Smart Home Hacking in Real World - codegate.orgcodegate.org/assets/kr/files/Smart Home Hacking in...
Transcript of Smart Home Hacking in Real World - codegate.orgcodegate.org/assets/kr/files/Smart Home Hacking in...
About Speakers
Name: 조성준
Nickname: DelspoN
Membership:
- BOB 6기 취약점 분석 트랙, 2017~
- 정보보호영재교육원 수료, 2014~2015
Degrees:
- 한양대학교 컴퓨터소프트웨어학부, 2017~
- 한국디지털미디어고등학교 해킹방어과, 2014~2017
Current Research Interests:
- Internet of Things
- Vulnerability research and exploitation
Website:
- delspon.wordpress.com
- github.com/DelspoN
Name: 박상현
Nickname: zzado
Membership:
- BOB 6기 취약점 분석 트랙, 2017~
Degrees:
- 경기대학교 융합보안학과, 2012~
Current Research Interests:
- 임베디드 시스템
- 소프트웨어 취약점 분석
Website:
- http://zzado.tistory.com
- https://github.com/zzado
Controllable in wall pad
• Doorlock
• Main entrance
• Parking entrance gate
• CCTV
• Elevator
• Camera of wallpad
• All the functions
Mobile app
Security Asset
• 내부 네트워크 접근 기회
클라이언트-중앙서버-제어서버-월패드 순으로 데이터 전달
클라이언트 공략 시 내부망에 접근 가능성이 있다고 판단
• 앱 내부 정보 취득
서버주소, 프로토콜 정보 등 획득 가능
단지 제어 서버
Security Asset
• PMS 서버 (Patch Management System)
펌웨어 획득 가능
펌웨어 변조 및 업로드, 유포 가능
• 민감한 개인정보 획득 가능
방문자 사진, 입출차 내역 등의 데이터
Analysis
시작제어서버존재여부
관리자 페이지존재여부
인증체계존재여부
업데이트 취약점존재여부
쉘 획득여부
하드웨어디버깅 포트존재 여부
검색 엔진 / 스캐닝을 통한
정보수집웹 서비스
취약점 분석
포트 미러링
펌웨어 추출
월패드취약점 분석
프로토콜 분석
종료
패킷 분석
포트 스캔
포트 분석
기능 장악
Flash ROM dump
YES
YES
NO
YES
YES
YES
NO
YES
NO
NO
NO
CCTV auth bypass
중앙 웹서버를 통한원격제어
NO
IPC MITM을 통한월패드 장악
아파트 단지 서버를통한 원격제어
FTP 계정 탈취
펌웨어 변조 및 유포
USB 포트를 통한Command Injection
Analysis
시작제어서버존재여부
관리자 페이지존재여부
인증체계존재여부
업데이트 취약점존재여부
쉘 획득여부
하드웨어디버깅 포트존재 여부
검색 엔진 / 스캐닝을 통한
정보수집웹 서비스
취약점 분석
포트 미러링
펌웨어 추출
월패드취약점 분석
프로토콜 분석
종료
패킷 분석
포트 스캔
포트 분석
기능 장악
Flash ROM dump
YES
YES
NO
YES
YES
YES
NO
YES
NO
NO
NO
CCTV auth bypass
중앙 웹서버를 통한원격제어
NO
IPC MITM을 통한월패드 장악
아파트 단지 서버를통한 원격제어
FTP 계정 탈취
펌웨어 변조 및 유포
USB 포트를 통한Command Injection
Analysis
시작제어서버존재여부
관리자 페이지존재여부
인증체계존재여부
업데이트 취약점존재여부
쉘 획득여부
하드웨어디버깅 포트존재 여부
검색 엔진 / 스캐닝을 통한
정보수집웹 서비스
취약점 분석
포트 미러링
펌웨어 추출
월패드취약점 분석
프로토콜 분석
종료
패킷 분석
포트 스캔
포트 분석
기능 장악
Flash ROM dump
YES
YES
NO
YES
YES
YES
NO
YES
NO
NO
NO
CCTV auth bypass
중앙 웹서버를 통한원격제어
NO
IPC MITM을 통한월패드 장악
아파트 단지 서버를통한 원격제어
