◇POC2017에서만 공개되는 최신 해킹 보안 연구내용들
POC2017 전체 발표자 17명 중 현재 10명이 확정되었고, 이중 5명의 주제와 상세 내용이 공개된 상태이다. 이미 Call for Paper를 제출한 해커들과 앞으로 제출할 해커들 중에서 추가로 선발할 예정이다.
익스플로잇 개발 분야에서 세계적인 CTF팀인 PPP 멤버이자 티오리(Theori) 연구원인 Andrew Wesie가 “1-Day Browser and Kernel Exploitation”라는 주제로 발표한다. 지난 POC2016과 Zer0Con2017에서 같은 팀 멤버이자 Theori의 공동 대표인 박세준(Brian Pak)의 공개된 Microsoft의 취약점 패치 분석을 통한 익스플로잇 개발 방법에 대한 발표가 있었고, 이번 발표는 Zer0Con2017 이후 공개된 패치들을 분석하고 엣지(Edge)와 모질라 파이어폭스(Mozilla Firefox)를 대상으로 하여 그 다음 시리즈가 될 예정이다. 또한 윈도우 커널 최근 취약점 분석과 익스플로잇에 대해서도 다룬다.
이번 POC에서는 로봇해킹에 대한 발표가 처음으로 진행된다. 미국 보안업체 IOActive의 연구원인 Lucas Apa와 Cesar Cerrudo가 “Hacking Robots Before Skynet”라는 제목으로 발표한다. 이들이 발견한 유명 벤더의 가정, 사업, 산업 분야 로봇이 가진 많은 심각한 취약점에 대한 내용과 그에 대한 시연이 예정되어 있다.
어플리케이션 해킹에 대한 발표로는 미국 보안업체 Shape Security의 보안 연구원 Iya Nesterov와 Facebook의 연구원인 Maxim Goncharov의 “We Can Wipe Your Email!”이 있다. 해당 발표에서는 사용자의 민감한 정보가 유출될 수 있는 메일 클라이언트 측의 주요 취약점을 공개하고 아이폰을 통해 시연을 진행한다.
보안업체 Synack의 선임 연구원인 Patrick Wardel의 macOS 멀웨어 분석에 대한 발표가 있다. “FruitFly & Friends”라는 주제의 이 발표는 2017년 1월 처음 발견된 macOS 대상 멀웨어인 FruitFly에 대한 분석과 C&C 서버 등에 대해 다룬다. FruitFly 멀웨어는 애플 측이 다수의 패치를 진행했지만 현재 수백가지의 변형 멀웨어가 새롭게 등장하고 있다. 올해 BlackHat USA에서 발표된 내용을 대폭 업데이트했다.
가정용 네트워크 장비를 이용해 초당 2TB 규모의 Reflection DDoS 공격을 실행할 수 있는 기술을 0Kee Team 멤버들이 “Deluge – How to generate 2TB/s reflection DDoS data flow via a family network” 주제 발표도 있다.
이외에도 Zer0Con2017에서 웹브라우저 exploitation에 대해 발표했던 James Lee, MOSEC2017에서 iOS 11.0 beta 2 jailbreak를 발표했던 Tencent KeenLab 연구원 Liang Chen, AMD SEV 암호 깨기에 대해 발표할 Oregon 주립대학 장영진 교수가 발표자로 결정되었다. 그리고 Black Hat USA Pwnie 시상식에서 ‘Most Innovative Research’ 상을 받은 Ben Gras가 ASLR breaking side channel 관련 발표를 할 예정이며, 이 발표 관련 취약점은 패치가 쉽지 않아 제로데이 상태이다. HITCON 멤버들이 “From Zer0 to Persistence: A Complete Exploit Chain against Samsung Galaxy Series”라는 주제 발표를 할 예정이다. 이들 발표에 대해서는 추후 상세 발표 내용을 공개할 것이다.
현재 발표자 모집이 진행 중이며, POC2017의 CFP 제출 마감일은 10월 5일이다.
◇최고 퀄리티의 트레이닝 코스
POC2017에서도 세계 최고의 트레이닝 코스가 진행된다. 이번에는 코스 질적 내용을 강화하기 위해 모든 코스는 3일 과정으로 진행되며, 현재 예정된 트레이닝 코스의 강사와 주제는 아래와 같다.
Richard Johnson은 "Vulnerability Discovery and Triage Automation Training"라는 타이틀로 자동으로 취약점을 찾고 크래쉬를 일으키는 기술에 대한 트레이닝을 진행한다. 참가자들은 기본적이 내용에서부터 심화 퍼징 기술에 이르기까지 다양한 퍼징 테크닉을 학습할 수 있다. x86/x64 윈도우즈/리눅스 환경에 대해서 주로 학습하나 ARM이나 모바일 환경에 대한 설명 역시 추가된다고 한다. 이 트레이닝 코스는 아직 공식 등록이 오픈이 되지 않은 상황에서 이미 10명이 등록할 정도로 많은 관심을 끌고 있다.
iOS 해킹으로 세계적인 유명세를 타고 있는 Pangu팀은 "Advanced 64-bit iOS Kernel Exploitation"라는 타이틀로 트레이닝 코스를 운영한다. 해당 트레이닝 코스는 64비트 iOS 기기에서 커널 익스플로잇 개발에 초점을 맞추고 있고 시스템, iOS 커널 리버싱, 커널 익스플로잇 기술 등에 대한 내용을 포함한다. 참가자들은 iOS 커널 보안 특징에 대한 분석, iOS 9와 10의 주요 커널 취약점을 이용해 익스플로잇 작성하는 법을 배울 수 있다.
