1월 4주차 해킹짹짹 뉴스레터 💌 안녕하세요! 😃 제목의 (광고)를 보시고 놀라셨죠? 저희 해킹짹짹이 교보문고와

1월 4주차 해킹짹짹 뉴스레터 💌
안녕하세요! 😃 제목의 (광고)를 보시고 놀라셨죠? 저희 해킹짹짹이 교보문고와 함께 <앞서가는 당신을 위한 뉴스레터> 이벤트를 진행하게 되었습니다! 따라서 2월까지 월요일 주간뉴스에 (광고) 문구가 붙을 예정이에요. 자세한 내용은 뉴스레터 하단을 참고해주세요. 😊
지난주에 이어서 악성코드를 마저 훑어보고, 이랜드 클롭 랜섬웨어 사건를 짹짹's profiling으로 다뤄보겠습니다. 기대해주세요! 😆

뉴스
지난 주에는 어떤 일들이 있었을까? 😏

Nintendo는 일본 비디오 게임 회사 공식 웹사이트로 가장하고 Nintendo Switch를 상당한 할인가에 판매하는 척하는 여러 사이트에 대해 경고했습니다. 가짜 사이트에서 제품을 구매하면, 물건이 제대로 오지 않는 금전적 손해뿐만 아니라 개인정보 및 금융정보 등의 피해가 발생할 수 있다고 해요. 🎮
작년에도 페이스북에도 해킹당한 계정에서 친구 여럿을 태그하여 ‘오늘 하루 루이비통을 80% 이상 할인한다’는 게시물을 가짜 사이트와 올리는 것처럼 엄청난 할인율을 내세워 피해자들을 유인하는 방법들이 많이 발생했었어요. 상당한 할인가에 판매하는 제품들, 특히 고가의 제품은 온라인 구매를 할 때 가짜 사이트가 아닌지 한번 더 확인해보는 것이 좋겠습니다. 🙁

베이징 동계 올림픽의 모든 선수, 언론인, 관객이 필수적으로 사용해야 하는 공식 애플리케이션 ‘my 2022’이 사용자의 민감한 개인 정보를 안전하게 보호하지 않는 것으로 밝혀졌습니다. 🐼
중국 이용자의 경우 이름, 주민등록번호, 전화번호, 이메일 주소, 프로필 사진, 채용 정보, 외국인의 경우에는 여권 정보, 일일 건강 상태, 코로나 19 예방접종 현황, 근무하는 기관 등을 수집하는 동시에 기기 식별자 및 모델, 이동통신사 정보, 기기에 설치된 애플리케이션, WLAN 상태, 실시간 위치, 오디오 정보, 장치 저장소 액세스, 위치 액세스 등의 민감한 정보를 수집합니다.
더욱 문제가 되는 점은 서버 스푸핑으로 악의적인 호스트를 신뢰적인 호스트로 인식하도록 속이거나, 데이터가 항상 암호화되는 것이 아니기 때문에 간단한 네트워크 패킷 도청으로 일반 텍스트 형식으로 읽을 수 있는 등의 결함이 있다고 해요. 구글의 소프트웨어 정책과 애플의 앱스토어 가이드라인, 개인정보보호에 관한 중국의 자체 법률을 위반하지만 두 스토어에서 현재 모두 다운로드받을 수 있습니다. 😒

