PHDays CTF — Russia (2)

 

사용자 삽입 이미지
Positive Hack Days CTF 대회는 러시아에서 열리는 Positive Hack Days 라는 보안세미나에서 열리는 CTF입니다.
PPP팀은 이번에 초청을 받아서 모스크바를 다녀오게 되었습니다. 본 대회는 예선전은 없었고, 주최측인 Positive Technologies가 다른 CTF 성적들을 관찰하고 직접 초청장을 보낸 대회였습니다. 그래서 그런지 러시아나 유럽지역에서 정말 잘한다고 실력이 증명된 팀들도 다수 참여했었습니다.
총 10팀이 참여한 대회였고, 실시간 공격/방어 해킹대회로써.. 저희팀은 사실 경험이 거의 없는 대회 종류중 하나였습니다. 그래서 사실 꼴찌만 하지 말자 라는 각오로 출발했고, 데프콘 본선을 위한 준비단계로 여기기로 하고 참가하게 되었습니다.
대회 날 아침! 다같이 화이팅을 외치고, PPP 대회용 티셔츠를 입고! 바로 옆건물에 있는 대회장으로 발걸음을 옮겼습니다.
사용자 삽입 이미지

전날 너무 많이 걸어서 아직도 피곤에 쩔어있는 모습 ㅠㅠ

이미 싸인이 붙어있더군요 ㅋㅋ 현수막도 아니고 간판이 있음… 후덜덜..
사용자 삽입 이미지
사용자 삽입 이미지
내부를 정말 멋있게 잘 꾸며놨더군요 ㅎㅎ
안내데스크도 있고 ㅎㅎㅎ 저기 보이는 사진사 아저씨가 정말 ㅋㅋ 열정적으로 사진을 찍어주셨습니다.. 행사 내내 ~
사용자 삽입 이미지
로비(?)에서 기다리고 있으니 다른팀들도 하나 둘 씩 보이기 시작했습니다 :)
사용자 삽입 이미지

Nibbles

나중에 알고보니 여기가 클럽이라는군요 ㅋㅋㅋ 클럽을 개조해서 세미나/경기장으로…
사용자 삽입 이미지

대회장

이극고, 경기시간이 다가오고.. 각 팀들이 자리를 잡고 셋업하기 시작합니다~
사용자 삽입 이미지
경기 내내 다이나믹한 모습을 보여줬던 스크린들 ㅎㅎ 공격과 방어 상태가 실시간으로 업데이트 됩니다 :D
사용자 삽입 이미지
사용자 삽입 이미지
대회 방식은 데프콘 본선대회와 비슷한 형식이었습니다. 주최측에서 준비한 10개의 VM이 각 팀마다 하나씩 주어지게 되고, 각 서버들은 취약점이 있는 서비스들을 포함하고 있습니다. 간략하게 해야할 것들을 설명하면, 각 서비스들을 분석하고 취약점을 찾은 다음에 일단 자기 서버의 서비스를 패치해서 보완하고, exploit을 만들어서 다른 팀들의 서비스에 공격을 해서 침투한 다음 키를 빼와서 중앙서버에 제출해야합니다. 조금 특이한 점은 한 번 공격한 서버의 서비스는 다시 공격 할 수 없다는것이었습니다 (서비스의 키가 주기적으로 변경되지 않습니다..)
총 점수는 공격점수 (attack), 사이드 챌린지 (blackbox), 방어점수 (defense), 그리고 서비스 점수 (availability)를 합산해서 계산되게 되는데, 각 점수들을 설명하자면:
  • 공격점수: 각 팀의 각 서비스마다 유니크한 키가 저장되어있습니다. 다른 팀들의 서비스를 공격해서 침투한 다음 키를 뽑아와서 중앙서버에 넣으면 점수가 올라갑니다. 각 서비스마다 점수배점이 다르며, 키가 변경되지 않기때문에 한번 공격한 서비스는 다시 공격할 수 없습니다 (해봐야 이득이 없음).
  • 사이드 챌린지: 이 문제들은 같은 내부 네트워크 어딘가에 있는 주최측의 서버들에서 돌아가고 있는 서비스들을 공격해서 키를 얻을 수 있는 문제들이었습니다. 네트워크 스캔과 포트 스캐닝으로 서비스들을 알아낼 수 있었지만, 대부분 웹성향이 강해서 저희팀은 거의 풀지 않았습니다.
  • 방어점수: 100%에서 시작해서 다른팀이 자기 서버의 키를 제출할 때마다 깎이는 점수입니다. 다행히 저희는 패치를 빨리해서 얼마 깎이지 않고 경기를 종료할 수 있었습니다.
  • 서비스점수: 이것 역시 100%에서 시작하는 점수입니다. 중앙 서버에서 틈틈히 각 팀 서버들의 서비스들이 정상작동을 하고 있는지 체크하여서 비정상작동중이거나 응답이 없을 경우에 깎이는 점수입니다. 가끔 패치를 너무 과도하게 해서 기능을 실수로 없애버리면 점수가 깎이기도 합니다.. 저희도 경기 중간에 한번 그랬던것 같네요 ㅎㅎ
역시 가장 특이했던점은 같은 서비스를 한번 이상 공격할 수 없었다는점입니다.
매 1~2시간 마다 새로운 문제가 같은 서비스 이름으로 ‘푸시’가 되는 방식으로 진행이 되었습니다. 매 1~2시간마다 문제가 아예 바뀌는거죠 (바이너리, 스크립트 등).. 그리고 키 역시 그때 같이 새로운것으로 업데이트가 됩니다.
총 10시간 정도 했던 대회인데 각 서비스마다 2~3번씩 바뀌었던것 같네요.
한번은 취약점을 찾아서 공격코드까지 다 만들어놓고 다른 팀들에게 자동으로 공격해서 키를 받아와서 제출까지 자동으로 해주는 스크립트를 짠 뒤에 실행하려는 찰나에 새로운 문제가 푸시가 되면서… exploit이 싹 쓸모가 없어지는 상황도 발생했었습니다 ㅠㅠ;
어찌되었든!
사실 실시간 공/방전은 처음이라서 걱정을 많이 하고 갔는데, 다행히 팀웍이 너무 잘 맞고 다들 잘해줘서 여유있게 1등을 해버렸네요 =ㅇ=;
짝짝짝~
사용자 삽입 이미지
=-=-=-=-=-=-=-=-=-=-=
경기 종료 후에는 케익컷팅과 조촐한 파티가 이어졌습니다~
사용자 삽입 이미지

