POC 2007 후기 둘째날



POC 2007 후기 둘째날입니다. 첫째날 후기는 이전 글을 보세여.

첫번째 강연 - "How to Implement COM Monitor"

예전에 CodeEgn에서 시연했던 COM 후킹과 금융대란의 하나로 불리우던 메모리해킹의
진짜 시조라 할 수 있는 AmesianX님의 강연입니다. 이번 POC 2007에서 유일한 두시간 연속의
연강이었습니다. 다만 제가 늦잠을 자는 바람에 와보니 거의 끝날시점이더군요 :p
그래서 하나도 듣지를 못해 쓸 내용은 없고요 ㅋㅋ 머 알만한 분들은 다 아는 분이고,
또 많이 관심가졌던 주제이니 궁금하신 분은 파워해커로 방문해 보세요 :)


두번째 강연 - "Hacking VOIP Routers"

VoIP전문 해커인 독일인 Hendrik 님의 강연입니다. 지각을 하여 두시간을 날려서 별
집중력이 생기지도 않았고 그리고 사실 라우터쪽 해킹은 제 취향도 아니라서 ㅋㅋ
Dual과 밖에서 한시간 내내 떠들고 나니 강연이 끝나있네요.
따라서 아쉽게도 이번 강연도 후기는 못 쓸것 같습니다 :p


세번째 강연 - "VuluCatcher: Fun with Vtrace and Programmatic Debugging"

이번 데프콘 해킹대회 우승팀인 l@astplace의 캡틴 @tlas님의 강연입니다. l@astplace
전년도 데프콘도 우승했다고 하네요. 세계 해킹대회 역사상 2년 연속 우승을 차지한 경우는
l@astplace 밖에 없었으며 그 해킹팀의 리더라니 실력을 가늠할 수 있겠죠?
미국인 아저씨고요, 마누라도 데려왔는데 참고로 부인도 해커입니다 ;; 해커 부부 멋지네요..

@tlas님은 애플리케이션에서 취약점을 찾는 테크닉에 대해 강연을 하였습니다.
Overflow를 일으키기 위한 내용이 주가 되었는데여, 스택 분석과 파라메타 사이즈를 이용한
버퍼 분석 등을 중점적으로 파고들었네요. 이때 vtrace라는 Tool을 이용하여 디버깅 하는
기법을 선보여주었는데, VTrace...이거 진짜 물건입니다... 비록 @tlas는 시간 관계상
버퍼와 관련된 RTL함수의 취약점과 스택 분석에 대해서만 논했는데, 이 툴이 진짜
장난이 아닌 툴입니다.

기본적인 Win32 System Call에서부터 Kernel System Tool은 물론 드라이버 모니터링은 물론
필터에 이르기까지 Windows System에 대해 진정한 Trace를 할 수 있는 툴입니다.
소스도 물론 오픈되어 있어서, 이것을 잘만 활용하면 자기만의 훌륭한 모니터링 툴을
만들 수 있음은 물론입니다. 이 강연자인 @tlas님도 자기만의 멋진 취약점 스캐너 툴과
디버깅 툴을 보유하고 있고(시연도 보여주었고) 또 그것이 데프콘 등의 해킹대회에서
시간절약을 할 수 있는 훌륭한 무기가 되었겠죠. 개인적으로는 vtrace라는 것에 대해
자세히 알게 되어서 매우 기뻤습니다. 제가 만든 후진 모니터링 툴도 vtace 소스를
이용하여 좀더 개선할 수 있을 것 같습니다 :)

네번째 강연 "BIOS Boot Hijacking & VMWare Vulnerablities Digging"

강연자는 Sung Bing 이라는 중국인 해커입니다. 갑자기 강연자가 바뀐 듯, 이사람은 사전에
정보를 듣지 못했는데 작년 POC때도 발표를 했었고 Xcon2007때도 발표를 한(비록 주제는
같았던 것 같지만 ㅋ) 훌륭한 해커라고 합니다.

