최근에 발표되는 Microsoft 제품들 특히 Office 제품군들의 보안 취약점들이 공격하는 웜-바이러스, 트로얀 등이 악용하는 Buffer Overflow 취약점의 한 형태인 Stack Overflow의 원리에 대해서 설명하고 공격의 영향에 대해서 알아본다.
Buffer Overflow 공격의 세 가지 종류
- Stack Overflows Attacks
시스템의 Memory 공간 중 Stack 영역의 값을 조작하는 공격 기법
- Heap Overflows Attacks
시스템의 Memory 공간 중 Heap 영역의 값을 조작하는 공격 기법
- Format String Attacks
입력값의 형식(format) 유효성 결함을 이용한 공격 기법
printf(), Sprintf() 등
[그림 1] Memory Layout |
프로그램의 실행과 Stack 운영의 관계
Stack Overflow를 설명하기 전에 운영체제 내에서 프로그램의 실행과 Stack 영역의 할당 방식에 대한 이해가 필요하다.
운영체제에서 프로그램이 실행되면 Stack Frame이라는 메모리 단위가 Stack 영역에 할당된다. 그리고 프로그램 내의 함수가 실행될 때마다 새로운 Stack Frame이 생성되어 Stack 영역에 할당되며, 함수 또는 프로그램이 실행을 종료하면 각 프로그램/함수에 할당된 Stack Frame은 해제된다.
[그림 2] 프로그램 실행과 Stack 운영
Stack Frame의 구조
그렇다면 이렇게 프로그램이나 함수가 실행될 때마다 Stack 영역에 할당되는 Stack Frame은 어떠한 구조로 되어 있는가? Stack Frame은 새로운 하나의 프로그램/함수가 실행될 때 해당 프로그램/함수의 실행을 종료한 후 원래의 위치로 돌아갈 정보를 담고 있다.
[그림 3] 프로그램 실행과 Stack 운영
[그림 3]은 Stack Frame의 구조를 나타낸 것이며 Stack Frame을 구성하는 항목 중 Stack Overflow 공격과 관련된 값은 Parent EBP, Parent EIP제 저장된 값이며, 특히 프로그램/함수의 종료 후 복귀하는 메모리의 주소를 저장하는 Parent EIP 값에 대한 조작이 Stack Overflow 공격의 핵심이다.
Stack Overflow 공격 원리
지금까지 설명한 지식을 토대로 Stack Overflow의 공격 기법을 Stack Overflow 취약점이 가장 빈번하게 나타나는 함수 중 하나인 strcpy( ) 함수의 잘못한 사용을 예를 들어 설명하자면, Strcpy( ) 함수가 실행되기 전까지는 strcpy( ) 코드를 포함하는 함수에 할당된 Stack Frame의 값은 Parent EBP=0x0012FFC0, Parent EIP=0x00401309으로 설정되나 strcpy( ) 함수가 실행되면서 변수 (Buffer) var에 지정된 크기 10 바이트를 초과하는 값을 저장하면서 Overflow를 발생시켜 문자열 값 중 10 바이트를 초과하는 부분이 Parent EBP, Parent EIP에 저장된 기존 값을 덮어쓰는 현상이 발생하여 Parent EBP=0x44444444, Parent EIP=0x45454545으로 변경되었다.
이렇게 지정한 크기(10바이트 크기로 지정된 'var' 버퍼)에 지정한 크기 이상의 값을 저장하는 방식으로 Overflow를 발생시켜 함수의 주소값을 변경하는 공격이 Stack Overflow 공격이다.
[그림 4] Stack Overflow 공격 시 EBP, EIP 값의 변화
Stack Overflow 공격의 영향
위에서 설명한 원리의 기반으로 실제 공격을 수행할 때는 정교하게 조작된 주소값을 Parent EIP에 덮어쓰고 조작된 주소 값에 원하는 실행 코드를 삽입하는 방식으로 공격을 수행하게 된다. 이러한 Stack Overflow 공격으로 입을 수 있는 피해는 다음과 같이 정리할 수 있다.
- 덮어쓴 주소값에 의해서 프로그램의 흐름의 오류를 발생시켜 정상적인 시스템 동작을 방해하는 서비스 거부
- 변조되는 주소값을 시스템의 특정 실행함수(또는 코드)가 위치하는 주소로 변조하여 임의의 명령을 실행
- 공격자가 실행을 원하는 악성코드를 파일 또는 시스템의 메모리 상에 위치시키고 그 주소값을 EIP 값에 덮어씌우고 실행하는 방식으로 악성코드를 실행
Buffer Ovreflow의 한 종류인 Stack Overflow는 다른 공격과는 성격이 다르게 시스템 메모리를 저수준에서 조작하는 방식으로 공격자의 고난이도의 기법이라고 할 수 있으며, 역시 시스템의 중요 자원인 메모리를 직접 제어한다는 측면에서 공격에 의한 결과는 치명적이다. 이런 Stack Overflow의 취약점이 수시로 발견되고 있으며, 최근의 웜-바이러스, 트로얀 등이 Overflow 취약점을 즐겨(?) 사용하므로 사용자들은 제품의 보안패치에, 개발자는 자신의 프로그램에 사용자에게 치명적 영향을 줄 수 있는 Overflow 결함을 줄이는 노력이 필요하다.
[저자] 안랩코코넛 보안리서처 이성열대리
[출처] 안랩코코넛 SECU-LETTER 10월호
invalid-file