인터넷에서 개인 프라이버시를 보호하려는 목적을 가지고 탄생한 툴인 TOR입니다. 이 패키지를 포함한 몇가지 패키지의 번들 소프트웨어 다운로드는 여기에서 바로 가능합니다. 이 번들에는 Tor외에도 TOR의 GUI 프론트 엔드인 Vidalia와 필터링 기능이 있는 프록시인 Privoxy, 그리고, 파이어팍스용 버튼 위젯인 Torbutton plugin이 포함 되어 있습니다.
인스톨은 그냥 Next 버튼들만 눌러 주면 끝나는데, 어플리케이션 설정 부분이 조금 복잡합니다. 파이어 팍스의 경우 Torbutton plugin이 자동으로 설치 되어 따로 설정할 것이 없다고 합니다.
인터넷 익스플로러에서는 로칼 호스트의 8118 포트로 프록시를 세팅해서 사용하는 것이 가장 간단합니다. 이 포트에는 Privoxy 서비스가 바인딩 되어 있는데 이 소프트웨어는 DNS 리퀘스트나 추가적인 프록시 정보를 제거해 줍니다.
Illustration 1: 로칼 호스트로 프록시 세팅하기
로칼 포트 9050으로 SOCKS 프록시도 사용 가능하다고 하는데 테스트해보지는 않았습니다.
실제 사용해 본 결과 조금 느리기는 했지만 조금 빠른 패쓰(path)로 바인딩이 될 경우에는 정말 사용할 만했습니다. 더군다나 여러 서버를 경유해서 자신의 IP주소가 세탁 되므로 익명으로 무슨 작업을 할 경우에 유용한 툴입니다. 더군다나 이 경유 서버들은 모두 지원자들의 서버를 이용해서 구축 되었다고 합니다.
이러한 TOR에도 결정적인 디자인의 결함이 존재하는데, 그것은 바로 마지막 슈퍼 노드들은 모든 트래픽을 볼 수 있다는 것입니다. 이 때문에 TOR에서는 암호화된 트래픽만을 TOR네트워크로 흘려 보낼 것을 권고하고 있습니다.
최근 2 만개 이상의 웹페이지들이 대량 변조되어 일반 대중을 상대로 한 공격에 이용된 것이 밝혀졌습니다. 이러한 것들은 일종의 악성 코드 설치 스크립트로서 윈도우즈, 리얼 플레이어 등의 취약점을 이용하는 익스플롯잇이 내장 되어 있습니다. 이러한 공격은 맥아피 어버트랩(Avert Lab)연구원들이 최근 3월 12일에 최초로 탐지했다고 합니다.
이는 최근 대량 웹해킹 중에서 가장 큰 사건이라고 합니다. 여행, 정부, 동호회 사이트를 가리지 않고 무차별적으로 이런식으로 이용이 되었다고 합니다.
악성코드를 로딩하는 자바 스크립트 코드를 포함하도록 게시물이나 웹페이지를 변조하는 것이 특징입니다. 이 악성 코드 감염용 자바스크립트는 중국 사이트에 그 근원지를 두고 있습니다. 자동화된 “SQL Injection “등의 스캐닝을 통해서 자동으로 해당 웹사이트를 감염 시키는 것으로 확인 되었습니다. 이 자바스크립트 익스플로잇은 온라인 게임 패스워드 탈취용이나 추가적인 말웨어 설치를 위한 트로이 목마를 설치 하는데에 이용 되었다고 합니다.
어버트랩의 “Craig Schmugar” 연구원의 말을 빌리자면 이번 공격은 안전하다고 생각하고 매일 방문 하는 사이트도 더이상 안전 지대가 아니고 이제는 더 이상 일반적인 사이트들도 신뢰할 수 없는 상태에 이르렀다는 것을 보여준다고 합니다..
더더욱 이번 피해 대상자에는 트렌드 마이크로 사이트도 포함 되어 있다는 것이 밝혀 지게 되었는데, 구글로 검색 되는 감염 사이트23000개의 페이지 중에 트렌드 마이크 사이트 10개 이상이 포함 되었다고 합니다. 트렌드 마이크로에서는 감염 사실을 인정했고, 이미 감염된 페이지들을 제거했다고 합니다.
맥아피 연구자들에 의하면 범죄 조직이 저지른 소행이라고 합니다.
트렌드 마이크로가 자사의 웹페이지를 보호하지 못할 정도이면, 다른 사이트들은 어느 정도일까요?
Illustration 1: 트렌드 마이크로의 변조된 페이지를 보여 주는 구글 서치 결과
이 익스플로잇은 “FuckJP.js” 라는 원색적인 파일 이름을 가지고 있습니다. 이 사이버 범죄꾼들은 일본을 무척이나 싫어 하나 봅니다. 공격 대상의 상당수가 asp 페이지들로써, asp 페이지들의 일반적으로 공격 가능한 “SQL injection” 취약점을 이용하여 해당 스크립트를 삽입한 것으로 추정됩니다.
