Mac PC 10%를 공격한 Shlayer 악성코드
프로그램 설치 유도
Kaspersky의 보고서(참1)에 따르면, 2019년에 애플 macOS에서 가장 많이 탐지된 악성코드는 Shlayer였다. 전체 맥 컴퓨터의 10%가 이를 경험했다고 한다.Shlayer는 주로 동영상 사이트를 통해 유포됐다. 인기 TV 쇼나 스포츠 동영상을 스트리밍하는 사이트에서, 플래시 플레이어 등 소프트웨어를 업데이트하라는 식으로 사용자들을 속였다. 아래 그림(참1)은 한 예다.
이런 악성 사이트로는 주로 인기있는 동영상을 검색하는 과정에서 흘러들어가게 된다. 그리고 유튜브 영상의 설명 부분이나 위키피디아의 주석에 링크로 걸려있는 경우도 발견됐다.
제휴 프로그램 형식으로 다른 사이트에서 홍보되기도 한다. Shlayer는 설치 건당 비교적 높은 수수료를 지급해서, 제휴 사이트가 많다고 한다.
신뢰할 수 있는 사이트가 아니라면, 프로그램 설치를 요구하면 바로 빠져나오는 것이 좋다. 악성 사이트라면 각종 버튼도 가짜일 수 있으므로, 아무 것도 클릭하지 말고 브라우저 탭 자체를 닫아버린다.
시스템 알림 우회
가짜 메시지에 속아 업데이트나 설치 버튼을 누르면, Shlayer가 실행된다. 아래 그림(참1)처럼 평범한 인스톨러로 보이지만, 사실은 사용자가 거부(skip)를 누르든, 허락(next)을 누르든 상관없이 악성코드가 설치된다. 이 단계까지 왔으면 이미 늦은 것이다.아까는 아무 것도 누르지 말고 바로 빠져나오면 안전하다고 헀는데, 왜 그럴까. 아까는 악성 사이트에서 어떤 코드가 실행되기 전에 빠져나온 것이기 때문이다. 지금 단계는 이미 가짜 메시지에 속아 Shlayer를 실행한 후이다.
Shlayer는 downloader(dropper)이다. 시스템 정보를 수집해서, 그에 알맞은 payload(악성코드 본체)를 다운로드한다.
Shlayer는 여러 가지 악성코드를 설치하는 데 이용됐는데, 이들 모두 2019년 맥용 악성코드 탐지 횟수에서 상위권을 차지했다. 그 중에서도 특이한 것은 AdWare.OSX.Cimpli family이다.
Shlayer는 이제 임무를 다했다. 아래 내용은 Cimpli에 대한 것이다.
Cimpli는 먼저 애플 사파리 브라우저에 악성 확장 프로그램을 설치한다. 이 확장은 ManagementMark라고 하는데, 사용자가 보고 있는 웹 페이지에 몰래 스크립트를 삽입한다. 그래서 검색 활동을 감시하고, 임의의 사이트로 리디렉션 시킨다.
주목할 점은 맥 운영체제의 보안 경고를 우회한다는 것이다. 아래 그림(참1)에서 왼쪽은 사용자에게 보이는 가짜 알림이고, 오른쪽은 그에 가려져 있는 진짜 맥의 알림이다. 가짜 알림의 버튼을 클릭하면, 실제로는 맥의 보안 경고를 확인하는 것이 된다.
중간자 공격(MITM attack)
Cimpli는 다음으로 네트워크 트래픽을 중간에서 가로채는 중간자 공격(MITM attack, Man-In-The-Middle attack)용 툴을 설치한다. mitmdump(참2)라는 것이 사용됐다. 이는 mitmproxy의 일부이다.mitmproxy는 http 통신은 물론, 암호화된 https 통신도 가로챌 수 있다. https를 hijacking하기 위해서는 SSL/TLS 인증서가 필요한데(관1), mitmproxy는 필요한 인증서를 스스로 설치한다(참3).
이 툴을 설치하는 과정 역시, 가짜 화면으로 맥의 보안 알림을 가리는 방식으로, 사용자 몰래 진행된다.
관련 자료
참고 자료
댓글
댓글 쓰기