[2017] HDCON

2017-11-13

HDCON에 대한 후기를 작성합니다.

처음 컨퍼런스는 친구를 따라 갔던 기억이 있는데요.

컨퍼런스에 다녀오면 동기부여만 왕창되고 남는 지식은 조금 한정적이더라구요.

그래서 이렇게 후기를 작성하게 되었습니다.

HDCON은 CTF를 참여함으로서 컨퍼런스가 열린다는 사실을 알게되었는데요.

이런 구성으로 진행이 되었습니다.

제가 처음 들었던 내용은 2017 codegate 문제풀이에 대한 내용이었습니다.

블랙펄 시큐리티의 심준보 이사님께서 speaker로 오셔서 발표를 진행했는데..

말씀중 가장 인상 깊었던 내용은 요즘 해킹방어 대회는 자동화된 툴을 사용하지 않고는 순위권에 들 수 없다는 사실이었습니다.

저 또한 CTF에 관심이 많아 매년 많은 CTF에 참가를 하는데요.

매번 손으로 풀고 있는 입장에서 조금은 충격적인 사실이였습니다.

하긴 생각해보면 순위권팀들은 문제를 너무 빨리 풀어서 천재가 아닌가 했던 기억이.. 

이런 자동화된 툴을 흔히 solver라고 부르더군요.

이번 codegate 의 angrybird 문제도 solver의 종류인 anger를 사용하여 풀이를 하더군요.

하지만 CTF 순위만 올리려고 이런 자동화된 툴 사용에 익숙하다보면 원리를 놓치는 경우가 있을것같습니다.

뭐든 알고 사용합시다 ㅎㅎㅎㅎ 라는 교훈을 얻었습니다.

또 self-modifying code 라는 정보에 대해 알게되었는데

이는 직역하면 자체 수정 코드를 의미합니다.

자체 수정 코드는 실행 중에 자신의 명령어를 바꾸는 코드를 말합니다. 주로 명령어의 경로 길이를 줄이고, 성능을 향상시키거나 비슷한 반복되는 코드를 줄임으로써 유지보수를 단순화 시켜줍니다.

자체 수정 코드는 주로 테스트될 필요가 있는 조건의 수를 줄이는데 사용되는 조건부 프로그램 분기와 플래그 설정 방식의 대체재라고 하네요.

이 방식은 주로 추가적인 입출력 사이클의 오버헤드 요구 없이 조건부로 테스트/디버깅 코드를 유발시키기 위해 사용된다고 합니다.

또 제가 이번에 컨퍼런스에 다녀오면서 알아들을 수 있는 주제는 웹쉘별 해커 그룹 프로파일링에 대한 주제입니다.

일단 웹쉘이란?

공격자가 원격에서 웹서버에 명령을 수행할 수 있도록 작성한 웹스크립트 파일입니다.

발표자께선

해커그룹에 따라 웹쉘의 형태 또한 달랐고, 이러한 특징에 따라 종류를 나눠놓고 분석을 하셨더군요.

분석한 내용은 이러합니다.

[웹쉘별 해커 그룹 프로파일링]

프로파일링 key

-웹쉘

-IP 

-취약점

-악성코드

-공격 흔적

-등등

웹쉘 -> 공격 IP -> 악성코드

웹쉘 종류(가칭 / 특징별로 정리)

-Redhat 웹쉘

-venus 웹쉘

-OK 웹쉘

-Dr.Backd00r 웹쉘

informaition

-웹쉘명

-웹쉘 비밀번호(자신만 사용하기 위함)

-웹쉘 프로그래밍 언어

-웹쉘 기능

-웹쉘 난독화

-오픈 소스

-등등

Redhat 웹쉘 

GITHUB - redhat.asp

웹쉘명 : infoview.asp

웹쉘 비밀번호 : 1234qwer

기능 : 익스플로러, 스캐닝(디렉터리, os ,취약점)...

venus 웹쉘

웹쉘명 : list.asp

웹쉘 비밀번호 : venus

기능 : 익스플로러, 커맨드, 포트스캔, DB 매니저, 파일 다운로드..

OK 웹쉘

웹쉘명 : index.php

PHP & ASP 버전 존재

기능 : C&C 연결, 파일 업로드 및 다운로드(pc) 

- 접속 로그 : background103.jpg, KB23489.dat

- C & C 주소 : button_array301.git(f)

Dr.backd00r 웹쉘

접속 -> Not Found / 비밀번호 입력 -> 웹쉘(최근 많이 발생)

-비밀번호 입력난 은닉한 404 error 로 위장

-웹쉘명 : index.php, view.php

-웹쉘 비밀번호 : youaredied

-기능 : 같음

공격 IP 분류

각 웹쉘 별 접속 IP

같은 웹쉘 별 중복되는 IP 대역

다른 웹쉘 별 중복되는 IP 대역

분석에 대한 전체적인 내용은 이러했습니다. 

또 해커들은 어떻게 C2서버를 컨트롤 하는가 에 대한 내용에 대해 간략하게 정리를 해보았습니다.

    [해커들은 어떻게 C2 서버를 컨트롤 하는가]    

    악성코드 -> 국내 C&C서버

해외같은경우 차단.

(서버 침투 경로)

cve 2016-7256(오픈 폰트 취약점) 이용

cve 2017 7269(windows 2003 + IIS 6.0+ webDav) -> bof

poc

(악성코드)

-flash : client 악성코드, c&c 접속 시도

-troy : server 악성코드 , 접속대기 , 서비스 동작 

-lsass : client 악성코드 , c&c 접속 시도

-proxy : server, 접속 대기, 서비스 동작 // ssl 통신

-mid : server, 접속대기, 서비스 동작 // ssl 통신

addr : mid c&c (addr 레지스트리 ip 들어감)

id -> mid 악성코드가 설치된 서버의 ip

config : proxy c&c list 

악성코드가 설치된 서버 주소 list

이번 컨퍼런스는 제가 흥미를 가질만한 주제가 많이 없었지만 해킹에 대한 새로운 소식과 최신 트렌드에 대해 알게된 좋은 자리였던것 같습니다.

마지막으로 컨퍼런스 사진을 올리며 후기를 마치겠습니다.

엽전으로 많은 상품을 얻을 수 있었습니다. 핵꿀잼이였습니다...

키보드, 피규어 등 상품 퀄리티가 좋았습니다.

저는 피규어와 저 돌돌이를 get 했습니다. ㅎㅎㅎㅎㅎㅎ

다과도 준비돼있고, 뱃지, 제가 사랑하는 스티커도 얻었습니다 ㅎㅎㅎ

네 저는 스티커 충입니다.

내일도 WHITCON을 가는데 후기를 남겨보도록 하겠습니다.

컨퍼런스를 가면 참 좋은게 작년부터 다니기 시작했는데 처음에는 정말 지루하고(제가 알아들을 수 있는 내용이 없어서..) 재미없었는데

매번 다녀오다보니 제가 공부하는 내용이 나오고 자연스럽게 흥미가 생기더군요 ㅎ

또, 보안을 공부하는 많은 분들을 뵐수 있어서 좋았습니다.

그분들의 첫마디는 "어떤 공부하세요?" 였고.. 공부를 하지 않으면 약간 소외된 느낌..이랄까.. 아무튼 공부 열심히 해야..ㅎ

네. 이상 HDCON 후기를 마치겠습니다 :)