FTP 계정 탈취
펌웨어 변조 및 유포
USB 포트를 통한Command Injection
Analysis
시작제어서버존재여부
관리자 페이지존재여부
인증체계존재여부
업데이트 취약점존재여부
쉘 획득여부
하드웨어디버깅 포트존재 여부
검색 엔진 / 스캐닝을 통한
정보수집웹 서비스
취약점 분석
포트 미러링
펌웨어 추출
월패드취약점 분석
프로토콜 분석
종료
패킷 분석
포트 스캔
포트 분석
기능 장악
Flash ROM dump
YES
YES
NO
YES
YES
YES
NO
YES
NO
NO
NO
CCTV auth bypass
중앙 웹서버를 통한원격제어
NO
IPC MITM을 통한월패드 장악
아파트 단지 서버를통한 원격제어
FTP 계정 탈취
펌웨어 변조 및 유포
USB 포트를 통한Command Injection
USB Command Injection
USB mount event handler
1. ptypeAutoBatch.cmd 파일이 존재하는지 확인
2. 만약 존재하면 해당 파일 실행
Analysis
시작제어서버존재여부
관리자 페이지존재여부
인증체계존재여부
업데이트 취약점존재여부
쉘 획득여부
하드웨어디버깅 포트존재 여부
검색 엔진 / 스캐닝을 통한
정보수집웹 서비스
취약점 분석
포트 미러링
펌웨어 추출
월패드취약점 분석
프로토콜 분석
종료
패킷 분석
포트 스캔
포트 분석
기능 장악
Flash ROM dump
YES
YES
NO
YES
YES
YES
NO
YES
NO
NO
NO
CCTV auth bypass
중앙 웹서버를 통한원격제어
NO
IPC MITM을 통한월패드 장악
아파트 단지 서버를통한 원격제어
FTP 계정 탈취
펌웨어 변조 및 유포
USB 포트를 통한Command Injection
Protocol analysis
패킷의 길이
구분자 동, 호수
구분자
인증절차가없다<start=0000&0>
$version=2.0$copy=00-0000$cmd=20$dongho=111&2222$target=light
#mode=sub#no=1#device_no=1#onoff=y#dimming=8
Analysis
시작제어서버존재여부
관리자 페이지존재여부
인증체계존재여부
업데이트 취약점존재여부
쉘 획득여부
하드웨어디버깅 포트존재 여부
검색 엔진 / 스캐닝을 통한
정보수집웹 서비스
취약점 분석
포트 미러링
펌웨어 추출
월패드취약점 분석
프로토콜 분석
종료
패킷 분석
포트 스캔
포트 분석
기능 장악
Flash ROM dump
YES
YES
NO
YES
YES
YES
NO
YES
NO
NO
NO
CCTV auth bypass
중앙 웹서버를 통한원격제어
NO
IPC MITM을 통한월패드 장악
아파트 단지 서버를통한 원격제어
FTP 계정 탈취
펌웨어 변조 및 유포
USB 포트를 통한Command Injection
Analysis
시작제어서버존재여부
관리자 페이지존재여부
인증체계존재여부
업데이트 취약점존재여부
쉘 획득여부
하드웨어디버깅 포트존재 여부
검색 엔진 / 스캐닝을 통한
정보수집웹 서비스
취약점 분석
포트 미러링
펌웨어 추출
월패드취약점 분석
프로토콜 분석
종료
패킷 분석
포트 스캔
포트 분석
기능 장악
Flash ROM dump
YES
YES
NO
YES
YES
YES
NO
YES
NO
NO
NO
CCTV auth bypass
중앙 웹서버를 통한원격제어
NO
IPC MITM을 통한월패드 장악
아파트 단지 서버를통한 원격제어
FTP 계정 탈취
펌웨어 변조 및 유포
USB 포트를 통한Command Injection
Wall pad analysis
NgnAppControl
NgnAppEnergy
NgnAppSetting
NgnAppQws
NgnAppSecurity
NgnAppMain
NgnServer
64347
NgnServer가 다른 프로세스로부터 데이터를 수신하고 처리
수신한 데이터에 대한 응답을 다른 프로세스에 Broadcast
Wall pad analysis
NgnAppControl
NgnAppEnergy
NgnAppSetting
NgnAppQws
NgnAppSecurity
NgnAppMain
NgnServer
64347
알아낸 것..! 월패드내 프로세스들은 NgnServer 프로세스(64347 port)중심으로 통신한다.
NgnServer가 수신한 데이터를 연결된 프로세스들에게 브로드캐스팅한다.
디바이스가 작동할 때 관련 xml 데이터를 NgnServer가 수신한다.
