출처는 http://www.realattack.com/shellcode.html 입니다. 

RealAttack's Security Alert 

-------------------------------------------------------------------------------- 

이 문서는 IDS ( 침입탐지 시스템)들이 stack overflow 공격등을 감지하는데 있어서 
주된 방법이 얼마나 쉽게 피해질수 있는가를 보여주는 것이다.
이 문서는 x86 시스템을 예로 보여준것이다. 
(누가 sparc 같은거 남는거 있으면 연락바란다.) 
이것은 아마도 최근의 보안 관련 컨퍼런스의 k2 라는것과 일맥 상통할 것이다. 
이것에 관한 정보는 여기 를 참고 하기 바란다. 
이 문서의 저작권은 RealAttack에 있음을 알려드리며 동의없이 
유포, 복사, 인용 할수 없음을 알려드립니다. 

-------------------------------------------------------------------------------- 

1. 배 경 

해킹 방법의 많은 유형중에서 stack overflow, format string attack 등의 
궁극적인 목적은 공격자가 원하는 기계어 코드를 집어넣는 것이다. 
그 중에서도 특히 가장 많이 애용되는 것이 shell 을 뛰우는 것일 것이다. 
그렇기 때문에 IDS 들 특히 NIDS 들은 지나가는 패킷을 보면서 특정한 데이터를 보면 
이것은 어떠한 특수 목적을 수행하기 위한 code 의 일부로 보게된다. 

2. Shell Code의 대략적인 구성 ( x86 ) 

x86 쉘 코드의 대략적인 구성은 최초로 이것을 공표한 Aleph One 의 
Phrack 49 Smasing The Stack For Fun And Profit 을 기준으로 한다고 해도 무방하다. 
이것에 대해 잘 모르는 분은 일단 여기를 참고하기 바란다. 
이곳을 클릭 인터넷에서 검색엔진을 이용해서 한글로 번역해놓은 것을 찾은것 입니다. 
쉘 코드의 구성은 아래와 같다. 

NOP 
JMP 
exec 코드 
call 
/bin/sh ( 뛰우려는 쉘의 패스(path) ) 

이때 주로 IDS 들이 탐지하는 것은 NOP , call 등이다.

3. NOP 의 이해 

NOP 이라는 것에 대해서 간단히 알아보자.
NOP 의 역할은 한마디로 비어있는 stack 을 채워서 넘치게 하는 역할을 하는 일을 맡은 
기계어 코드 이다. 
그런데 NOP 에서 중요한점 하나를 알아야 한다. 
일단 Return Address 에 의해 돌아올때 매우 정확히 Return Address 를 정한다면 모를까 
NOP 으로 채워진 버퍼 한가운데 어딘가로 돌아가게 될 확률이 높다. 
그런데 만약 3byte 크기를 가진 명령어의 2번째 바이트로 리턴 어드레스가 정해진다면 
어떻게 될까? 
당연히 에러를 내면서 끝나 버린다. 
그렇기 때문에 1 byte 크기를 가진 명령어가 필요하다. 
그런데 이명령어는 별 다른 일을 안하는 단순히 쓸데 없는 명령어 이어야 한다. 
그중의 하나가 0x90 이다. 
아마 여러분이 해킹 프로그램을 보면 거의다 0x90 을 NOP 코드로 쓰고 있다. 
그래서 snort 의 예를 보면 일정수 이상의 0x90 을 패킷에서 보면 
이것을 overflow 공격의 신호로 본다. 

4. NOP 을 피해보자. 

일단 우리는 두가지에 포인트를 잡자. 
먼저 NOP 은 1byte 길이의 명령어가 좋고(꼭 1byte일 필요는 없다.) 
또한 별일 안하는 그런 쓸데 없는것을 찾아야 한다. 
일단 x86 명령어 세트가 나온 자료를 구하자. 
거기서 길이가 1byte인 명령어를 찾아보자. 몇개 나온다. 
그중에서 테스트해 보아서 가장 안정적인것은 0x2f 였다. 
이것은 Phrack 49에서 나온것의 코드를 바꾸어서 로컬에서 테스트 해보았다. 
이제 우리는 해킹 프로그램의 #define NOP 0x90 을 #define NOP 0x2f 로 변경함으로서 
일단 NOP 을 탐지하는 부분을 피할수 있을 것이다. 
꼭 1byte일 필요는 없다. stack 의 구조를 정확히 예측하고 적용할수 있다면 
그외의 다른 명령어도 가능하다. 

5. Call 을 피하자. 

x86 의 쉘 코드에서 마지막을 보면 "\xe8\xdc\xff\xff\xff/bin/sh" 이라는 부분을 
볼수 있을 것이다. 
저기서 e8 부분이 call 을 의미하며 뒤의 4byte dc ff ff ff 는 현재 위치에서의 
상대적인 오프셋을 의미한다. 
앞의 경우는 Phrack 49의 경우이고 인터넷에서 찾은 qpopper 공격 프로그램의 경우는 
e8 d9 ff ff ff /bin/sh 이었다. 
여기서 중요한 것은 e8 뒤의 숫자는 상대적인 쉘코드의 크기에 의존한 것이다. 
snort 의 qpopper 관련 룰은 그래서 e8 d9 ff ff ff /bin/sh 을 
그 공격 signature 로 보고 있다. 
후 이것또한 간단히 피할수 있다. 
쉘코드의 중간에 물론 명령어를 이루는 바이트 중간이 아닌 
한단위 명령어가 끝난 사이에 0x90 을 하나 넣고 d9 라는 offset 을 조정해주면 된다. 
Phrack 49 의 예제에서 나온 쉘코드 중간에 NOP 을 넣고 
e8 db ff ff ff /bin/sh 로 테스트해서 성공했다. 
리모트의 경우에도 마찬가지 일것이라고 생각한다. 
물론 꼭 하나만 넣을 필요도 없다.
여러개 넣고 그에 맞추어 offset 은 조절만 해주면 된다. 

6. 평가 

기타 부분의 경우에도 마찬가지 이다. 
예를 들어 exec 부분을 탐지하는 방법을 생각해보았다고 해보자. 
exec 를 실행하기 위해서는 eax 레지스터에 11 이 들어가야 하고 
ebx 와 ecx , edx 에는 문자열의 주소나 널 포인터를 가르켜야 한다. 
그리고 int 0x80 명령어가 실행되어야만 한다. 
그래서 어쨌던 이들 사이의 nop 코드를 골라내고 해서 탐지할수 있다고 해도 
eax 에 10 을 넣고 다시 1을 넣는다는지 아니면 먼저 12를 넣고 1을 뺀다던지 
명령어가 00 을 포함하지 않는다면 어떠한 것도 가능하다. 
call 바로 다음에 /bin/sh 이 있다고 이걸 signature 로 만드는것도 가능하다. 
하지만 이것도 xxx/bin/sh 등으로 하고 offset 을 조절해주면 된다. 
아마도 IDS 가 어셈블러를 탑재해야 될지도 모르겠다. 


7. 결론 
이것은 매우 한정된 예일 뿐이다. Script Kid 가 공격하는 것은 단순한 
signature 로도 충분히 탐지할수 있는것이 가능하다고 생각된다. 
대부분 인터넷에 있는 툴을 이용하기 때문이다. 
하지만 쉘코드를 직접 만들고 응용하는 향상된 공격자는 더욱 탐지하기 어려울 것이다. 
개인적으로는 IDS가 좀 허술한 면이 많다고 생각된다.( 고영준왈 ) 





Written By: 고 영 준 , 고 성 준 , 고 태 훈 , 정동욱