
                             .oO Phrack Magazine Oo.

                          Volume Seven, Issue Forty-Nine

                                  File 06 of 16

                                [ 프로젝트 Loki ]

                           글 by daemon9 AKA route
                       소스코드 by daemon9 && alhambra
                             for Phrack Magazine
                       1996. 8. Guild Productions, kid

           comments to route@infonexus.com/alhambra@infonexus.com

                           번역 by 박마동수 <advance@new21.com>
                           2000.  8. 25.

                --[ 들어가며 ]--

    Ping 트래픽은 거의 모든 TCP/IP 기반 네트워크와 서브네트워크에 널려 있다.
이 트래픽은 모든 IP 통신 라우터가 인식할 수 있는 표준 패킷을 지니며, 네트워크
관리, 테스트, 그리고 측정에 폭넓게 사용된다. 그래서 많은 방화벽과 네트워크는
ping 트래픽이 거리낌 없이 방해받지 않고 통과할 수 있도록 해준다. 이 프로젝트는
이런 특성이 왜 안전하지 못한지를 밝혀낼 것이다. done-to-death 서비스
거부(denial of service) 공격의 뻔한 위협은 제껴두더라도, ping 트래픽은 열린
네트워크를 통하여 은밀히 보호받는 채널을 열어제칠 수 있다.

    Loki는 노르웨이 신화에 나오는 사기와 속임수의 신이며, 'Misrule 신'은
파괴적인 행동으로 유명하다. 그는 자연스럽게 모든 종류의 기만과 말바꿈을 행했다.
그의 비밀스러운 특성을 본따서 이 프로젝트의 이름을 Loki라 하였다.

    Loki 프로젝트는 이렇듯 비밀 채널을 상세히 다루는 글로써 이루어져 있다.
소스코드는 현재 배포하지 않고 있다.

                --[ 개괄적 설명 ]--

    이 글은 ping 트래픽이 지나다니게 해주는 네트워크 속에 존재하는 비밀
채널에 대한 상세한 설명이라 할 수 있다.(여기에서 ping 트래픽은 ICMP_ECHO
트래픽의 좀더 일반적인 표현으로 사용되었다. --아래 글을 보자.) 다음과 같은
섹션으로 구성되어 있다:

        Section I.      ICMP 배경 지식, Ping 프로그램
        Section II.     방화벽 기초 이론, 비밀 채널
        Section III.    Loki 실전 활용
        Section IV.     논의, 감지, 그리고 예방
        Section V.      참고 문서

(TCP/IP 프로토콜에 대해 익숙하지 않은 독자들은 먼저 다음 문서를 읽기 바란다.
 ftp://ftp.infonexus.com/pub/Philes/NetTech/TCP-IP/tcipIp.intro.txt.gz)

                Section I.      ICMP 배경 지식, Ping 프로그램

    ICMP(Internet Control Message Protocol)은 IP 레이어의 부가 프로토콜이다.
이 프로토콜은 에러 메시지와 그 밖의 정보를 유니캐스트 주소로 실어나르는 데에
쓰이는 비연결적(connectionless) 프로토콜이다. ICMP 패킷은 IP 데이터그램의
내부에 캡슐화되어 있다. 모든 ICMP 메시지에서 헤더의 첫 4 바이트는 동일하다.
반면 헤더의 나머지 부분은 서로 다른 ICMP 메시지 타입을 결정한다. ICMP
메시지에는 15개의 서로 다른 타입이 존재한다.

    여기서 살펴볼 ICMP의 타입은 0x0부터 0x8까지이다. ICMP 타입 0x0은
ICMP_ECHOREPLY(응답)를 나타내고, 타입 0x8은 ICMP_ECHO(질의)를 나타낸다.
정상적인 작동 과정은 0x8을 서버에 보내어 0x0 응답을 받아내는 것이다.
(보통 이 서버는 실제로는 대상 호스트의 OS 커널을 의미한다. 대부분의 ICMP
트래픽은 기본적으로 커널에 의해 조종된다.) ping 프로그램이 이러한 작업을
수행한다.

