 일을 정해진 방법으로 하도록 컴퓨터에 명령을 내리는 것이다. 컴퓨터는 정해진 일과 정해진 방법이 무엇인지 알수 없다. 왜냐하면 기계니까 따라서 우리는 두 가지 관점에서 프로그램을 만들어 갈 수 있다. 1. 무엇을 해야 하는지 생각해보기 컴퓨터에게 시킬일이 무엇이며 어떤 결과를 받아 보고 싶은지 정리 2. 어떻게 해야 하는지 생각해보기 사용자로부터 입력이 되는것과 입력없이 알 수 있는것들 가지고 어떤 처리를 어떤 순서로 진행해서 결과를 만들지 NS차트는 어떻게 원하는 결과를 얻을 수 있는지를 정리해 볼 수 있는 도구이다. NS차트 구성요소는 처리, 반복, 분기의 일반적인 프로그래밍 언어의 구성요소를 표현할 수 있다. 먼저 순차처리 네모 박스에 입력, 출력, 연산을 기록한다. 선택구조는 IF문이나 CASE문을 사용하여 처리 흐름을 기록한다. 반복구조는 While문이나 For문을 사용하여 조건에 따른 반복처리를 기술한다. 1에서 100까지 합을 구하는 ns차트 NS차트의 특징 논리의 기술에 중점을 둔 도형을 이용한 표현 방법이다. 그리기가 어렵다.(전문성이 있어야 잘 그린다) 순차, 선택, 반복으로 표현한다. 임의의 제어 이동이 어렵다. goto구조가 어렵다. 그래픽 설계 도구이다. 상자 도표라고도 한다 프로그램으로 구현이 쉽다. 조건이 복합되어 있는 곳의 처리를 명확히 식별하기에 적합하다. if문이 여러개일 때 가능 출
자세한 내용 보기

[컴퓨터네트워크] Telnet이란?

작성자:
[컴퓨터네트워크] Telnet이란? 원격 접속 서비스로서 특정 사용자가 네트워크를 통해 다른 컴퓨터에 연결하여 그 컴퓨터에서 제공하는 서비스를 받을 수 있도록 하는 인터넷 표준 프로토콜 Telnet(텔넷)을 이용하면 네트워크에 있는 컴퓨터를 자신의 컴퓨터처럼 파일 전송, 파일 생성, 디렉토리 생성 등을 자유롭게 할 수 있다. 단, 보안문제로 사용률이 감소하고 원격 제어를 위해 SSH로 대체되는 추세 Telnet 보안 Telnet 세션은 암호화 및 무결성 검사를 지원하지 않는다. 패스워드가 암호화되어 있지 않아 스니퍼를 이용하여 제3자에게 노출 될 수 있다. UNIX 시스템에서 해커가 in.telnetd를 수정하여 클라이언트의 특정 터미널 종류에 대해 인증과정 없이 쉘을 부여할 수 있다. 그럼 텔넷과 SSH의 차이점은? 사용자가 쓰기에는 텔넷과 SSH는 차이점이 없습니다. 단지 차이점은 로그인, 프로그램 실행, 하드디스크 체크, 로그아웃 등 작업들을 하기 위해 사용자와 서버간의 통신 방법의 차이입니다. 사용자가 어떤 작업을 서버에 알려주기 위해 네트워크를 통해서 서버에 TCP/IP패킷정보를 전달하고 결과값을 다시 서버에서 받게 됩니다. 여기서 텔넷은 정보를 byte스트림형식으로 주고 받고, ssh는 DES, RSA 등 고급 암호화를 통해 통신을 합니다. 그러므로 텔넷 환경에서는 정보노출 위험이 큽니다. SSH는 암호화 뿐만 아니라 압축 기술도 사용하는데, 암호화 때문에 트래픽이 텔넷보다 크게 늘어나지 않습니다. 단지 약간의 부하가 더 생길수도 있다고 합니다. 따라서 정보가 누출될 수 있는 텔넷보다는 어느정도 정보의 안정성을 책임질 수 있는 SSH를 많이 사용합니다. 출처 https://m.blog.naver.com/PostView.nhn?blogId=ahnsh09&logNo=40171391492&proxyReferer=https%3A%2F%2Fwww.g
자세한 내용 보기