포스팅 내용

국내외 보안동향

FFS Rowhammer 공격, 리눅스 VM 하이재킹

FFS Rowhammer 공격, 리눅스 VM 하이재킹

New FFS Rowhammer Attack Hijacks Linux VMs


네덜란드 Vrije University 연구원들이 악명 높았던 Rowhammer 공격의 새로운 버전을 발견했습니다. 이는 클라우드 호스팅 서비스에 종종 사용되는 리눅스 VM을 해킹하는데에 효과적인 것으로 알려졌습니다.


이번 Rowhammer 공격은 매우 강력합니다. 메모리 셀 한 열에 공격을 퍼부어 바이너리 0을 1로, 혹은 그 반대로 변경할 수 있습니다. 


이로 인해 공격자들은 비트를 변경하고, 가까이 있는 메모리 셀에 영향을 미쳐 bit flip을 발생시킬 수 있습니다. 즉 해당 악성코드를 사용하는 것만으로도 컴퓨터의 메모리를 조작할 수 있는것입니다.


Rowhammer 공격은 수 년에 걸쳐 진화해 왔습니다. DDR3 메모리에 가한 초기 공격은 성공적이었고, 지난해 이 Rowhammer 공격이 DDR4에도 유효하다는 것을 증명했습니다. 또한 그들이 자바 스크립트를 통해 Rowhammer 공격을 시연할 수 있었던 부분도 학계에 큰 파장을 일으켰습니다. 이는 공격자가 인터넷으로 컴퓨터의 메모리를 조작할 수 있다는 의미이기 때문입니다.


(▶소프트웨어를 이용하여 하드웨어에 영향을 미칠 수 있는 Row Hammer 취약점 더보기)


2016년 5월, 윈도우 10 엣지 브라우저에 브라우저뿐만 아니라, OS까지 장악 할 수 있도록 허용하는 메모리 deduplication 사이드 채널 공격을 통한 Rowhammer 공격 사례가 발견되었습니다.


37번째 IEEE Symposium on Security and Privacy에서 소개된 연구를 진행한 팀이 이번에는 Usenix Security Symposium에서 해당 공격의 새로운 버전을 공개했습니다.


Flip Feng Shui (FFS)라 불리는 Rowhammer 공격의 다른 버전은 메모리 deduplication과 함께 동작합니다. 메모리 deduplication이란, 일부 운영체제들이 중복 엔트리들을 찾아 그들을 병합시키는 방식으로, 메모리 슬롯을 비우는 프로세스를 지칭합니다.


그들은 Flip Feng Shui: Hammering a Needle in the Software Stack이라는 연구에서 리눅스 클라우드 서버에 가해지는 Rowhammer 공격에 대한 자세한 내용을 다루었습니다.


해당 공격은 Edge에 가해지는 것과 동일하지만, 공유된 리눅스 기반의 가상 머신의 메모리에서만 이루어집니다. 연구원들은 공격자가 피해자와 함께 운영되는 클라우드 서버로의 접근을 구매할 수 있으며, 소프트웨어에 취약점이 전혀 없는 상태여도 FFS Rowhammer 공격을 시도해 피해자 계정에 대한 제어권을 얻을 수 있다고 밝혔습니다.

 

<이미지 출처 : http://news.softpedia.com/news/new-ffs-rowhammer-attack-targets-linux-vm-setups-507290.shtml>


공격자는 피해자와 서버를 공유하기 때문에 방해를 받지 않고 Rowhammer 공격을 실행할 수 있습니다. 그리고 리눅스 메모리 deduplication 시스템 (KSM)에게 선택될 메모리 셀을 타겟으로 하거나 생성할 수도 있습니다.


연구원들은 “이 단계에서는, FFS는 이미 공격자에게 알려진 (또는 추측 가능한) 컨텐츠를 가진 피해자의 물리적인 메모리 페이지의 Templated 된 bit filp들을 제공한다.”며, “공격을 가하는 부분은 가능한 템플릿이 있을 경우와 공격자들이 흥미로워할 만한 위치에 접근할 수 있는 템플릿일 경우로 한정된다.”고 말했습니다.


그들은 한 번에 RSA 퍼블릭 키를 변조할 수 있는 두 개의 PoC 공격을 실행했습니다. 이에 따라 피해자 머신으로의 SSH 연결을 수립하거나, APT 소스를 변조하여 사용자들을 악성 APT 패키지를 다운로드하도록 유도할 수 있습니다.


연구에 따르면 공격자는 Debian과 Ubuntu 시스템을 성공적으로 공격할 수 있습니다. 두 프로젝트 모두 해당 이슈에 대해 보고를 받은 상태입니다.


리눅스 기반의 프로젝트 두 건이 해당 문제를 처리하고 있지만, 진짜 문제는 암호화 소프트웨어에 존재하고 있습니다. 또한 연구원들은 이를 해킹할 수 있다고도 밝혔습니다.


연구원들은 “dFFS가 놀라울 정도로 현실적이고 효과적이지만, 기존의 암호화 소프트웨어는 이에 대항하기 위한 준비가 전혀 되어있지 않다" “더욱 걱정스러운 점은, 우리는 Flip Feng Shui가 더 많은 형태와 소프트웨어 스택의 어플리케이션에 사용될 수 있다는 것이다. 따라서 시스템 보안 커뮤니티는 이러한 위협에 즉각적인 주의를 이끌어낼 수 있도록 권고한다.”고 밝혔습니다.




출처 :

http://news.softpedia.com/news/new-ffs-rowhammer-attack-targets-linux-vm-setups-507290.shtml

http://www.cs.vu.nl/~kaveh/pubs/pdf/ffs-usenixsec16.pdf



티스토리 방명록 작성
name password homepage