이사람은 Windows Kernel, File System, Virtualization 등에 대해 전문가이며 이번엔 두가지
주제에 대해 강연을 하였습니다. 첫번재는 BIOS Boot Hijacking이며 두번째는 VMWare에서의
0day Attack입니다. BIOS가 가동될때의 Code Segment의 적절한 규칙에 따라 익스플로잇이
만들어질 수 있음을 시사했고요(Dos Attack이나, Code Injection 등)

두번째 VMWare에 대한 취약점은 VMWare가 가동중일 때 제한된 계정에서도 Admin 계정을
획득하는 Attack등을 보여주었습니다. VMWare 취약점은 이분의 자료에 의하면 공개된 것만도
참 많네요...(드라이버 취약점, 프로세스 취약점, 서비스 취약점 등...감탄...) VMWare를
띄워놓은 상태에서 권한을 획득하는 해킹 시연은 "역시 짱개답다..." 라는 말이 튀어나올
정도 였습니다. :p

하지만 아쉽게도 정말 통역이, 쉐..............................................엣더 머 같았습니다.
어제 "Forensics and Anti-Forensics"을 통역한 그 여잔거 같네요. 사실 이런 종류의 통역은
진짜 전산전공 한 사람도 힘들 정도의 어려운 내용 입니다. 하지만 동시 통역이라는 것은
통역자가 내용을 본인이 직접 이해를 마친 후에, 그걸 풀어서 다른나라말로 직역해야 하는건데,
0xFFFFFFFF 를 0곱하기F 8개 라고 통역하는 사람에게 code segment며, Vista에서
driver signature를 검사하는 bypass 기법이 어쩌구 하는 내용을 제대로 통역해주는 것을
기대하기는 불가능한 것 같습니다.

강연이 다 끝나고 후기때 사회자가 얘기한 것이기도 하지만, 실제로 동시통역자의 대부분은
무역, 정치 쪽의 종사자들이고 IT쪽은 거의 전무후무다는 현실이 개탄스러워짐을 느꼈습니다.

다섯번째 강연 "SnoopSpy2 (Advanced Network Hacking and Security Tool) Project

오늘의 마지막 강연, GilGil닉을 쓰시는 이경문님의 SnoopSpy2 입니다. GilGil님은 패킷쪽을
주력으로 하시는 분이고 오늘의 강연도 패킷 스니핑이 주가 되었습니다. 직접 개발한
SnoopSpy를 이용하여 패스워드나 각종 데이터 스니핑에 대한 시연을 보여주었습니다.
어떠한 이론적인 개념보다는 시연 위주라 초보자들도 어렵지 않게 볼 수 있었을 것 같습니다.

패킷 스니핑 쪽은 사실 몇년전부터 어둠속에서 잇슈가 되긴 해왔는데, 직접적으로 이렇게
취약점을 발표하면 걸릴 만한 것들이 상당히 많죠. 역시 MSN 등 메신저의 대화 스니핑
그리고 SSL 암호화 상태에서의 스니핑, 모 FPS 게임의 순간이동 핵 까지도 악용
소지가 있는 많은 잇슈를 보여주셨습니다. 덕분에 강연이 끝나고 나라에서 일하는 모 님과
마찰이 좀 있었는데... 그 얘기를 이 공간에 쓰는건 좀 아닌거 같아서 자세히 언급은
못 하겠습니다. 여하튼 정말 좋은 강연이었습니다. 그리고 우리나라의 보안의식은 정말
뒤떨어져 있다는 생각이 들었습니다. 개인적으로 보안 개발자로서 리버서로써 해커로써
부끄러운 부분이 느껴지는 곳이 많았습니다. 이 시연이 앞으로 어떠한 결과를 가져올지는
모르겠지만 우리나라도 좀더 넓은 선진의식과 보안의식을 가졌으면 좋겠다는 생각이 들었습니다
(그런 점에서 gilgil님이 지적한 취약점을 이미 다 처리해놓은 nhn.... 역시 하는 생각도 듭니다)


여기까지 POC 2007에 대한 후기를 마치겠습니다. 내년에도 더 좋은 내용으로 꼭 개최되었으면
하는 바램이 있습니다. 스폰서가 많아야 된다고 생각합니다. 사실 해커들이 돈을 벌어봤자
얼마나 벌겠습니까(크래커들이나 많이 벌겠죠) 보니 이번에 후원한 스폰서들은 마이크로소프트,
COSEINC, 안철수연구소 정도였던 것 같습니다. 한국의 보안회사들도 물론 어렵겠지만
패쇄성 짙고 발전하기 어려운 한국의 해커 토양에서 그래도 해커들이 어떻게 모여서
없는 돈 쪼개가며 기술을 발전시키고 의식을 높혀가려는 모임을 한다는데, 더욱더 후원을 해야
한다고 생각합니다. 그래야 한국의 보안 의식도 더욱 더 발전할 수 있다고 생각됩니다.


