하나의 질문개인 정보 보호에 초점을 맞춘 VirtualBox 래퍼인 HiddenVM이 최근 GitHub 페이지에서 제공되었습니다. 오프너는 로컬 캐시의 파일이 외부 IP로 전송된다는 표시라고 주장하는 내용을 게시했습니다.
dmesg를 사용하면 그 뒤에서 무엇을 하는지 볼 수 있습니다. 저는 여러 메시지 중에서 두 가지 메시지를 선택했습니다.
audit: type=1400 audit(1651914430.711:1128): apparmor="DENIED" operation="open" profile="torbrowser_firefox" name="/home/amnesia/.cache/thumbnails/large/3678dc849747c84908498dd948db8f71.png" pid=10995 comm="pool-firefox" requested_mask="r" denied_mask="r" fsuid=1000 ouid=1000 Dropped outbound packet: IN= OUT=wlan0 SRC=i removed the adress DST=i removed the adress LEN=48 TC=0 HOPLIMIT=255 FLOWLBL=762031 PROTO=ICMPv6 TYPE=133 CODE=0 UID=0 GID=0그래서 내 캐시에서 특정 주소로 파일을 보내는 것 같습니다. 예를 들어, 설정을 변경해야 하는 스크립트가 캐시 파일을 열고 어딘가로 보내는 이유는 무엇입니까?
첫 번째 진술에서는 어떤 명령을 사용했는지 명시하지 않았으며 추가 세부 정보도 제공하지 않았습니다.
이 두 메시지는 파일이 로컬 컴퓨터에서 외부 IP로 전송되고 있음을 나타냅니까?
답변1
GitHub 문제의 문제 설명은 다음과 같습니다.
내가 알아차린 것은 다음과 같다. 가상 시스템을 부팅하려고 하면 다음 오류가 발생합니다. VirtualBox Linux 커널 드라이버가 로드되지 않았거나 올바르게 설정되지 않았습니다. 실행하여 다시 설정해 보세요.
'/sbin/vboxconfig'
루트로.
해봤는데 일부 권한 문제로 인해 작동하지 않습니다. 실패했고 dmesg를 사용하여 이유를 알아내라고 했습니다. dmesg를 사용하면 그 뒤에서 무엇을 하는지 볼 수 있습니다. 저는 여러 메시지 중에서 두 가지 메시지를 선택했습니다.
그리고 로그 메시지는 다음과 같습니다.
감사: 유형=1400 감사(1651914430.711:1128): apparmor="deny" action="open" profile="torbrowser_firefox" name="/home/amnesia/.cache/thumbnails/large/3678dc849747c84908498dd948db8f71.png" pid=10995 통신 ="poolfirefox" 요청_마스크="r" 거부_마스크="r" fsuid=1000 ouid=1000
이 메시지는 AppArmor가 사용자 ID 1000으로 실행되는 프로세스 10995에 의해 pool-firefox로컬 파일 관리자의 썸네일 캐시에 대한 읽기 액세스를 차단함으로써 생성됩니다 .
여기서는 이 메시지가 어떤 식으로든 루트로 실행되도록 연결된다는 것을 나타내는 내용이 표시되지 않습니다 /sbin/vboxconfig. 아마도 사용자는 (어떤 이유로든) Firefox 파일 대화 상자를 열었고 대화 상자 라이브러리는 이미지 축소판을 찾고 있지만 라이브러리는 웹 브라우저의 일부로 구현되므로 AppArmor 규칙은 개인 정보 보호에 초점을 맞춘 배포판이 액세스를 차단한다는 것입니다. (브라우저를 통해 로컬 썸네일 캐시가 유출될 가능성을 방지하기 위해)
삭제된 아웃바운드 패킷: IN= OUT=wlan0 SRC=i 제거된 주소 DST=i 제거된 주소 LEN=48 TC=0 HOPLIMIT=255 FLOWLBL=762031 PROTO=ICMPv6 TYPE=133 CODE=0 UID=0 GID= 0
ICMPv6 유형 133은 라우터 요청 패킷입니다.즉, 시스템은 wlan0WiFi 네트워크의 IPv6 라우터에 자체 알림을 요청하면서 패킷을 전송하고 있습니다.
이는 IPv6 자동 구성의 일반 기능의 일부이며 UID=0패킷이 루트 수준 프로세스에 의해 생성되었음을 나타냅니다. 일반적으로 이러한 패킷은 멀티캐스트 방식으로 전송됩니다.링크-로컬 "모든 라우터" IPv6 멀티캐스트 주소이므로 DST=주소가 가 아닌 경우 ff02::2사용 이상을 나타내며 ICMPv6 메시지가 비밀 데이터 유출 채널로 사용될 수 있음을 나타낼 수 있습니다.
그러나 차단 및 공개에 대한 iptables 필터를 제거하지 않고 이러한 정교한 공격(사용자 정의 ICMPv6 메시지를 작성하려면 이미 권한 있는 액세스가 필요함)을 수행하는 것은 일관성이 없으며 이것이 사용자 오해일 수 있음을 강력히 암시합니다.
나 못 봤어어느원래 작업, 첫 번째 로그 메시지 및/또는 두 번째 로그 메시지 간의 인과 관계에 대한 증거입니다.
이는 일반적인 논리적 오류에 더 가깝습니다. "사건 Y는 사건 X 후에 발생했기 때문에 사건 Y는 사건 X에 의해 발생했음이 틀림없습니다.""사실 이후, 그러므로 사실 이후")
이 경우 사용자는 로그 메시지가 전적으로 자신이 실행한 명령으로 인해 발생했다고 가정 /sbin/vboxconfig하지만 실제로는 시스템에서 동시에 많은 다른 프로세스가 발생하고 dmesg모두 보고됩니다.