FIN8은 금전적인 이득을 위해 신용 카드 정보를 훔치는 POS 악성 코드를 통해 오랫동안 금융 기관을 공격한 해킹 그룹으로, 최근 미국 은행을 노린 White Rabbit 랜섬웨어 공격으로 다시 등장했습니다. 😈
해당 랜섬웨어는 FIN8과 관련된 백도어 Badhatch(Sardonic)를 사용하며 주목할만한 점은 악의적인 활동을 숨기기 위해 랜섬웨어 루틴을 진행하려면 특정 명령줄 암호를 입력해야 한다고 해요. OS는 여전히 사용할 수 있도록 윈도우 시스템 폴더를 제외한 모든 폴더를 스캔하고, 타깃 파일을 암호화합니다.
이중 갈취 방식으로 데이터를 암호화할 때 미리 데이터를 저장한 뒤에 4일 내로 돈을 지불하지 않으면 훔친 데이터를 데이터 보호 기관에 보내 관련 처벌을 받게 하겠다고 협박했다고 해요.
TrendMicro는 이 공격에 대해 "지금까지 White Rabbit의 타겟은 적었습니다. 이는 그들이 테스트 중이거나 대규모 공격을 위해 워밍업을 한다는 것을 의미할 수 있습니다."라고 말했습니다.
해키보이즈팀이 연구하고 분석하는 최신 해킹 기술👇

CVE-2022-21893: Attacking RDP from inside
[대상]
Windows Server 2012 R2 이후부터 최신버전까지
[설명]
RDP를 통해 원격으로 시스템에 접속한 일반 유저가 연결된 다른 client의 file system에 대한 엑세스 권한을 얻을 수 있는 취약점이 발견되었습니다. 시스템에 접속 중인 다른 유저의 클립보드 밑 데이터에 접근하고 수정하여 권한 상승까지 가능합니다.

RDP는 하나의 연결을 virtual channel이라는 여러 개의 논리적 연결로 분리합니다. 이중 몇 개의 체널은 svchost.exe에 호스트되는 DLL로 구현되어 Remote Desktop Services(RDS)에서 처리하는 반면 clipboard 등 다른 프로세스에서 처리하는 체널도 존재합니다.

virtual channel의 data는 프로세스와 RDS service사이에서 TSVPIPE named pipe를 사용해 전달됩니다. 문제는 TSVCPIPE의 security descriptor는 모든 유저가 동일한 이름의 server instance를 생성하도록 허용하기 때문에 다음과 같은 공격이 가능합니다.

  1. 해커가 원격 시스템에 접속한 뒤 named pipe의 목록을 확인해 이미 존재하는 TSVCPIPE pipe와 동일한 이름의 pipe server instance를 생성합니다.
  2. 또다른 client가 연결을 시도하면 RDS는 session과 pipe client가 접속할 pipe server instance를 생성합니다.
  3. named pipe의 FIFO 특성 때문에 pipe client는 2번 과정에서 생성된 pipe server instance가 아니라 해커의 pipe server instance에 연결하게 됩니다.
  4. 해커가 2번 과정에서 생성된 pipe server instance에 접속하면 통신의 양 끝단을 모두 통제할 수 있게 되고 man-in-the-middle 공격을 할 수 있게 됩니다.

    해킹짹짹 X 교보문고 <앞서가는 당신을 위한 뉴스레터>
    짝짝짝👏! 교보문고 뉴스레터 추천에 해킹짹짹이 선정되었어요.
    해킹짹짹이 직접 올해의 키워드와 올해의 책을 선정했는데, 1월 31일까지 행사도서 포함 3만원 이상 구매 시에 이벤트 경품을 증정해 드리고 있어요. 해킹짹짹 뿐만 아니라 다양한 분야의 뉴스레터들과 추천 책들이 가득하니 아래 링크를 확인해 주세요!

    지속해서 더 좋은 뉴스레터를 제공하기 위한 것으로 긍정적으로 생각해주시면 감사하겠습니다! 
    카카오뱅크 3333-21-5085994 ㅎㅅㅇ
    오늘 전해드린 내용이 마음에 드셨나요?
    주위 친구들에게 뉴스레터를 추천해주세요!
    다음주에도 알찬 내용으로 돌아오겠습니다. 😙
    혹시 마음에 안드는 부분이 있었나요? 여기에서 피드백을 전달해주세요!
    여러분의 의견들을 적극 반영해서 더욱 유익한 뉴스레터를 만들어가도록 하겠습니다. 😃
    해키보이즈
    hackyboizteam@gmail.com
    서울시 광진구 군자동 134-33 3층
    수신거부 Unsubscribe