[논문]블록체인 소프트웨어의 취약점을 이용한 OS 커맨드 인젝션 공격에 대한 연구

김병국; 허준범

doi:10.13089/jkiisc.2019.29.2.309

블록체인 소프트웨어의 취약점을 이용한 OS 커맨드 인젝션 공격에 대한 연구
Analysis of Blockchain Software Vulnerability against OS Command Injection Attack 원문보기

情報保護學會論文誌 = Journal of the Korea Institute of Information Security and Cryptology, v.29 no.2, 2019년, pp.309 - 320

초록
AI-Helper

블록체인 기술은 비트코인과 함께 알려졌으며, 급진적인 암호화폐의 성장과 함께 주요 기술로 인식되었다. 블록체인을 활용하기 위한 노력은 다양한 분야에서 이어지고 있으며 지속해서 발전하고 있다. 하지만 블록체인의 발전과 함께 블록체인을 위협하는 보안사고도 증가하고 있다. 이러한 문제를 해결하기 위해 블록체인의 다양한 보안 위협 중 블록체인 소프트웨어의 구현상 문제점을 분석하겠다. 본 논문에서는 블록체인 소프트웨어 중 오픈소스로 개발되는 암호화폐를 보안 관점에서 바라보며 소스코드에 존재하는 취약점을 분석하고, 취약점을 이용한 OS 커맨드 인젝션 공격에 대해 알아보겠다.

Abstract ▼ AI-Helper

Blockchain has been developed as a key technology for many cryptocurrency systems such as Bitcoin. These days, blockchain technology attracts many people to adopt it to various fields beyond cryptocurrency systems for their information sharing and processing. However, with the development and increasing adoption of the blockchain, security incidents frequently happen in the blockchain systems due to their implementation flaws. In order to solve this problem, in this paper, we analyze the software vulnerabilities of Bitcoin and Ethereum, which are the most widely used blockchain applications in real world. For that purpose, we conduct an in-depth analysis of source code of them to detect software vulnerabilities, and examine an OS command injection attack exploiting the detected ones.

주제어

표/그림 (21)

그림 Fig. 1. Malware Families by Type
그림 Fig. 2. Blockchain Structure
그림 Fig. 3. OS Command Injection Code Examples
표 Table 1. CWE / SANS TOP 25 Most Dangerous Software Errors List
표 Table 2. Static Analysis Tools
표 Table 3. Analysis Target
그림 Fig. 4. Bitcoin Issues by Priority
그림 Fig. 5. Ethereum Issues by Priority
그림 Fig. 6. Bitcoin vulnerability code
표 Table 4. 3 high level categories
그림 Fig. 7. Ethereum vulnerability code
그림 Fig. 8. bash_profile file tampering
그림 Fig. 9. Contents of bitcoin-qt File
그림 Fig. 10. Bitcoin Call Graph
그림 Fig. 11. Bitcoin Default Path
그림 Fig. 12. Command Attack Code
그림 Fig. 13. Configuration Attack Code
그림 Fig. 14. Contents of bitcoin,conf File
그림 Fig. 15. Contents of attack.sh File
그림 Fig. 16. Named Pipe Structure
그림 Fig. 17. bitcoin.conf Digital Signature

AI 본문요약
AI-Helper

* AI 자동 식별 결과로 적합하지 않은 문장이 있을 수 있으니, 이용에 유의하시기 바랍니다.

문제 정의

본 논문에서는 오픈소스 프로젝트로 구현된 블록체인 소프트웨어 중 암호화폐를 대상으로 하며 소스코드 분석을 통해 존재하는 취약점을 알아보겠다. 그리고 분석된 취약점을 알려진 공격모델을 통해 실제 공격을 실험해 보고 공격에 대한 해결방안을 제시하겠다.
본 논문에서는 블록체인 소프트웨어의 취약점을 소스코드 정적 분석을 통해 소개하였다. 암호화폐, 제조, 판매, IoT 등 다양한 블록체인 소프트웨어 중 가장 많이 활용되고 있는 암호화폐를 대상으로 분석한 결과 취약한 코드가 탐지되었으며 취약한 코드 중 높은 위험성을 가지는 OS Command Injection이 가능한 코드가 존재하는 것을 확인할 수 있었다.
본 논문에서는 오픈소스 프로젝트로 구현된 블록체인 소프트웨어 중 암호화폐를 대상으로 하며 소스코드 분석을 통해 존재하는 취약점을 알아보겠다. 그리고 분석된 취약점을 알려진 공격모델을 통해 실제 공격을 실험해 보고 공격에 대한 해결방안을 제시하겠다.
암호화폐, 제조, 판매, IoT 등 다양한 블록체인 소프트웨어 중 가장 많이 활용되고 있는 암호화폐를 대상으로 분석한 결과 취약한 코드가 탐지되었으며 취약한 코드 중 높은 위험성을 가지는 OS Command Injection이 가능한 코드가 존재하는 것을 확인할 수 있었다. 이 코드를 이용하여 사용자 지갑 탈취와 거래를 발생시키는 공격을 재연하고 이에 대한 해결방안을 제시하였다.