    Ping은 하나 이상의 ICMP_ECHO 패킷을 호스트로 보낸다. 호스트가 살았는지
(도달 가능한지) 알아보기 위해서 ping을 보내는 경우가 많다. ICMP_ECHO 패킷은
데이터 섹션을 포함하는 옵션도 갖고 있다. 이 데이터 섹션은 '라우트 기록'(record
route) 옵션이 지정된 경우, 또는 왕복 시간을 알아보기 위해 시간 경과 정보를
저장하는 경우에 사용된다.(뒷 경우가 더 일반적이고, 보통 기본으로 지정되어
있다.) (이 주제에 대해 더 자세히 알고 싶으면 ping(8) 맨페이지를 살펴보자.)
다음은 ping 맨페이지로부터 인용한 부분이다:

 "...옵션이 없는 IP 헤더는 20 바이트이다. ICMP ECHO_REQUEST 패킷은 ICMP 헤더
     뒤에 따라붙는 임의의 크기의 데이터를 저장하기 위해 추가로 8 바이트를
     더 갖는다. 패킷 크기가 주어지면, 데이터의 나머지 조각의 크기가 자연스럽게
     결정된다.(이 크기의 기본값은 56 바이트이다.) 받아들인 데이터 중에서 ICMP
     ECHO_REPLY 타입의 IP 패킷 속에 저장된 데이터의 양은 항상 요청한 데이터
     공간보다 8 바이트만큼 크다(ICMP 헤더가 붙기 때문)..."

    이에 따른 부하가 시간 경과에 따라 변함에도 불구하고, 데이터 내용에 대한
검사는 어느 디바이스에 대해서도 발생하지 않는다. 따라서 데이터의 양은 임의로
변할 수 있다. 바로 이 지점에 비밀 채널이 숨어 있다.

                Section II.     기본 방화벽 이론과 비밀 채널

    방화벽 이론의 기본 취지는 간단하다: 하나의 네트워크를 다른 네트워크로부터
방어하는 것이다. 이 기능은 세개의 일시적인 규칙에 따라 명확하게 규정된다:
1. 두 네트워크 사이를 오가는 트래픽은 반드시 방화벽을 거쳐야 한다.
2. 방화벽에 의해 인증받는 트래픽만이 지나갈 수 있다.(사이트의 보안 정책에
따라 다를 수 있다.)
3. 방화벽 자체는 침입당하지 않아야 한다.

    비밀 채널은 정보가 지나다닐 수 있는 작은 통로이다. 그러나 이 통로는
보통 정보 교환에 사용되지 않는다. 그러므로 결과적으로 비밀 채널은 보통 시스템
보안 정책을 써서는 감지하고 차단할 수 없다. 이론적으로는 거의 모든 프로세스
또는 데이터 비트가 비밀 채널이 될 수 있다. 실제로는 비밀 채널로부터 쓸만한
데이터를 시기적절하게 이끌어내는 것은 정말 어렵다. 그러나 Loki에서는 이 방법을
개발(exploit)하기 쉽다.

    가장 기본적인 원리에 따르면, 방화벽은 방어하는 사이트의 보안 정책을
유지하고자 한다. 위에서 언급한 세가지 규칙을 적용함으로써 이것이 가능해진다.
그러나 비밀 채널은, 그 정의에 따라, 사이트의 통상적 보안 정책의 영역 하에 있지
않다.

                Section III.    Loki 실전 활용

    Loki 프로젝트의 개념은 간단하다: 임의의 데이터가 ICMP_ECHO와
ICMP_ECHOREPLY 패킷의 데이터 영역에 숨겨진다. Loki는 ICMP_ECHO 트래픽 내부에
존재하는 비밀 채널을 찾아낸다. 이 채널이 존재하는 이유는 네트워크 디바이스가
ICMP_ECHO 트래픽의 내용을 거르지 않기 때문이다. 이 디바이스는 패킷을
통과시키거나 없애거나 되돌려보내기만 한다. 트로이안 패킷이 ICMP_ECHO 트래픽인
것처럼 가장할 수 있다. 어떠한 정보라도 캡슐화하여 숨길 수 있다. 이를 이용하여
Loki 트래픽은 정보를 숨기고 있는 ICMP_ECHO 트래픽을 조사한다. (눈치 빠른
독자들은 Loki가 간단한 steganography 형태임을 알아차렸을 것이다.)

    Loki는 침입 도구가 아니다. 용도가 매우 다양하며, 그 중 어느 용도도
컴퓨터를 깨뜨리지는 않는다. 대상 컴퓨터에서 실행할 수 있는 명령어를 얻는
비밀스런 방법을 제시함으로써 Loki를 시스템의 백도어로 사용할 수는 있다. Loki를
컴퓨터 내의 정보를 은밀히 빼내는 방법으로 사용할 수도 있다. Loki를
사용자-컴퓨터 혹은 사용자-사용자 통신의 도구로 사용할 수도 있다. 그리고
핵심적으로, 채널을 데이터를 몰래 뒤섞어놓는 방법으로 사용할 수도 있다.
(신뢰성과 인증이 암호화를 통하여 추가되어야 할 것이다.)

