Ghidra Release (a.k.a 기드라)

Ghidra가 릴리즈되었다.

오늘 3월 6일 RSA security conference에서 미국 국가안보국(NSA)에서 예고했었던, JAVA 기반의 디컴파일러 기드라(Ghidra)가 공개되었다. 공식홈페이지

Ghidra 란?

Ghidra는 2017년 3월 WikiLeaks가 공개한 Vault 7 문서(CIA에서 유출된 기밀문서)에서부터 그 존재가 알려졌다. Ghidra란 NSA에서 내부 사용을 목적으로 개발한 JAVA 기반의 Reversing-engineering framework이다. WIndows, MacOS, Linux 환경에서 사용할 수 있으며, GUI를 지원한다. disassembly, decompilation, grahping, scripting... 등등 다양한 기능을 제공하며, 다양한 process instruction set과 executable format을 지원한다.

이쯤되면 "그럼 IDA(상용)랑 뭔 차이지..?"라는 생각이 들 법한데, Ghidra는 IDA랑 다르게 오픈 소스로 제공된다. 수백 수천만원하는 IDA와 비교했을 때, 이는 엄청난 이점으로 작용할 것이다. 또한, 거의 유일신이었던 IDA에 대항마가 등장함으로써 기존 시장에 가시적인 변화가 일어나지 않을까 조심스럽게 추측해본다. 물론 현 시점에서는 IDA보다는 기능이 떨어지며, 버그도 종종 발견된다고 하지만, Ghidra 오픈 소스 커뮤니티가 구성됨에따라 시간이 흐르면 점차 개선될 것으로 보인다. 설계부터가 복잡한 SRE 문제를 해결하고, customizable하고 extensible한 SRE(Site Reliability Engineering) 플랫폼을 제공하는데에 초점이 맞춰져있다고 소개하는데, 저 말에만 따르면 확실히 오픈 소스 커뮤니티가 구성되면 Ghidra에 대해 기대를 걸어볼 만 하다.

다만, NSA에서 나온 것이기 때문에 모두가 백도어의 여부에 대해서 걱정하고 있다. (나도 vm에서 실행함) 이에 대해서는 NSA 수석 고문 Rob Joyce가 "백도어가 없다"라며 단언했다. 오픈 소스 소프트웨어이므로 이 문제에 대해서는 언젠간 말끔히 해결될 것 같다.

Download

아직은 공식 홈페이지에서만 받을 수 있다. 차후 github에 공개될 예정이라고 하는데 언제가 될 지는 잘 모르겠다. 설마 자바니까 디컴파일하면 오픈소스다... 이런 느낌은 아니겠지?

[+] 이제 소스코드까지 완전히 오픈되었다!

Display

Comment

대충 써봤는데 괜찮은 것 같다. 다만, 단축키 같은 게 IDA랑 꽤 달라서 좀 헷갈린다. 팀단위로 프로젝트를 진행할 경우 선호될 것 같은 기능이 종종 보인다. 개인적으로 오픈 소스 커뮤니티가 커지면 여기로 갈아타는 것도 나쁘지 않은 것 같다.

[+] 거의 나오자마자 바로 XXE 취약점이 발견되었다. https://twitter.com/sghctoma/status/1103392091009413120 project를 open하는 과정에서 XXE injection이 가능하여 최종적으로 RCE(Remote Code Execution)이 가능하다. 자세한 사항은 tencent 리포트를 참고(poc도 있음) https://xlab.tencent.com/en/2019/03/18/ghidra-from-xxe-to-rce/ 아직은 수정된 배포판이 나오지는 않은듯

[+] 소스코드 공개 및 수정됐음!