💌 오픈소스 보안, 기다려라! 구글이 간다!

5월 3주차 해킹짹짹 뉴스레터 💌 안녕하세요! 😃 벌써 여름이 다가오고 있네요. 언제 봄이었냐는 듯이 더워지고 있는

2022. 5. 15.

웹에서 보기

지난 뉴스레터 보기

5월 3주차 해킹짹짹 뉴스레터 💌

안녕하세요! 😃 벌써 여름이 다가오고 있네요. 언제 봄이었냐는 듯이 더워지고 있는거 같아요. 구독자 여러분, 일교차도 심하니 건강 조심하세요. 😉

이번 주에는 바이러스 잡는 프로그램, Anti-Virus와 지난 주 발송해드린 51년만에 풀린 연쇄 살인마의 암호 1편에 이은 2편을 보내드릴 예정입니다. 많은 기대 부탁드려요! 😆

주간뉴스

지난 주에는 어떤 일들이 있었을까? 😏

구글, 오픈 소스 유지 관리팀 창설 😎

5월 14일, 구글이 오픈소스 프로젝트들의 보안을 강화하기 위해 새로운 오픈소스 관리 팀을 창설했다고 발표했습니다.

새로운 팀 이름은 Open Source Maintenance Crew인데요. 오픈소스 개발의 보안 취약점 탐색, 오픈 소스 보안에 필요한 정보 제공 등의 업무를 수행한다고 해요!

이번 발표는 OpenSSF(Open Source Security Foundation)에서 오픈소스 리포지토리에 업로드된 모든 패키지의 동적 분석을 수행하기 위한 패키지 분석 프로젝트 를 발표한지 2주도 채 되지 않은 시점에 이루어졌는데요.

Log4j 등 오픈소스 보안이 부각되는 사건들로 인해 구글도 칼을 갈고 있는 것으로 보이네요! 🔪

독일 회사를 표적으로 하는 악성 NPM 패키지 📦

JFrog의 보고서에 따르면 미디어, 물류 회사들을 표적으로 하는 악성 패키지들이 NPM 리포지토리에서 발견되었다고 합니다.

NPM 패키지에서 발견된 멀웨어는 감염된 시스템을 완전히 제어할 수 있도록 하는 고도로 정교하고 난독화된 것이라고 해요! NPM 리포지토리에 업로드된 모듈들은 사용하는 모듈보다 높은 버전으로 업로드되어 강제적으로 적용이 되게 한다고 해요! 😱

오픈소스 생태계가 커지면서 다양하고 편리해지고 있지만 그에 따라 더 쉽게 표적의 대상이 되고 있네요! 구글이 오픈소스 관리팀을 만드는 이유도 알 것 같아요! 😉

플레이 스토어에 다시 등장한 조커의 그림자! 🃏

Kaspersky 랩의 지난주 발표된 보고서에 따르면 Jocker 악성코드가 다시 등장했다고 합니다. 해당 악성코드는 지난 2021년 12월에도 플레이 스토어에 등장했었는데요. 안드로이드를 표적으로 정보 탈취, 스미싱, 의도하지 않은 과금 등 악명높은 멀웨어입니다.

Jocker는 플레이 스토어에서 합법적인 절차로 통과된 앱을 다운로드한 뒤 악성코드를 추가해 다른 이름으로 플레이 스토어에 업로드하고 있습니다.

물론 구글도 한때 Jocker와 같은 악성 앱들을 차단하기 위해 심사 프로세스를 강화했지만 Jocker는 이런 프로세스를 우회하기 위해 끼워넣은 악성 코드를 휴면 상태로 만든 뒤 플레이 스토어에 해당 앱이 게시된 후에야 악성 코드 기능을 활성화했다고 하네요! 😓

Jocker가 발견된 앱은 Style Message, Blood Pressure App, Camera PDF Scanner, 이 3개라고 합니다. 현재 플레이 스토어에서는 삭제되었지만 다른 스토어에서는 남아있을 수 있으니 조심하는게 좋겠네요! 😧

by poosic

하루한줄

해키보이즈팀이 연구하고 분석하는 최신 해킹 기술👇

CVE-2022-27608: DLP 보안 솔루션 강제 비활성화 및 권한 상승 취약점

[대상]

Forcepoint One DLP Endpoint 19.10.4281

[설명]

DLP는 Data Loss Prevention, 중요 데이터가 유출되는 것을 방지하는 솔루션입니다.

당연히 DLP 솔루션은 비인가자의 강제 종료 시도를 막을 수 있어야 하는데요.

Forcepoint DLP Endpoint에서 간단한 레지스터 값 변조를 통해 공격자가 솔루션을 비활성화하고 더불어 시스템 권한 상승까지 가능한 취약점이 발견되었습니다.

공격자는 HKEY_LOCAL_MACHINE\\SYSTEM\\CurrentControlSet\\Services\\fpeca 레지스터의 키 3개의 값을 바꾸는 것으로 이 모든걸 할 수 있었습니다.

Start 값은 기본적으로 0x02 로 이 값은 항상 로드되고 실행됨을 의미합니다.

그리고 Type 값은 기본적으로 0x10 으로 stand-alone process임을 나타냅니다.

공격자는 이 두 키의 값을 다른 값 (e.g. 0x1 )으로 바꾸고 재부팅을 하는 방법으로 솔루션을 비활성화가 가능했습니다.

또한 ImagePath 값을 조절하여 공격자의 프로그램을 실행시킬 수 있는데 SYSTEM 권한으로 실행되기 때문에 권한 상승까지 가능했는데요.

취약점이 HKEY_LOCAL_MACHINE\\SYSTEM\\CurrentControlSet\\Services\\Fppsvc 레지스터에서도 동일하게 나타나는 것이 확인되었습니다.

안타깝게도 해당 솔루션은 process 강제 종료에 대한 취약점도 발견되었는데요.

해당 솔루션의 중요 프로세스인 fppsvc.exe 가 administrator 권한을 가지고 있다면 누구나 강제로 종료시킬 수 있었습니다.

물론 fppsvc.exe 는 종료되면 재 시작되도록 동작하지만 다시 실행되는데 걸리는 시간이 종료하는데 걸리는 시간보다 길어 위와 같은 간단한 구문을 통해 비활성화 시킬 수 있습니다.

by syru

해킹짹짹 뉴스레터 후원하기(토스)

지속해서 더 좋은 뉴스레터를 제공하기 위한 것으로 긍정적으로 생각해주시면 감사하겠습니다!

카카오뱅크 3333-22-3886590 ㅊㅎㅅ

오늘 전해드린 내용이 마음에 드셨나요?

주위 친구들에게 뉴스레터를 추천해주세요!

다음주에도 알찬 내용으로 돌아오겠습니다. 😙

트윗하기

웹에서 보기

해킹짹짹 뉴스레터 구독하기

혹시 마음에 안드는 부분이 있었나요? 여기에서 피드백을 전달해주세요!

여러분의 의견들을 적극 반영해서 더욱 유익한 뉴스레터를 만들어가도록 하겠습니다. 😃

의견 보내기!

해킹짹짹 커뮤니티

해키보이즈

hackyboizteam@gmail.com

서울시 광진구 군자동 134-33 3층
수신거부 Unsubscribe

이전 뉴스레터

🎙️ 드디어 풀린 연쇄살인마의 51년 전 암호(1편)

2022. 5. 12.

다음 뉴스레터

🤔 바이러스는 어떻게 찾을까?

2022. 5. 17.

해킹짹짹

해킹/보안 관련 콘텐츠를 보내주는 해킹짹짹🐥

이 페이지는 스티비로 만들었습니다.