가설 설정

공격을 재연한 환경은 macOS를 호스트로 두고 testnet에서 진행하였다. 사전에 공격자가 메일의 첨부파일이나 웹페이지에 악성코드를 삽입, 또는 smb 취약점을 이용하여 원격에서 환경 파일 수정 및 변조된 bitcoin 바이너리를 설치한 상태로 가정하였다[21].

제안 방법

Fortify로 검출된 소스코드의 취약점을 CWE / SANS TOP 25 Most Dangerous Software Errors의 항목을 기준으로 분석해 보았다.
conf를 통해 server를 활성화해 bitcoin-cli를 통한 공격이 가능해진다. bitcoin-cli 에서 제공하는 api를 이용하여 공격을 재연해 보았다[25].
취약점을 분석한 2개의 프로젝트 중 Bitcoin 프로젝트를 대상으로 공격을 재연하였다. 공격을 재연한 환경은 macOS를 호스트로 두고 testnet에서 진행하였다. 사전에 공격자가 메일의 첨부파일이나 웹페이지에 악성코드를 삽입, 또는 smb 취약점을 이용하여 원격에서 환경 파일 수정 및 변조된 bitcoin 바이너리를 설치한 상태로 가정하였다[21].
사용자가 bitcoin,conf 파일 수정하면 해시함수를 이용하여 파일에 대한 해시값을 생성하고 이 값을 블록체인 개인키로 암호화하여 Digital Signature 를 생성하여 저장한다. 그리고 bitcoin이 실행될 때 bitcoin.conf 파일을 로드하기 전 해시함수를 이용해 해시값을 만들고 이 값과 사용자가 생성한 Digital Signature를 블록체인 공개키로 복호화하여 같은 값인지 비교한다. 공격자가 bitcoin.
그리고 blocknotify로 공격에 사용할 셸 스크립트 파일을 다운받아 권한을 부여하고 실행하도록 했다. 셸 스크립트에는 지갑 탈취 및 거래를 발생시키는 코드가 포함되어 있으며 내용은 Fig.
쉘 스크립트를 지정하거나 직접 커맨드 명령어를 전달할 수 있으며 블록이 전달될 때마다 실행되므로 평균 10분 간격으로 실행된다. 따라서 해당 옵션이 활성화되어 실행되면 공격자가 반복적으로 공격할 수 있으므로 더 위험하며 이를 사용하여 공격을 재연해 보았다.
Fortify가 제공하는 정적 코드 분석기는 소스코드의 보안 취약점을 검출해 내고 시큐어 코딩을 적용할 수 있도록 가이드를 제공한다. 또한 25개 이상의 언어와 다양한 플랫폼 및 프레임워크를 지원하며 CWE와 OWASP TOP 10등 다양한 취약점 항목을 수용하여 취약점을 분석해 내는 장점이 있어 이를 활용하기로 했다.
이 메소드는 사용자로부터 입력 좌표를 가져와서 변환을 수행하는 응용 프로그램을 실행한다. 위도 및 경도 좌표를 커맨드라인 옵션으로 외부 프로그램에 전달하여 변환을 수행하고 생성된 UTM 좌표를 반환하는 처리를 수행한다. 그러나 이 방법은 좌표 입력 매개 변수의 내용이 올바른 형식의 위도와 경도 좌표만을 포함하는지 확인하지 않는다.

대상 데이터

블록체인을 활용한 대표적인 분야인 암호화폐를 분석 대상으로 하였다. 그중에서도 오픈소스 프로젝트로 개발되고 있는 암호화폐 중 37.4%와 17.5% 의 점유율로 2018년 5월 기준 전 세계에서 가장 많이 사용되는 상위 두 개의 암호화폐를 대상 소프트웨 어로 Table 3.과 같이 선정하였다[16].
블록체인을 활용한 대표적인 분야인 암호화폐를 분석 대상으로 하였다. 그중에서도 오픈소스 프로젝트로 개발되고 있는 암호화폐 중 37.
취약점을 분석한 2개의 프로젝트 중 Bitcoin 프로젝트를 대상으로 공격을 재연하였다. 공격을 재연한 환경은 macOS를 호스트로 두고 testnet에서 진행하였다.