    Loki는 방화벽 파괴 테크닉으로 이용되기도 하지만, 실제로는 데이터를 은밀히
옮기는 통로일 뿐이다. 이 데이터를 어느 통로로 옮기는지는 중요한 논점이 아니다.
적어도 ICMP_ECHO 트래픽을 허용하는 한, 통로는 상관 없다: 라우터이든,
방화벽이든, 패킷 필터이든, dual-homed 호스트이든, 기타 등등이든... 모두
Loki를 위한 수도관으로 기능할 수 있다.


        Section IV. 논의, 감지, 그리고 예방


    만약 ICMP_ECHO 트래픽이 허용된다면, 이 채널은 존재한다. 이 채널이
존재한다면, 백도어를 없애는 것이 불가능하다.(물론 시스템이 한번 뚫렸을 경우)
확장 방화벽 차단과 패킷 필터링 작업이 이루어졌다 하더라도, 이 채널은 계속
존재한다.(물론 ICMP_ECHO 트래픽 흐름을 막지는 않는다는 전제 하에서 그렇다.)
적절한 구현에 따라 이 채널은 전혀 감지되지 않은 채 존재할 수도 있다.

    이를 감지하는 것은 어려울 것이다. 만약 Loki를 감지하기 위하여 무엇을
찾아야 하는지 알고 있다면 채널이 시스템에서 사용되고 있음을 발견할 수 있을
것이다. 그러나 언제 찾아야 하는지, 어디를 찾아야 하는지, 그리고 모두 뒤져봐야
한다는 간단한 사실까지 모두 알고 있어야 한다. 만약 ICMP_ECHOREPLY 패킷이
과부하가 걸리도록 조작되어 과잉 공급된다면, 채널이 사용되고 있는지 알아낼 수
있을 것이다. 이 경우, 독립적인 Loki 서버 프로그램도 죽어서 쓸모없게 될 것이다.
그러나 만약 공격자가 채널에 흐르는 트래픽을 최소 수준으로 낮추고 Loki 서버를
커널 내부에 숨긴다면, 채널 감지는 더욱 어려워질 것이다.

    이 채널을 이용한 파괴는 간단히 예방할 수 있다. ICMP_ECHO 트래픽을 완전히
차단하라. 이 트래픽이 야기하는 보안 문제점의 심각성을 감안하면, ICMP_ECHO
트래픽은 그다지 필요하지 않을 것이다. ICMP와 같은 비연결적 프로토콜에서는,
신뢰 관계에 있는 호스트로부터만 ICMP_ECHO 트래픽을 받아들이는 방법은 우스울
뿐이다. 여전히 거짓 트래픽이 대상 호스트에 도달할 수 있을 것이다. 출발지 IP
주소를 속인 LOKI 패킷이 대상 호스트에 도착할 것이고, (정상적인 ICMP_ECHOREPLY
패킷을 이끌어낼 것이고, 이 패킷은 스푸프당한 호스트에 도착하여 조용히 사라질
것이다.) Loki 응답 패킷의 대상 호스트 IP 주소 4 바이트를 포함할 것이다. 물론
51 바이트의 악의적인 데이터도 함께 포함할 것이다. 똑똑한 패킷 필터가
부하(payload) 필드를 검사하여 올바른 정보를 담고 있는지 확인할 가능성도
있지만, ICMP에 대해 그렇게 조사하는 필터는 널리 쓰이지 않으며, 여전히 조작
가능성을 남겨두게 되어 있다. 이 채널을 없애는 유일하고 확실한 방법은
네트워크로 들어오는 모든 ICMP_ECHO 트래픽을 모두 거부하는 방법 뿐이다.

주의: 이 채널은 다른 프로토콜에도 존재한다. Loki는 단지 ICMP만을 다루었지만,
이론적으로(그리고 실제로도) 모든 프로토콜은 비밀 데이터 숨김(tunneling)에
취약하다. 독창적인 방안만이 해결책이다.

        Section V.  참고 문서


    책: TCP Illustrated vols. I, II, III
    RFCs:   rfc 792
    Source: Loki v1.0
    Ppl:    우리가 이 개념을 개척한 것은 아니다. 우리가 알기로는,
    이 개념은 우리의 노력과 관계 없이 우리 연구 이전에 이미 고안되었다.
    이 파티는 그와는 동떨어진 것이길 바란다.


이 프로젝트는 Guild Corporation으로부터 허가받았다.


EOF