💌 1000만불의 사나이!

5월 1주차 해킹짹짹 뉴스레터 💌 안녕하세요! 😃 드디어 주중에 빨간날이 있는 5월이 되었어요!

2022. 5. 1.

💌 1000만불의 사나이!

웹에서 보기

지난 뉴스레터 보기

5월 1주차 해킹짹짹 뉴스레터 💌

안녕하세요! 😃 드디어 주중에 빨간날이 있는 5월이 되었어요!

이번 주에는 오랜만에 웹해킹의 한 종류인 CSRF와, VPN에 대해서 알아보는 시간을 가져보도록 할게요.

기대해주세요! 😆

주간뉴스

지난 주에는 어떤 일들이 있었을까? 😏

북한, 언론 관계자들을 저격한 스피어 피싱 캠페인 발각 👮

보안 회사 Stairwell의 보고서에 따르면 언론 관계자들을 타겟으로 백도어 프로그램을 설치하는 스피어 피싱 활동이 발견되었다고 합니다.

해당 캠페인은 3월부터 현재까지 진행 중이며, 캠페인의 주동자로는 북한의 해커 조직 APT37이 지목받고 있는 상황입니다. 캠페인에서 사용되는 백도어 프로그램은 Goldbackdoor라고 불리는데 이 Goldbackdoor가 이전 APT37에서 개발한 것으로 알려진 Bluelight 악성코드와 기술적인 특징이 많이 겹치기 때문이라네요! 😱

이번 캠페인을 통해 NK News라는 북한 전문 언론 매체가 피해를 당하였는데요. 해당 매체를 사칭해 메일을 보내 언론 관계자들에게 백도어 프로그램을 설치하도록 유도했다고 해요. 원격으로 제거도 가능하다고 하니 흔적을 찾기도 어렵다고 하니 항상 조심해야겠죠? 😉

Linux 운영체제에서 새로운 권한 상승 취약점 발견!

Microsoft의 발표에 따르면 Linux 운영체제에서 권한 상승이 가능한 두 가지 취약점이 발견되었다고 합니다.

보고서에서 Nimbuspwn라고 불리는 이번 취약점은 네트워크 관리자용 데몬 프로그램 인 networkd-dispatcher에서 발견되었어요. 해당 취약점을 이용해 해커는 임의 코드를 실행해 관리자 권한을 얻거나 백도어 프로그램을 설치할 수 있다고 해요! 두 가지 취약점은 각각 CVE-2022-29799와 CVE-2022-29800를 부여받았습니다.

networkd-dispatcher 사용자들에게 최신 버전 업데이트를 권장하고 있다고 하니 사용하고 계신다면 얼른 업데이트하셔야겠네요! 😫

천만불의 사나이들! 미국, 러시아 해커들에게 현상금을 걸다 💰

미국 정부에서 러시아 군사 정보국과 관련된 것으로 보이는 6명의 해커에 대한 정보에 최대 1천만 달러의 현상금을 걸었습니다.

6명의 해커는 러시아 정부를 위해 스피어 피싱, NotPetya나 Olympic Destroyer와 같은 악성 코드 개발 등 미국 중요 시설에 대한 사이버 공격 활동에 참여한 혐의를 받고 있는데요. 6명 모두 러시아 장교로서 Samdworm이라는 2008년부터 활동해온 해커 조직의 구성원으로 활동하고 있다고 해요!

미국 정부는 제보자의 익명성을 보장하기 위해 Telegram이나 Signal 등의 추적이 어려운 메신저나 Tor 웹사이트를 통해서도 제보받는다고 합니다. 1천만 달러라니 상상이 가지 않는 액수네요! 🤑

by poosic

하루한줄

해키보이즈팀이 연구하고 분석하는 최신 해킹 기술👇

CVE-2022-0847: Dirty Pipe - 리눅스 커널의 임의 파일 쓰기 취약점

[대상]

Linux Kernel 5.8

[설명]

Linux 커널에서 임의 파일을 덮어쓸 수 있는 취약점의 세부 정보가 공개되었습니다. 해당 취약점은 CVE-2016-5195(Dirty Cow)와 유사하다는 점에서 Dirty Pipe로 명명되었습니다.

취약점은 잘못된 Unix 파이프 처리로 인해 발생합니다. 예제는 아래와 같습니다.

writer는 파일에 AAAAA를 쓰고, splicer는 splice함수를 사용해 해당 파일에서 파이프로 데이터를 전송한 뒤 파이프에 BBBBB 를 씁니다. 이때 커널의 파이프 버퍼는 각각 페이지를 참조하는 struct pipe_buffer 링으로 구현되는데, 파이프에 대한 첫 번째 쓰기는 4KB의 페이지를 할당합니다. 첫 번째 쓰기에서 페이지를 완전히 채우지 않았다면 다음 쓰기가 새 페이지를 할당하는 대신 기존 페이지에 추가될 수 있습니다. 결과적으로 위 예제에서 파일에는 쓰인 적 없던 BBBBB 문자열이 파이프를 통해 쓰여지고 이는 프로세스 권한과 관계없이 발생하기 때문에 취약점을 악용하면 낮은 권한의 프로세스가 root 권한의 파일또한 수정할 수 있습니다.

또한 페이지 캐시는 항상 커널에서 쓰기 가능하고 파이프에 쓰는 것은 어떠한 권한도 확인하지 않기 때문에 변경 불가능 파일, 읽기 전용 btrfs 스냅샷 및 읽기 전용 마운트(CD-ROM 마운트 포함)에서도 취약점이 악용될 수 있습니다.

PoC는 링크 에서 확인할 수 있습니다.

by L0ch