데이터처리

분석 대상 소프트웨어를 정적 분석 도구인 Fortify 정적 코드 분석기를 활용하여 소스코드를 점검하였다. Fortify 정적 코드 분석기는 지속적인 룰팩 업데이트로 OWASP, CWE, SANS, NIST 등 다양한 보안 컴플라이언스를 지원하여 다양한 취약점을 점검할 수 있으며 취약점 검출의 정확도를 높이는 기술을 제공하여 높은 정확도를 보인다[17].

성능/효과

25개의 가장 위험한 소프트웨어 오류 중 Rank 2의 CWE-78은 운영체제 명령에 사용된 특별한 엘리먼트를 무효화 하지 않음으로써 OS Command Injection을 가능하게 하는 것으로 OS Command Injection 공격은 공격자 인식이 높으며 공격 빈도가 빈번하여 위험한 에러로 보안 취약점이 되어 공격을 가능하게 할 수 있다.
본 논문에서는 블록체인 소프트웨어의 취약점을 소스코드 정적 분석을 통해 소개하였다. 암호화폐, 제조, 판매, IoT 등 다양한 블록체인 소프트웨어 중 가장 많이 활용되고 있는 암호화폐를 대상으로 분석한 결과 취약한 코드가 탐지되었으며 취약한 코드 중 높은 위험성을 가지는 OS Command Injection이 가능한 코드가 존재하는 것을 확인할 수 있었다. 이 코드를 이용하여 사용자 지갑 탈취와 거래를 발생시키는 공격을 재연하고 이에 대한 해결방안을 제시하였다.

후속연구

예제로 확인한 결과 OS Command Injection 공격은 운영체제와 직접적인 관련이 있는 만큼 그 위험성이 크기 때문에 반드시 제거해야 할 취약점이다.
향후 연구에서는 다양한 활용 분야의 블록체인 소프트웨어와 탈중앙화된 애플리케이션을 함께 분석해 보고 발생할 수 있는 문제와 해결책에 대해 연구하겠다.

질의응답

핵심어	질문	논문에서 추출한 답변
	블록체인의 정의는 무엇인가?	블록체인은 시스템에 참여하는 모든 노드가 공유하는 데이터베이스이며 트랜잭션을 포함하고 있다. 여러 블록이 이어져 체인처럼 연결된 블록의 집합체로 모든 블록에는 이전 블록의 해시값이 포함되고 이 해시값은 Fig.
	초기 블록체인 기술의 설계목적은?	블록체인은 암호화폐 시스템을 구현하기 위해 설계되었으나 작업 증명(Proof of Work), 합의 메커니즘(consensus mechanism) 등 블록체인 기술이 가지고 있는 여러 장점을 활용하여 기존의 중앙 집중형 시스템을 개선하기 위한 연구가 다양한 분야에서 진행되고 있다.
	블록체인 방식에서 소프트웨어의 취약점을 제거해야 하는 이유는?	블록체인이 가지는 보안성이 뛰어나더라도 이를 활용한 소프트웨어를 개발할 때 발생하는 구현상의 문제를 해결하지 못한다면 블록체인은 지속해서 위협에 노출되며 심각한 보안사고가 발생할 수 있다. 이러한 문제는 다양한 분야에서 블록체인을 활용하려는 노력을 저해할 수 있는 문제로 설계, 구현 단계에서부터 소프트웨어의 보안성을 고려하여 해결해야 한다.

참고문헌 (30)

Bitcoin, "Bitcoin: a peer-to-peer electronic cash system" https://bitcoin.org/bitcoin.pdf, 2018.
RedHat, "Red hat product security risk report: 2015," RedHat, 2016.
Synopsys, "Coverity releases security spotlight report on critical security defects in open source projects" https://news.synopsys.com/2014-10-15-Coverity-Releases-Security-Spotlight-Report-on-Critical-Security-Defects-in-Open-Source-Projects, 2018.
CoinMarketCap, "Top 100 cryptocurre ncies by market capitalization" https://coinmarketcap.com/ko/, 2018.
Skybox Security, "Vulnerability and threat trends analysis of current vulnerabilities, exploits and threats in play," 10242018, Skybox Security, 2018.
Alfred J. Menezes, Paul C. van Oorschot and Scott A. Vanstone, Handbook of applied cryptography, CRC Press, 1996.
Xiaoqi Li, Peng Jiang, Ting Chen, Xiapu Luo and Qiaoyan Wen, "A survey on the security of blockchain systems," Future Generation Computer Systems, Mar. 2017.
M. Niranjanamurthy, B. N. Nithya and S. Jagannatha, "Analysis of blockchain technology: pros, cons and SWOT," Cluster Computing, pp. 1-15, Mar. 2018.
Financial Security Institute, "Blockchain application technology development and industry-specific implementation," Security Research Department-2017-002, Financial Security Institute, 2017.
CWE, "Software weakness" https://cwe.mitre.org/about/faq.html#A.1, 2018.
CWE, "CWSS" http://cwe.mitre.org/cwss/cwss_v1.0.1.html, 2018.
CWE, "CWE/SANS Top 25 Most Dan-gerous Software Errors" http://cwe.m-itre.org/top25/index.html, 2018.
B. Kim, "Open source software security issues and applying a secure coding scheme," KIISE Transactions on Computing Practices, 23(8), pp. 487-491, Aug. 2017.