IoT 해킹에 대한 트레이닝 코스도 예정되어 있다. 보안업체 Attify의 연구원인 Aditya Gupta가 진행하는 “Offensive IoT Exploitation”은 임베디드 보안 이슈와 펌웨어 리버스 엔지니어링, 라디오 통신 분석 등에 대해 깊이 있는 연구에 대해 다룬다. 해당 트레이닝 코스에 참가한 사람들은 IoT 디바이스 펌웨어 분석, ARM과 MIPS 바이너리 분석 및 취약점 탐색, 하드웨어 통신 프로토콜과 인터페이스 연구, UART/SPI/JTAG을 사용한 디바이스 및 기타 정보 수집 등의 능력을 갖출 수 있다.
이외에도 윈도우 운영체제의 커널 익스플로잇에 대한 트레이닝 코스인 Ashfaq Ansari의 "Windows Kernel Exploitation"가 진행될 예정이다. 이 코스는 Zer0Con2017에서도 진행된 것으로, Windows 10 64bit 최신 버전에 대한 내용도 다시 업데이트되어 진행될 예정이다.
대부분의 코스가 코스 관련 자료와 비공개 1-day를 제공한다. 트레이닝 코스의 세부 커리큘럼과 자세한 내용은 홈페이지를 통해 확인할 수 있다.
◇세계 최대 규모 버그바운티와 벨루미나 및 여성해킹 대회 등 다양한 이벤트도 열려
올해도 세계 최대 규모의 버그바운티 ‘PwnFest’ 이벤트가 개최될 예정이다. 작년보다 더 많은 타깃과 상금이 제공될 예정이다. 타깃은 두개의 범주로 나눠질 예정인데, 하나는 주최측과 벤더들이 함께 상금을 지불하는 타깃과 벤더들이 지불하게될 타깃으로 구분된다. 현재 결정된 첫 번째 타깃 분야는 MS Edge, Google Chrome, Apple Safari, Firefox와 같은 브라우저와 OS, iOS와 Android 최신 버전, VMWare와 Hyper-V와 같은 가상화 시스템, 주요 리눅스 배포본 등이다. 두 번째 범주의 타깃에는 Facebook, Twitter와 같은 SNS 서비스, Telegram, Signal, WeChat, Kakaotalk와 같은 메신저, Cisco, IBM, D-Link 등과 같은 네트워크 장비, Kaspersky, Symantec, McAfee, AhnLab과 같은 안티바이러스 제품 등이 포함될 예정이다. 타깃, 상금 규모, 대회 룰 등 자세한 내용은 곧 POC의 SNS 서비스와 홈페이지를 통해 공지된다.
한편 작년에 이어 올해 POC에서도 ‘Belluminar’를 개최한다. belluminar는 해킹대회와 세미나를 결합해 진행하고, 문제 제작 방식도 기존의 해킹대회와는 다르다. Belluminar POC는 국내팀을 대상으로 하며 1위 팀에게는 Zer0Con2018 참가권이 주어진다. 현재 참가팀 모집은 종료되었고, 6개 참가팀이 확정되었다. 자세한 내용은 곧 공개할 예정이다.
예년과 같이 여성해킹대회 'Power of XX’와 청소년을 대상으로 하는 'KIDS CTF'도 개최된다. Power of XX는 예선과 본선으로 이루어져있고, 총 8개팀이 본선에 진출하며 올해는 해외팀 1~2개가 초청될 수 있다. KIDS CTF는 온라인으로 진행하며 초등학생, 중학생이 참가 대상이다. Power of XX의 예선과 KIDS CTF 대회는 10월 14일이고, 본선은 POC 기간 중 개최된다. 상세 내용과 예선 및 KIDS CTF 일정은 곧 공지할 예정이다.
모든 이벤트들은 POC2017 등록 없이도 무료로 참가가 가능하며 자세한 이벤트 관련 소개는 홈페이지(클릭)를 통해 업데이트될 예정이다. POC2017은 현재 조기등록이 진행 중이며, 등록 관련 정보는 다음과 같다.
<POC2017 등록>
- 등록 관련 페이지: www.powerofcommunity.net/register.htm
- 조기등록: 9월 1~30일
- 후기등록: 10월 1~31일
- 현장등록: 11월 9~10일
- 기타 문의: pocadm@gmail.com
- 각종 공지: www.facebook.com/POC.Conference
★정보보안 대표 미디어 데일리시큐!★