Wall pad analysis
Analysis
시작제어서버존재여부
관리자 페이지존재여부
인증체계존재여부
업데이트 취약점존재여부
쉘 획득여부
하드웨어디버깅 포트존재 여부
검색 엔진 / 스캐닝을 통한
정보수집웹 서비스
취약점 분석
포트 미러링
펌웨어 추출
월패드취약점 분석
프로토콜 분석
종료
패킷 분석
포트 스캔
포트 분석
기능 장악
Flash ROM dump
YES
YES
NO
YES
YES
YES
NO
YES
NO
NO
NO
CCTV auth bypass
중앙 웹서버를 통한원격제어
NO
IPC MITM을 통한월패드 장악
아파트 단지 서버를통한 원격제어
FTP 계정 탈취
펌웨어 변조 및 유포
USB 포트를 통한Command Injection
펌웨어 변조 및 유포 시나리오
• PMS 서버 장악 가능
• 월패드 내 펌웨어 무결성 검증 기능 부재
• Backdoor remote shell
• 특정 시간에 도어락 오픈
• 디버그 함수 호출을 통한 디바이스 제어
시나리오바이너리 패치를 통한 펌웨어 변조 및 유포
Background
펌웨어 변조 및 유포 시나리오
sub process 생성
도어락 열림을 위한 serial data를 직접
device driver에 전송
커스텀 펌웨어를 통해 월패드에 연결된
디바이스들을 직접적으로 제어
Special Thanksto Team Emohtrams
Multi-diagnosis ofSmart home control system project
Team Emohtrams
조성준 | 박상현 | 정한솔 | 서동조 | 최소혜이상섭 | 이경문 | 오효근
Q&A
Thank you
취약점 진단
IPC MITM을 통한 월패드 장악
중앙 웹서버를 통한 원격제어
아파트 단지 서버를 통한스마트 홈 기능 제어
월패드의 USB Port를 이용한Command Injection
FTP 계정 노출
스마트 홈 제어시스템CCTV authentication bypass
서버 SQL Injection
스마트 홈 제어시스템 다면진단
취약점 별 시나리오
공격 시나리오
도어락을 포함한 월패드의 모든 기능 제어
조명, 난방, 차량개폐기, 로비도어 등 원격제어
펌웨어의 디바이스 제어 트리거를 통한월패드 기능 제어
펌웨어 변조를 통한새로운 트리거 생성
init daemon 등록을 통한 backdoor 설치
FTP 서버 내 프로그램, 방문자 사진 등정보 및 소스코드 탈취
FTP 내 월패드 펌웨어 교체를 통한악성 펌웨어 유포
CCTV 스트림 데이터 수신 및 영상 조회
IPC MITM을 통한 월패드 장악
중앙 웹서버를 통한 원격제어
아파트 단지 서버를 통한스마트 홈 기능 제어
월패드의 USB Port를 이용한Command Injection
FTP 계정 노출
스마트 홈 제어시스템CCTV authentication bypass
펌웨어 변조 및 유포
스마트 홈 제어시스템 다면진단
취약점 별 대응방안
대응 방안
Localhost를 이용하여 통신
NgnMain 인증 절차 추가
기대 효과
외부에서의 접근 방지
무인증 요청으로 인한 도어락 제어 방지
IPC MITM을 통한 월패드 장악
중앙 웹서버를 통한 원격제어
월패드의 USB Port를 이용한Command Injection
FTP 계정 노출
스마트 홈 제어시스템CCTV authentication bypass
펌웨어 변조 및 유포
스마트 홈 제어시스템 다면진단
취약점 별 대응방안
사용하지 않는 mobile 디렉토리 삭제
HTTP 폐쇄 및 HTTPS 사용
인증 우회를 통한 기능 제어 방지
세션 하이재킹 및 SSL strip 방지
대응 방안 기대 효과
아파트 단지 서버를 통한스마트 홈 기능 제어
IPC MITM을 통한 월패드 장악
중앙 웹서버를 통한 원격제어
아파트 단지 서버를 통한스마트 홈 기능 제어
월패드의 USB Port를 이용한Command Injection
FTP 계정 노출
스마트 홈 제어시스템CCTV authentication bypass
펌웨어 변조 및 유포
스마트 홈 제어시스템 다면진단
취약점 별 대응방안
대응 방안
USB에 시리얼 파일 추가해서 인증
실행 가능한 커맨드 제한
기대 효과
비인가자에 대한 월패드 시스템 접근 방지
사전에 정의된 기능 수행
IPC MITM을 통한 월패드 장악
중앙 웹서버를 통한 원격제어
아파트 단지 서버를 통한스마트 홈 기능 제어
월패드의 USB Port를 이용한Command Injection
FTP 계정 노출
스마트 홈 제어시스템CCTV authentication bypass
펌웨어 변조 및 유포
스마트 홈 제어시스템 다면진단
취약점 별 대응방안
대응 방안
월패드와 단지 제어서버 간 SFTP 도입
기대 효과
FTP 계정 탈취 방지
IPC MITM을 통한 월패드 장악
중앙 웹서버를 통한 원격제어
아파트 단지 서버를 통한스마트 홈 기능 제어
월패드의 USB Port를 이용한Command Injection
FTP 계정 노출
스마트 홈 제어시스템CCTV authentication bypass
펌웨어 변조 및 유포
스마트 홈 제어시스템 다면진단
취약점 별 대응방안
대응 방안 기대 효과
비인가자에 대한 요청 차단CCTV 영상 요청에 대한 인증 절차 도입
IPC MITM을 통한 월패드 장악
중앙 웹서버를 통한 원격제어
아파트 단지 서버를 통한스마트 홈 기능 제어
월패드의 USB Port를 이용한Command Injection
FTP 계정 노출
스마트 홈 제어시스템CCTV authentication bypass
펌웨어 변조 및 유포
스마트 홈 제어시스템 다면진단
취약점 별 대응방안
대응 방안
TPM을 이용한 펌웨어 업데이트
기대 효과
(하드웨어 모듈)안전한 절차를 통한 펌웨어 업데이트
서버에서 ssh를 통한 주기적 무결성 검사 지속적인 펌웨어 무결성 체크
Trust os / secure world kernel에서무결성 검사 별개의 권한으로 관리하여 우회 방지