0xNews - 이더넷 케이블의 취약점을 활용한 공격 기법 발견

0xNews - 이더넷 케이블의 취약점을 활용한 공격 기법 발견 - BlackHat USA 2020 발표팀

Armis 연구팀의 BlackHat 2020 USA 발표

Armis 연구팀 발표

Ethernet Packet in Packet 공격으로 Etheroops 로 명명

이더넷 케이블이 연결된 네트워크를 대상으로 취약점 악용

이더넷 Ethernet IEEE 802.3 은 내부 네트워크 내에서 패킷을 전송하는데 사용되는 기본 프로토콜 중 하나로 1980년대 부터 현재까지 사용

이런 이더넷 케이블에서 사용하는 일반적으로 연결되는 시스템 외 무선랜 접속 시스템 또한 그 대상

무선 wifi 가 무선 라이터 등에 연결된 후 기기에서 이더넷 케이블로 연결되기 때문에 무선 wifi 로 연결된 기기 또한 충분히 공격 대상이 될 수 있음

이 Packet-in-Packet 공격은 비트 오류가 전송 중에 무작위로 발생하면

공격자가 이를 활용하고 악용이 가능하다는 점을 이용

특정 방식으로 발생할 때 완전히 제어된 패킷을 인젝션할 수 있다는 사실을 확인

1. 방화벽이나 NAT 등을 통해 무해한 패킷 전송

2. 비트 블립 Bit-Flips 혹은 케이블 불량 Bad Cables 발생

공격자는 주로 비트 플립이 발생을 유도하지만 간혹 케이블 불량도 발생

3. 체크섬 조작 혹은 내부 MAC 주소 찾기

OSI7 계층 중 2계층 데이터 프레임의 프레임 헤더에서 체크섬 손상을 통해 식별

첫번째 가상 공격 시나리오로

공격자는 목표에 악성 링크를 전송

자신이 만든 악성 웹 사이트를 강제 접속하도록 유도

사용자는 공격자가 만든 서버에 아웃 바운드 패킷을 전송

전체 네트워크 내 접속하는 다수의 상대에게 정상 패킷을 발송하는 권한이 부여

공격 데모 동영상

두번째 공격 시나리오로

정상 패킷 스트림은 사용자의 네트워크 경계 보안 방어(방화벽이나 NAT 등)내에서 이동

이는 공격자가 사용자 DNS 확인자의 IP 주소에서 DNS 응답을 속이는 경우에만 가능

공격 데모 동영상

openLab