글 작성자: ikimonotaku

"도행역시(倒行逆施)" - 순리를 거슬러 행동한다.




 - 서론 - 

 

 컴퓨터 포렌식이나 사건 포렌식의 일반적인상황에서 가장 중요한 점은 증거를 수집할 때 훼손을 받지않는것을(무결성) 보장하는것이다. 이것을 달성하기위해서 컴퓨터 포렌식 전문가는 엄격한 규정(룰)을 지키고 여러가지의 특수 하드웨어와 소프트웨어 툴을 사용한다.


 우리가 가끔씩 보여주듯이 스페셜한 보안 소프트웨어는 보안취약성에 영향을 받지 않는다. 이것을 알고 우리는 가끔 보안 최고 레벨의 고객 데이타를 지키기 위해 우리의 핵심 프로세스를 활용하여 소프트웨어 제품을 감사한다.

 EnCase Forensic Imager(이하 "EFI") 를 그중의 하나의 제품을 대상으로 한다.


 EFI는 외부저장매체로 수집하기위한 포렌식 조사관이 사용할 수 있는 허락된 무료 툴이다. 이것으로 수집된 증거는 추후 상업용 EnCase Forensic suite 분석에 사용된다.

 효율적으로 증거를 수집하기위해 EFI는 스토리지에 있는 다른 포맷형식의(흔히볼수 있는) 데이타를 처리할수 있다. 수상한 저장매체에 있는 믿을수 없는 데이타는 위험할 수 밖에 없다.


 그곳엔 언제나 위험이 도사리고 있다 혐의자는 그의 저장매체의 모든 데이타를 조작하여 포렌식 소프트웨어에서 읽을 수 없게 만들며, 심지어 조사관의 기기에 문제를 일으키게 한다. 우리는 후자의 내용에서 보듯이 EFI의 가능성 있는 부분을 시연할 것이다.


<EFI 크래시를 통한 코드실행 예제>




 - 공격 -


 조작된 LVM2 파티션을(일반적으로 쓰이는 리눅스 서버의 하드디스크) 저장매체에 복사하였다. 공격자는 만약 디바이스가 한번이라도 EFI를 이용해 분석하면 조사관 머신을 제압할 것이라는 가정하에 있다. 아무것도 모르는 조사관 조사관의 디바이스로 EFI를 통해 많은 일들이 일어날 수 밖에 없을 것이다.

 버퍼오버플로우의 보안결함을 이용하여 스토리지 디바이스를 통해 실행가능한 데이타를 EFI에서 읽어 들일것이다. 나중에 그 코드는 공격자에게 조작된 증거를 통해 조사관머신을 풀 컨트롤 할 수있는 권한을 부여할 것이다.


 다음 동영상은 조사 당국이 준비된 악성 USB 저장매체를 조사하는 부분을 보여주는 시나리오다.

 조사관이 EFI를 사용해 조사를 할때 그들도 모르게 용의자에 의해 원격제어가 가능한 부분을 보여 줄것이다.(임의의 악성코드가 실햄됨) 그리고 서버는 조사관의 머신을 조종하거나 증거들을 삭제한다.


상세 기술 부분



<시연 동영상> - 저작권 이슈로 링크 대체

https://www.youtube.com/watch?v=1EngNIXSNQw





 -  누가 영향을 받는가? -

 우리가 찾은 이슈는 여기서 사용한 테스팅이 풀 EnCase Forensic Suite의 영향을 주지 않는다. 우리는 본 이슈 이외에 다른 버전에 영향을 주는지 확인해 보지 않았다.(든기로는 인케이스 포렌직과 EFI는 같은코드를 사용하고 있다고함)

 Guidance 소프트웨어에 따르면 다른 정부기관에서 사용하고있다고 한다.


LIst : 

 - the FBI

 - the CIA

 - the US Department of Justice

 - the US Department of Homeland Security

 - the London Metropolitan Police Service


또한 몇몇의 메이저 회사들이 사용한다.

 - Microsoft

 - Facebook

 - Oracle


 이외에 어느 조직이 EFI툴을 사용하고 있는지는 확실하지않다.



 - 공격 대응 방안은 무엇인가? -

 어떤 조직은 증거데이타를 핸들링하기위해 네트워크 또는 인터넷 엑서스가 불가능한 격리된 머신에서 사용한다.


 잠시동안은 보안적으로 좋은 방법이긴하나 공격을 막진 못한다. 용의자는 이 취약점을 이용해 임의의 코드를 머신에서 실행하여 말웨어를 생성하고 미리정의해놓은 증거의 룰을 삭제할수 있다.(특정 이름패턴의 엑셀파일 삭제 등)


 우리는 2017년 3월경 이 취약점에 대해서 자세하게 벤더에 제공했다. 하지만 유감스럽게도 가디언스 소프트웨어는 수정된 버전을 제공하지 않았다.(취약점이 제공되면 50일 이내에 스케줄을 조정하여 수정본을 내놓아야 함)

 그래서 우리는 정책에 따라 책임지고 공개적으로 해당내용을 공개했다. 하지만 아직까지 EFI는 알려진 취약점을 수정한 버전을 공개하지 않고 있다.


 이번 버전은 이미 첫번째 취약점을 제공하고 난 몇달 뒤의 두번째 취약점이다. 그땐 벤더가 보안 결함을 바로 조치하지 않았다.(현재또한..)  의문이 드는 사항은 가디언스 소프트웨어가 사소한 취약점으로 취급하고 있다는 부분이 있다.


이하 생략...




 다음으로 가디언스 소프트웨어에서 메일 회신이 왔는데 주요 골자는 이미 많은 법적 기관, 정부기관에서 20년간 조사용 소프트웨어로 사용하고 있는데 사소한 이슈때문에 문제를 일으키고 싶지 않다는 내용이다. 내용인 즉슨 해당 소프트웨어는 법적 증거 효력을 가지고 있는데 해당 사항이 발견되고 공개된다고 하면 법적기관이나 정부기관에서 신용하고 사용할 수 없다는 말로 해석이 된다..


 사견으로 고인물이 썩는다는 말이 있듯이.. 아무리 인케이스가 대단하다 하더라도 이러한 문제를 숨기고 보안 패치 버전까지 내놓지 않는다면, 증적 효력을 커녕 중대한 범죄자를 놓지는 격이 될수도 있다. 과연 위와같은 행동이 옳은 방향으로 가고 있는가... 라는 생각을 해보게 된다.



도행역시(倒行逆施) 순리를 거슬러 행동한다.

 - 도리에 어긋나는 줄 알면서도 부득이하게 순리에 거스르는 행동을 한다.


출처 : Chainsaw of Custody: Manipulating forensic evidence the easy way

http://blog.sec-consult.com/2017/05/chainsaw-of-custody-manipulating.html?m=1