|
Apple, macOS 제로데이 버그 수정 침해사고분석팀 2021.04.27 |
|
|
Apple은 Shlayer 악성 코드에 의해 익스플로잇된 macOS의 제로 데이 취약점을 수정하여 Apple의 파일 격리, 게이트 키퍼 및 공증 보안 검사를 우회하고 2단계 악성 페이로드를 다운로드했다.
Shlayer의 제작자는 Apple의 자동화 공증 프로세스를 통해 악성 페이로드를 확보했는데, 이 자동화된 보안 검사를 통과하면 Gatekeeper에 의해 macOS앱을 시스템에서 실행할 수 있도록 허용된다.
또한, Shlayer는 과거에 당시 나온지 2년 된 기술을 사용하여 권한을 상승시키고 macOS의 Gatekeeper를 비활성화하여 Carbon Black의 위협 분석 유닛이 탐지한 캠페인에서 서명되지 않은 2단계 페이로드를 실행한 적이 있다.
Jamf 보호 탐지 팀은 2021년 1월에 시작하는 Shlayer 위협 행위자가 생성한 서명되지 않고 공증되지 않은 Shlayer 샘플제로 데이 취약점을 익스플로잇했다는 것을 발견했다고 Cedric Owens라는 보안 엔지니어에 의해 발견되고 Appe에 보고됐다.
보안 연구원 Patrick Wardle이 밝힌 바에 의하면 이번에 수정된 버그는 앱 번들이 완전히 패치된 macOS 시스템에서 실행되도록 공증되었는지 Gatekeeper가 확인하는 방식에서 발생하는 논리적 결함을 악용한다. Wardle은 "이 결함은 특정 응용 프로그램의 오분류를 초래할 수 있다. 이 부분은 정책 엔진이 사용자에게 알람 및 메시지로 경고하는 것과 신뢰할 수 없는 응용 프로그램을 차단하는 것 등의 필수 보안 논리를 건너 뛰게 할 수 있다."라고 덧붙였다. 피해자가 마우스 오른쪽 버튼을 클릭한 다음 설치 스크립트를 열어야 하는 이전 변종과 달리, 위 제로 데이를 악용한 최근 악성 코드 변종은 더블클릭으로 실행할 수 있다.
오늘 Apple은 macOS Big Sur 11.3의 취약점을 수정하고 이 취약점을 적극적으로 악용하는 맬웨어 캠페인을 차단하는 보안 업데이트를 발표했다.
이제 사용자는 악성 앱이 "개발자를 식별 할 수 없기 때문에 열 수 없습니다"라는 경고를 받는다. 또한, 마운트 된 디스크 이미지를 꺼내도록 권장하여 디스크 이미지에 멀웨어가 포함되어 있는 경우 발생가능한 피해를 최소화할 수 있도록 한다.
[ 그림1. Shlayer 악성코드 발생 시 경고창 (Jamf) ]
2020년 1월 Kaspersky보고서에 따르면 Shlayer는 모든 Mac의 10%이상을 공격한 multi-stage 트로이 목마이다.
Intego의 연구팀은 2018년 2월 맬웨어 캠페인에서 처음으로 Shlayer를 발견했다. 당시 Shlayer는 macOS 사용자를 대상으로 하는 다른 여러 맬웨어 제품군과 마찬가지로 가짜 Adobe Flash Player 설치 프로그램으로 위장했었다. 토렌트 사이트를 통해 들어온 원래 변형과 달리 새로운 Shlayer 샘플은 이제 도용된 도메인이나 합법적인 사이트의 클론에 표시되는 가짜 업데이트 팝업을 통해 또는 합법적인 웹 사이트에 있는 광범위한 악성 광고 캠페인을 통해 확산된다.
Mac을 감염시킨 후, Shlayer는 mitmdump 프록시 소프트웨어와 신뢰할 수 있는 인증서를 설치한다. 그 후 이를 통해 HTTPS 트래픽을 분석 및 수정하여 피해자의 브라우저 트래픽을 모니터링하거나 방문한 사이트에 광고 및 악성 스크립트를 삽입할 수 있도록 한다. 더 심각한 것은 이 기술을 통해 악성 코드가 온라인 뱅킹 및 보안 이메일과 같은 암호화된 트래픽을 변경할 수 있다는 것이다.
Shlayer의 제작자는 현재 애드웨어만 보조 페이로드로 배포하지만 랜섬웨어 또는 와이퍼와 같은 더 위험한 페이로드로 언제든 빠르게 전환 할 수 있다.
출처 |
