미국·인도·중국·이탈리아·이스라엘·독일 등 15개국 이상 연구원들 참가 예정
버그 헌팅, 취약점 분석 및 익스플로잇 개발에 관심 있는 연구원들을 대상으로 하는 비공개 컨퍼런스 Zer0Con(제로콘)이 오는 4월 21~22일 온라인, 오프라인 혼합 형태로 개최된다. 제로콘 컨퍼런스의 주최사인 POC Security는 분야별 최고 연구자와 주제들을 선발하고, 3년 만에 오프라인 현장을 다시 찾으며 준비에 박차를 가하고 있다.
이번 제로콘의 등록 기간은 4월 11일까지이며, 하이브리드 방식 운영에 따라 오프라인과 온라인 참가자를 구분하여 등록을 받고 있다. 미국, 인도, 중국, 이탈리아, 이스라엘, 독일 등 15개국 이상 연구원들이 참가 예정이다.
올해는 Crowdfense(크라우드펜스) 대표 Andrea Zapparoli Manzoni를 현장에 초청하여 제로데이 취약점 시장에 대한 키노트 발표를 진행할 예정이다. 현재 제로콘 2022에서는 키노트를 포함해 12개 주제가 확정된 상태이며, 제출된 CFP 중 추가 선정 작업을 진행 중이다.
발표 외에 POC Security 측은 새로운 이벤트도 준비 중이라고 밝혔다. 제로콘은 취약점 연구에 초점을 둔 컨퍼런스라는 점에서 제로데이 시장과 밀접한 연관성이 있다. 특히 제로데이가 적극적으로 공격에 사용되고 있는 현실에서 제로데이 시장에 대한 논의가 양지에서 이루어질 필요가 있다. 따라서 운영 측은 제로데이 시장에 대해 좀 더 적극적으로 접근해보고자 관련 논의가 가능한 공간을 마련하기로 했다. 해당 공간에서 제로데이 시장과 현황에 대한 발표, 다양한 관련자들의 토의가 이루어질 예정이다.
◇제로콘2022, 주요 강연 내용은...
현재까지 선정 완료한 12개 발표 내용은 다음과 같다.(발표자 이름 알파벳 순)
먼저, 중국 Singular Security Lab 보안연구원인 Andrea Possemato가 “Android JNI Fuzzing” 제목으로 발표를 진행한다. Andrea는 이 발표를 통해 안드로이드 애플리케이션이 JNI를 사용하는 방법, 이러한 구성 요소가 숨길 수 있는 취약점, 수년간 이루어진 분석 방법 등을 설명하고, 위와 같은 접근 방식의 한계를 보여줄 예정이다. 이후 다양한 범주의 버그를 찾는 방법과 테스트되지 않은 구성 요소에 대한 하네스(Harness)를 작성하는 방법을 소개한다.
Exodus Intelligence 소속 연구원이자 N-day 취약점에 중점을 둔 연구자인 Arav Garg는 “Data-only Exploits for Windows Kernel Bug”라는 주제로 발표한다. 그는 지난 7개월 간 윈도우 커널에서 7개 CVE(CVE-2022-22000, CVE-2021-40443, CVE-2021-36955, CVE-2021-40466, CVE-2021-31954, CVE-2021-43229, CVE-2021-31956)에 대한 안정적인 LPE 익스플로잇을 작성했다. 그는 이 연구 경험을 바탕으로 힙 grooming과 corruption에 적합한 개체, 관련 힙 내부 분석부터 각 경우에 맞춘 객체 사용 방법, 익스플로잇 프리미티브 개선, 안정성 향상 기술, 최종 LPE 달성까지의 과정과 기술을 상세하게 소개할 예정이다.
Offensive Security의 Csaba Fitzl도 Zer0Con2022 발표자로 참가한다. hack.lu, Troopers, Black Hat USA 등 다양한 학회 발표 경험이 있는 그는 “macOS Vulnerabilities Hiding in Plain Sight”라는 주제로 발표가 확정되었다. Csaba는 Pwn2Own 2020에서 사용된 macOS 익스플로잇 체인에는 기본 설정 데몬 관련 취약점이 있었고, 이에 대한 패치를 약 20번 이상 읽는 과정에서 새로운 권한 상승 가능성을 발견했다. 또한 그는 TCC 제로데이 우회 패치 및 새로운 우회에 대한 분석을 읽으면서, 이 새로운 패치 또한 우회할 수 있고 TCC 프레임워크에 근본적 문제가 있다는 사실도 깨달았다. 그는 이와 같이 다른 취약점에 대한 라이트업을 읽는 동안 발견한 두가지 macOS 취약점에 대해 공유할 예정이다.