러시안들이 케익을 자르는 방법.jpg

사용자 삽입 이미지
메인 스테이지에서 CTF가 진행되는 동안 다른곳에서는 세미나 발표와 다른 대회들이 진행되었는데, 그중에서 흥미로운것은 Hack2Own 이라는 대회였던것 같습니다 ㅎㅎ 아실분들은 아실테지만 Pwn2Own이라는 대회와 아주 흡사합니다. 최신 버전들의 소프트웨어들을 상대로 0-day를 써서 해킹에 성공하면 상품이나 상금을 가져가는 대회인데, Pwn2Own에서는 사용된 exploit 테크닉을 공개해야하는 반면 Hack2Own은 그냥 해킹 성공만 하면 상품은 가져가고 exploit도 공개 안한채로 그냥 다른데가서 또 쓸 수 있는게 룰입니다 ㅎㅎ
하지만 여기서 끝난것이 아니었으니!
한가지 대회가 더 남아있었습니다 ㅎㅎ 이름하여 Too Drunk To Hack!
이름에서 대충 파악하실 수 있겠지만, 보드카를 마시면서 해킹하는겁니다 ㅎㅎㅎ
사용자 삽입 이미지

즐비하게 놓인 술잔들 ㅎㅎ

Nibbles에서도 저희팀에서도 참가를 했습니다. 저희팀에서는 Tyler와 Andrew가 참가했습니당 ㅎㅎ
사용자 삽입 이미지
시작하기전에 술마시고 어떤일이 일어나든 주최측은 책임을 지지 않겠다는 동의서에 서명을 했습니다 ㅋㅋ
사용자 삽입 이미지
그렇게.. 한잔 두잔..ㅎㅎ
사용자 삽입 이미지
다 마시기 무섭게 바로바로 채워지는 술잔들…ㄷㄷ
사용자 삽입 이미지
원래 룰은 해킹을 시도하다가 Snort 경보를 울리면 마시는것이었는데, 웹해킹이어서 그런지 다들 많은걸 시도를 안해봐서 아무도 안마시게 되자.. 룰 급변경! ㅋㅋ 무슨 공격시도든 해도 되지만, 매 3분마다 마셔야된다는..!!
그래서 마시고 마시고~
사용자 삽입 이미지

적어도 5잔은 마신 Tyler ㅋㅋ

다행히 다들 술에 취해 쓰러지기전에 한명이 풀어내서 경기는 종료가 되었습니다 ㅎㅎㅎ
=-=-=-=-=-=-=-=-=-=
끝나고 나서 얼마 안있고 시상식이 이어졌는데요~
CTF부터 TooDrunkTohack 까지 골고루 우승자들이 하나씩 나와서 상을 받아갔습니다~
사용자 삽입 이미지
사용자 삽입 이미지

Hack2Own에서 Safari 0-Day로 우승한 친구 ㅋ

저희 시상식때는 죄다 나가있어서 아무도 사진을 안찍었네요 ㅋㅋㅋ 인터넷 뒤져보면 나올지도..
하여튼 ㅋㅋ 상금 주는것도 정말 러시아스러웠습니다 ㅎㅎ
검은색 돈가방을 건네주더군요 ㅋㅋㅋ 아래는 숙소 돌아와서 돈가방을 열고 한컷~
사용자 삽입 이미지
정말 대회 준비 많이 한게 눈에 보이고, 또 운영도 정말 매끄럽게 잘 해줬습니다..
이렇게 완성도 높은 CTF 참여하기 쉽지 않은데.. 저희는 정말 운이 좋았던것 같네요 ^^
앞으로 더 발전할 Positive Hack Days! 기대하며 글을 마칩니다~~
사용자 삽입 이미지
사용자 삽입 이미지

You may also like...

Leave a Reply

Your email address will not be published. Required fields are marked *