원문보기 상세보기
A. Gosain and G, Sharma, Static analysis: a survey of techniques and tools, Springer, 2015.
Gartner, "Magic quadrant for application security testing," G00327353, Gartner, 2018.
Y. Kim, "BlockChain issue," Hanwha Investment and Securities, 2018.
Micro Focus, "Securing your enterprise software: security fortify static code analyzer," 361-000070-003, Micro Focus, 2018.
CWE, "OS command injection" http://cwe.mitre.org/data/definitions/78.html, 2018.
IBM, "System()" https://www.ibm.com/support/knowledgecenter/en/ssw_ibm_i_73/rtref/system.htm, 2018.
IBM, "Popen" https://www.ibm.com/support/knowledgecenter/en/ssw_aix_72/com.ibm.aix.basetrf1/popen.htm, 2018.
Barkly, "Wannacry attacks" https://blog.barkly.com/preventing-next-wann-acry-ransomware-infection, 2018.
GNU, "Bash reference manual" https://www.gnu.org/software/bash/manual/bash.html#Bash-Startup-Files, 2018.
GitHub, "Bitcoin core project" https://github.com/bitcoin/bitcoin, 2018.
Bitcoin, "Bitcoin configuration file" https://en.bitcoin.it/wiki/Running_Bitcoin#Bitcoin.conf_Configuration_File, 2018.
Bitcoin, "Bitcoin core api" https://bitcoin.org/en/developer-reference#bitcoin-core-apis, 2018.
OWASP, "OS command injection defense cheat sheet" https://www.owasp.org/index.php/OS_Command_Injection_Defense_Cheat_Sheet, 2018.
Microsoft, "Interprocess communications" https://docs.microsoft.com/en-us/windows/desktop/ipc/interprocess-communications, 2018.
W. Richard Stevens, UNIX network programming, volume 2, second edition: interprocess communications, Prentice Hall, 1999.
NIST, "Digital signature standard (DSS)," FIPS PUB 186-4, 2013.
R.L. Rivest, A. Shamir and L. Adleman, "A method for obtaining digital signatures and public-key cryptosystems," Communications of the ACM, vol. 21, no. 2, pp. 120-126, Feb. 1978.

상세보기

저자의 다른 논문 :

표제어: PCR

동의어: Packet Collision Rate

용어 설명 출처 목록 (6)

용어 설명: PCR은 세균 특이성이 있는 primer를 이용하여 적은 수의 세균이 있을지라도 쉽게 검출할 수 있는 유용한 방법이며, 이를 이용하여 구강 내 치면세균막이나 타액에서 직접 세균을 검출할 수 있게 되었다[8].

내보내기 구분	파일저장 인쇄 메일전송
구성항목	기본정보 상세정보 관리번호, 논문명, 저널/프로시딩명, 저자 , 발행년, 권, 호, 시작페이지, 끝페이지, 발행기관 관리번호, 논문명, 대등논문명, 저자 , 저널/프로시딩명, 발행기관, 발행년, 발행언어, 권, 호, 시작페이지, 끝페이지, ISBN, ISSN, 주제분야, 키워드, 초록(한글), 초록(영문), 저자(소속기관)
저장형식	Text(ASCII format) Excel format RefWorks Direct Export RIS format (for Reference Manager, ProCite, EndNote), Scholar's Aids, Mendeley
메일정보	받는사람 (필수) @ 보내는사람 (선택) @ 제목 내용 KISTI 검색결과 이메일 서비스
안내	총 건의 자료가 검색되었습니다. 다운받으실 자료의 인덱스를 입력하세요. (1-10,000) 검색결과의 순서대로 최대 10,000건 까지 다운로드가 가능합니다. 데이타가 많을 경우 속도가 느려질 수 있습니다.(최대 2~3분 소요) 다운로드 파일은 UTF-8 형태로 저장됩니다. 파일의 내용이 제대로 보이지 않을실 때는 웹브라우저 상단의 보기 -> 인코딩 -> 자동선택 여부를 확인하십시오. ~ Text(ASCII format) Excel format

연합인증