이것은 일종의 익스플로잇의 경제학의 원리를 담고 있습니다. 어느 사이버 범죄 집단이 많은 익스플로잇들을 만들었을 텐데, 일반적인 asp 페이지들에 자신들이 원하는 자바스크립트 등의 코드를 삽입할 수 있는 방법을 알아 냈다고 칩시다. 그런데 이 것 자체로는 웹사이트를 점령할 수 없습니다. 웹사이트 자체가 아닌 그 내부의 컨텐츠만을 변조 시킬 수 있는 능력이 있는 것입니다.
이 경우 이 범죄 집단은 이 잇스플로잇을 썩히지 않고 그 웹사이트에 접속하는 클라이언트들을 공격하는데에 써먹기로 작정합니다. 그들이 올린 익스플로잇은 최신이 아닐 수도 있습니다. 예전의 예 들로 보았을 때에 수년이 지난 재래식 익스플로잇일 가능성도 배제할 수가 없는 것이죠.
어쨌든 두가지 구닥다리 익스플로잇들을 조합해서 가공할 결과를 이끌어 낸것이 바로 이번 공격인듯 싶습니다.
자동 “sql injector”와 구형 익스플로잇을 통해서 아직 패치 되지 않은 수많은 보안에 무관심한 사용자들의 PC를 마치 크롤 어선이 물고기들을 싹쓸이 하듯이 긁어 버리는 것입니다.
20만개의 페이지에 접속한 사용자들은 수백, 수천만명일 텐데 이중 0.1%만 취약해도(vulnerable) 수천에서 수만개의 좀비 PC를 확보하는 일이 될테니까요. 정말 남는 장사입니다. 게다가 이러한 좀비 PC를 활용해서 또 다른 웹사이트 감염에 적극 활용이 가능하니, 정말 위력이 대단한 전술입니다.
저를 이아이에 채용하는데에 가장 적극적이었고, 미국 정착 초기에 많은 도움을 주었던, 마크가 회사를 떠났습니다. 사실 한 반년 정도 지났습니다.
예전에 십대 시절 크래킹을 하며 하루 종일 컴퓨터 앞에 붙어서 먹고 자고 하는 “긱(Geek)”이었던 그는 어느날 수사 기관의 덧에 걸려 들게 됩니다. IRC 챗룸에서 만난 어떤 사람이 군사 정보를 해킹 해주면 거액을 주겠다는 제안을 무심코 승락하게 된것이죠. 장난 처럼 시작 되었던 채팅을 끝내고 어느날 메일 박스를 열어 보니 그의 이름 앞으로 온 1000불 짜리 체크를 발견하게 됩니다. 체크를 환전해서 맛있는 것도 사먹고, 동생 게임기도 사주고 그랬다고 합니다.
사실 동생이 정신 지체 장애인이고, 게임기가 정신 지체 치료에 좋다는 이야기를 듣고 사준 것이라고 합니다.
그런데 다음날 아침 눈을 떠 보니 그의 침대 주위로 수십명의 스왓 대원들이 총구를 겨누고 있었다고 하네요. 그 이후의 이야기는 잘 모르겠네요.
어떻게 되었든 여차 저차하여 “이아이 디지탈 시큐리티(eEye Digital Security)”라는 멋진 회사를 만드는 데에 일조를 하게 됩니다.
블랙햇에 3번 같이 가면서 느끼는 것은 그는 기술적인 면에서의 해커라기 보다는 문화적인 코드 면에서 해커라는 것입니다. 그를 사람들은 “롹스타(rockstar)”라고 부릅니다. 그 만큼 유명하고 이 바닥에서 그를 모르는 사람도 그가 모르는 사람도 별로 없습니다.
1999년에 “I'm a hacker”라는 MTV 프로에도 출연했더군요. 앞으로 영화도 만들어질지 그것은 잘 모르겠습니다.
비록 회사의 방향 수정으로 인해서 회사를 떠나게 되기는 했지만, 아마도 그와의 재미 있고 흥미로웠던 3년간의 시간은 쉽게 잊혀지지 않을 것 같습니다.
livekd를 이용하면 현재 구동중인 윈도우즈 시스템의 커널 메모리 덤프를 실시간으로 뜰 수 있습니다. 라이브 시스템에서의 본격적인 디버깅은 필요 없이 단지 메모리 덤프를 통해서 문제 파악을 하고자 할 때에 유용한 툴입니다. 먼저 “Debugging Tools for Windows”가 먼저 설치 되어 있어야 합니다.