브라우저 연구에서 뛰어난 두각을 나타내고 있는 Singular Security Lab의Gengming Liu도 다시 한번 제로콘을 찾는다. 자바스크립트는 항상 많은 보안 연구원들의 관심 및 연구 대상이 되어왔다. Gengming 또한 같은 팀원인 Zhutian Feng, Haojie He와 함께 v8에 대한 새로운 연구를 진행했다. 해당 발표에서는 최신 JS 퍼저를 간단히 살펴 본 후 JS 퍼징에 대한 새로운 가이드를 소개한다. 이후 그들이 만든 퍼저에서 발견된 이슈와 단계적 익스플로잇에 대해 설명하고, 발견한 취약점에 대한 상세 분석을 진행한다.
macOS, iOS 운영 체제, 특히 커널 취약점을 찾아 익스플로잇 하는 것은 오랫동안 연구원들의 뜨거운 관심사였다. 하지만 발견된 많은 취약점과 익스플로잇 기술에 대한 실제 세부 정보는 패치 후 대부분 공개되지 않는다. 개인 연구원으로 활발히 iOS, macOS 관련 연구를 진행 중인 John Aakerblom은 “Tales from the iOS/macOS Kernel Trenches” 주제를 통해, 주목받지 못한 iOS 및 macOS 커널의 패치된 최신 취약점과 익스플로잇 세부 사항에 대해 자세하게 발표할 예정이다.
구글 프로젝트 제로의 Ned Williamson도 제로콘 발표자로 다시 한번 한국을 방문한다. SockPuppet을 발견한 XNU 커널 퍼저인 SockFuzzer는 1년 전에 출시되었고, 1년 간의 브레인스토밍과 몇 개월의 개발 과정을 거쳐 다음 배포는 퍼징을 사용해 동시성 버그를 발견하는 기능을 지원한다. Ned는 “SockFuzzer 2.0” 발표에서 이러한 새로운 기능을 가능하게 하는 접근 방식과 방법론에 대해 공유할 계획이다.
최근 트위터, Reddit 등을 살펴보면 베트남 해킹 보안 연구자들이 활발한 취약점연구를 진행하고 있다는 것을 알 수 있다. Star Labs의 연구원인 Peter Nguyễn Vũ Hoàng은 “A journey of hunting macOS kernel vulnerability”라는 주제로 발표를 진행한다. Peter는 macOS, iOS 버그 헌팅 및 익스플로잇을 주로 연구하고, CVE-2022-22593, CVE-2021-30868, CVE-2021-30745 등 취약점을 발견한 바 있다. 이 발표를 통해 참가자들은 Peter가 발견한 SMBFS 버그와 개발자가 저지르는 일반적인 실수, 발표자가 직접 개발한 퍼저 및 사용한 새로운 트릭 등에 대한 자세한 내용을 들을 수 있다.
중국 보안 회사 Cyber Kunlun의 가상화 보안 연구원 VitorV는 “Old School, New Story---Escape from Hyper-V by Path Traversal” 주제 발표자로 참가한다. Hyper-V는 익스플로잇이 어려운 대상 중 하나이다. 구성 요소가 적고 복잡하며, 특수한 아키텍처로 인해 성공적인 익스플로잇 사례가 거의 없다. VitorV는 이 발표에서 Hyper-V 아키텍처에서 RDP가 어떻게 사용되는지와 잠재적인 공격 표면을 소개하고, 2021년 12월 패치에서 수정된 버그를 포함해 확장 모드에서 이스케이프하는 몇가지 사례를 보여준다.
Zer0Con2019, POC2020에 발표자로 참석했던 Alibaba Security의 Wang Yong이 “A bug collision tale: Building universal Android 11 rooting solution with a UAF vulnerability” 주제로 다시 한번 제로콘을 찾는다. Wang은 Use-After-Free 버그, 특히 프로젝트 제로의 블로그에서 다루지 않은 부분에 초점을 맞추어 분석하고, 서로 다른 안드로이드 커널 분기에서 익스플로잇 단계에 영향을 미치는 주요 코드 변경 사항을 자세히 설명할 예정이다. 그 후 다른 커널 분기에서 버그를 악용하는 방법과 성공률을 높이기 위해 발표자가 찾은 새로운 익스플로잇 기법, 안드로이드 11의 일반적인 완화 기법을 우회하는 방법에 대해서도 소개한다. 해당 발표에는 안드로이드 11 플래그십 기기를 루팅하는 익스플로잇 데모도 준비되어 있으므로 안드로이드 관련 연구자들에게 많은 도움이 될 것으로 보인다.
지난해 ProxyLogon 등 프록시 시리즈 취약점이 전 세계에 영향을 미쳤다. 이에 마이크로소프트는 사용자를 보호하기 위해 익스체인지 서버에 많은 패치를 게시해 익스플로잇을 더욱 어렵게 만들었다. Sangfor 연구원 Yuhao Weng, Zhiniang Peng은 “Exploit Exchange in new ways” 발표를 통해 그들이 발견한 취약점과 익스플로잇 방법을 공개한다. 또한 익스체인지 서버를 보호하기 위한 탐지 및 방어 방법을 제안할 예정이다.
제로콘은 높은 수준의 비공개 기술 컨퍼런스 특성상 참가자를 제한하고 있으며, 참가자가 등록 페이지를 통해 등록하면 운영진 측에서 주제 이해 가능 여부를 확인 후 등록 결제 링크를 발송해주는 방식이다. 등록 관련 정보는 다음과 같다.
[Zer0Con2022 등록]
-등록 페이지: 클릭
-등록: ~ 4월 11일
-후원 및 기타 문의: zer0con@pocsec.com
-각종 공지: 클릭
★정보보안 대표 미디어 데일리시큐!★