구글 엔지니어, 오픈 소스 퍼징 도구 시연 및 배포

구글 해커, 새로운 도구의 기능을 시연하기 위해 윈도우 디펜더를 리눅스로 포팅

윈도우는 세계의 사실상 운영 체제로 보안 연구의 온상이기도 합니다. 마이크로소프트는 수년간 연구자들이 새로운 익스플로잇(제로데이 익스플로잇이라고 불리는)을 회사에 통보하여 패치할 수 있는 시스템을 운영해왔습니다. 이러한 익스플로잇은 때때로 흥미로운 연구를 제시하는데, 최근 타비스 오르만디가 그의 퍼징 도구로 그와 같은 작업을 수행했습니다.

놀랍게도, 나는 윈도우 디펜더를 리눅스로 포팅했습니다. ? https://t.co/7eP48O87Vi — 타비스 오르만디 (@taviso) 2017년 5월 23일

퍼즈 테스트

퍼즈 테스트 또는 퍼징은 유효하지 않거나 예상치 못한 데이터를 컴퓨터 프로그램에 입력하여 충돌이나 메모리 누수와 같은 예상치 못한 동작을 모니터링하는 소프트웨어 테스트 접근 방식입니다. 오르만디가 작업한 기술은 DLL 파일(윈도우 파일 형식)에 데이터를 직접 주입하여 취약성 스캐닝 영역에 속합니다. 그러나 퍼징은 리눅스에서 더 잘 활용되며, 오픈 소스 운영 체제는 상호 연결된 구성 요소를 처리하기 위한 더 나은 도구를 제공합니다. 이러한 도구의 부족으로 인해 윈도우에서의 과정은 훨씬 더 복잡해집니다.

“윈도우에서 분산되고 확장 가능한 퍼징은 도전적이고 비효율적일 수 있습니다. 이는 특히 커널과 사용자 공간에 걸쳐 복잡하게 연결된 구성 요소를 사용하는 엔드포인트 보안 제품에 해당합니다. 이는 종종 이를 퍼징하거나 커버리지 데이터를 수집하기 위해 전체 가상화된 윈도우 환경을 구축해야 함을 의미합니다.”라고 오르만디는 설명합니다.

개발

따라서 오르만디는 윈도우 DLL 파일에서 기능을 로드하고 실행할 수 있는 라이브러리를 포함한 리눅스용 도구를 개발했습니다. 그는 이 도구의 데모를 준비했으며, 이는 또한 그가 윈도우 8.1 이후의 기본 안티바이러스인 윈도우 디펜더를 리눅스로 포팅해야 했습니다. 오르만디는 자신의 도구에 대한 자세한 설명과 윈도우 디펜더와 관련된 데모의 세부 정보를 제공하며, “목적은 리눅스에서 자가 포함된 윈도우 라이브러리에 대한 확장 가능하고 효율적인 퍼징을 허용하는 것입니다. 좋은 후보는 비디오 코덱, 압축 해제 라이브러리, 바이러스 스캐너, 이미지 디코더 등이 될 수 있습니다.”라고 말했습니다.

mpengine.dll은 맬웨어 보호 엔진의 핵심 구성 요소로, MsMpEng로도 알려져 있으며, 익스플로잇의 주요 대상 중 하나입니다. 따라서 이를 리눅스로 가져와 퍼징함으로써 가능한 취약성을 검사할 수 있게 되었다고 구글 보안 연구자는 설명합니다. 데모를 직접 확인해 보실 수 있습니다 여기서.

출처: Softpedia