C:\Users\tester\Desktop>livekd
LiveKd v3.0 - Execute i386kd/windbg/dumpchk on a live system
Sysinternals - www.sysinternals.com
Copyright (C) 2000-2005 Mark Russinovich
Symbols are not configured. Would you like LiveKd to set the _NT_SYMBOL_PATH
directory to reference the Microsoft symbol server so that symbols can be
obtained automatically? (y/n) y
Enter the folder to which symbols download (default is c:\symbols):
^C
C:\Users\tester\Desktop>
C:\Users\tester\Desktop>livekd
LiveKd v3.0 - Execute i386kd/windbg/dumpchk on a live system
Sysinternals - www.sysinternals.com
Copyright (C) 2000-2005 Mark Russinovich
Symbols are not configured. Would you like LiveKd to set the _NT_SYMBOL_PATH
directory to reference the Microsoft symbol server so that symbols can be
obtained automatically? (y/n) y
Enter the folder to which symbols download (default is c:\symbols):
Launching C:\program files\Debugging Tools for Windows\kd.exe:
Microsoft (R) Windows Debugger Version 6.8.0004.0 X86
Copyright (c) Microsoft Corporation. All rights reserved.
윈도우즈에서 백업 등을 실시하면 그 때 그 때의 파일 쓰기 상황에 따라 덜 쓰여진(flushing이 안된) 파일이 백업 되어 버리기도 하고, 파일이 shared 안된 상태로 열려 있어서 백업이 실패하기도 합니다. 이러한 상황을 찢어진 쓰기 동작(torn writes)이라고 MSDN은 표현하고 있습니다.
이러한 경우 백업 이미지를 “chkdsk”로 복구해야 하는 상황이 발생하게 되는데, 이러한 상황을 피하기 위해서 도입 된 개념이 바로 “Volume Shadow Copy”입니다. 이 메카니즘은 윈도우즈 XP, Server 2003 이상에서 사용되고 있습니다.
특정 시간대의 정확한 하드디스크 볼륨의 스냅샷을 백업해 낼 수 있게 하는 기능입니다. 백업 어플리케이션이나 복구 프로그램, 스토리지 하드웨어에서 유용하게 사용할 수 있습니다.
비스타의 시스템 복구 기능은 바로 이 기능에 기반하고 있습니다.
AntiVirus의 경우 이 쉐도우 카피로 인해서 기능에 혼란이 오는 경우가 종종 있습니다. 시스템에서는 쉐도우 카피도 단지 볼륨의 하나로 인식이 되므로 바이러스 스캐닝이 되는 경우가 있는데, 어떠한 경우에는 원본에서 치료가 된 바이러스가 이 쉐도우 카피에서 나중에 발견 되는 경우도 발생하게 됩니다. 이 경우 엔드 유저는 바이러스 치료가 이전에 실패했다고 착각하는 경우가 있습니다.
또한 검역소에 보관중인 파일에 대해서 쉐도우 카피로 복사하면서 에러가 발생하기도 하고, AntiVirus와 충돌이 종종 보고 되고 있습니다.
이 패키지는 유닉스 명령어를 윈도우즈에서 사용할 수 있도록 컴파일 해 놓은 것입니다. 시그윈 기반의 유닉스 명령어 패키지들과는 달리 윈도우즈 네이티브 바이너리여서 exe 파일 하나씩 카피해서 사용해도 아무런 의존성에 관련한 에러들이 발생하지 않습니다. 꼭 필요한 유틸리티만 묶어서 사용할 때에 정말 편리한 패키지입니다.
예를 들어 로그 파일 분석을 자주 한다면, grep.exe, tail.exe, wc.exe 정도만 가지고 다녀도 될것입니다. cygwin처럼 의존성이 있는 라이브러리 파일들까지 기억해서 번거롭게 들고 다니지 않아도 되는 것이 가장 큰 장점입니다.
유닉스에서는 로그 파일등을 모니터링하기 위해서 tail등을 주로 사용합니다. 이 명령어는 유닉스의 기본적인 명령으로서 윈도우즈에서는 존재하지 않는다. 하지만 Windows Server 2003 Resource Kit Tools에 tail 유틸리티가 포함되어 있습니다. 해당 킷을 설치하면 다음 위치에 파일이 설치 됩니다.
이 문제는 IE 등에서 mailto: 태그를 사용할 경우 “?” 등의 문자로 outlook.exe에 어떠한 인자든지 전달이 가능하게 하는 버그입니다. 여러 가지 공격 시나리오가 존재할 수 있습니다. 하지만, 아웃룩의 명령어 옵션을 조사한 결과 직접적인 명령어 실행은 가능해 보이지 않습니다.
하지만 사용자의 아웃룩 메일 박스를 UNC의 것으로 바꿔 치기 해서 공격 대상자의 메일 박스를 모니터링한다든지 하는 일은 가능해 보입니다.