사용자 삽입 이미지

이번 세미나 ppt 자료가 든 책자와(두껍 ;; ) 출입증 목걸이입니다. 출입증 목걸이에는
교통카드 기능이 포함되어 있다는군요(그러나 쓸일은 없을듯 ; )
아쉽게도 사진 찍을 생각을 못해서 한장도 못찍었습니다. 머 기자들이 플래시 펑펑
많이도 터뜨리던데, 잘 나온 사진들로 곧 기사 나겠죠 :)


window31. 2007년 11월.

신고
Posted by window31


댓글을 달아주세요

  1. whizdk
    2007.11.17 12:37 신고
    댓글 주소 수정/삭제 댓글
    ㅋㅋㅋ 형 내싸이에 그 사진 나온거 올려놨삼~ "잘 나온 사진"은 아니지만 ㅋㅋㅋㅋㅋㅋㅋㅋㅋㅋㅋㅋ
    • 2007.11.18 00:16 신고
      댓글 주소 수정/삭제
      응 봤다.. 근데 사진에 그렇게 표시까지 해놓을 필요는 ;;
  2. 2007.11.18 19:03 신고
    댓글 주소 수정/삭제 댓글
    댓글 보고 넘어 와서 저도 댓글 남깁니다.
    글 읽고 있으려니 쑥스럽네요. ^^
    보안 회사 다니시는 것 같네요.
    열심열심~~~ ^^
    • 2007.11.19 18:27 신고
      댓글 주소 수정/삭제
      네 비슷한 쪽으로 일하고 있습니다.
      그날 길길님이 제일 멋졌습니다 ㅎㅎ
  3. 2007.11.19 08:27 신고
    댓글 주소 수정/삭제 댓글
    와.. 재밌있으셨겠어요 ㅠ_ㅠ)
    저도 가볼걸 그랬나보네요 ㅋㅋ

    사전 등록을 못해서 가격의 압박에 못이겨 못갔는데 내년엔 꼭 가야 할듯 +_+!
    • 2007.11.19 18:28 신고
      댓글 주소 수정/삭제
      비용은 회사로 청구를 ㅋㅋ
    • 2007.11.20 14:31 신고
      댓글 주소 수정/삭제
      ㅋㅋ 그랬다가는 보고서 쓰라고 나와서.. ㅋ_ㅋ)
  4. 2007.11.28 09:57 신고
    댓글 주소 수정/삭제 댓글
    트랙백 걸어놓고 갑니다.
    POC2007에 오셨었군요. 한번 뵈었으면 더 좋았을텐데...
    아쉽네요.
    • 2007.11.28 10:54 신고
      댓글 주소 수정/삭제
      아 저도 뵈었었으면 좋았을텐데 ^^
      예전에 dump_wmimmc.sys 드라이버 분석하신거 잘 봤습니다 :)
    • 2007.11.28 10:58 신고
      댓글 주소 수정/삭제
      음, vtrace에 대해서 뭔가 글을 써주신 거 같은데, 댓글 달고 있는동안 보니 없어졌네요 지우신건가 ;;;
      저도 나중에 후배넘의 태클을 통해 저 vtrace와 아틀라스의 vtrace가 다르다는걸 알았습니다 ㅋㅋ
      흐흐흐 하지만 그래도 둘다 물건이라는건 확실~
  5. 2007.11.28 11:05 신고
    댓글 주소 수정/삭제 댓글
    헉... 지워졌네요?? 이상하다...
    암튼 atlas가 쓴 vtrace는 invisigoth가 만든 python 기반 디버깅 툴이라네요. 아마 잘 활용한다면 exploits 찍어내는데 더 쉬워지겠죠. POC2007 자료에 atlas가 쓴 whitepaper 버젼이 있는데 이분 글도 참 재미있게 잘 쓰시더라구요. 배울게 많은 분 같습니다. ^^

BLOG main image
by window31

카테고리

분류 전체보기 (285)
Reverse Engineering (22)
C, C++ (20)
Kernel (8)
Guitar (19)
잡담 (79)
etc (8)
who am i (8)
보안 이야기 (89)
Tools (3)
월간 마이크로소프트웨어/그.. (28)

글 보관함