2019-11-21 20:56 (목)
맥 악성코드 실행 위해 워드문서에서 매크로 사용 공격 확인
상태바
맥 악성코드 실행 위해 워드문서에서 매크로 사용 공격 확인
  • 페소아 기자
  • 승인 2017.02.13 14:09
이 기사를 공유합니다

“국가에 속한 해커 그룹이나 정부가 정교한 Mac 해킹 관련 기술 보유”

0904-19.jpg
윈도우 시스템이 아닌 맥(Mac) 컴퓨터에서 악성코드를 실행하기 위해 워드 문서에서 매크로를 사용하는 공격이 in-the-wild에서 확인되었다.

Synack의 연구책임자인 Patrick Wardle는 이번 주 여러 Mac 보안연구원, 관리자 및 전문가들이 새로 발견한 "U.S. Allies and Rivals Digest Trump's Victory - Carnegie Endowment for International Peace.docm"라는 이름의 악성 워드 문서를 분석해 블로그에 공개했다.

사용자가 이 문서를 열고 대화창에서 매크로를 사용하도록 설정하면, Mac, Linux용 오픈소스 post-exploitation 에이전트인 EmPyre와 거의 동일한 Pyhon 코드에 감염된다. 매크로는 자동화 작업 등 합법적인 목적을 위해 제공되므로, 사용자들이 기본적으로 매크로를 사용하도록 설정하거나 사용하지 않도록 하는 경고를 무시한다는 사실을 Windows 기반 멀웨어 개발자들이 악용한다.

Mac 보안연구원 Wardle은 "워드 매크로를 감염 벡터로 사용할 때는 가장 약한 링크로 인간을 이용한다. 운영체제 및 응용프로그램이 공격하기 어려워지는 반면에 인간은 변함없기 때문이다“라고 설명했다. 또한 그는 “매크로가 가장 대중적인 사이버 무기”라며 “그들은 플랫폼을 가로질러 동작하고 합법적인 기능이기 때문에 벤더에 의한 패치로 수정될 수 없기 때문이다”라고 덧붙였다.

멀웨어는 우선 Mac OS X의 호스트 기반 응용 프로그램 방화벽 제품인 Little Snitch을 위한 시스템 체크를 수행한 후, 감염된 시스템에서 지속성을 유지하는 두번째 단계 구성요소를 다운로드한다. 이 구성요소는 희생자의 웹캠을 조작하고, 키 체인을 덤프하고, 사용자의 브라우저 히스토리를 볼 수 있는 다양한 모듈을 실행할 수 있다. 이 지속성 모듈을 다운로드된 C&C서버는 러시아에 있으며 피싱 공격을 호스팅 하는 것으로 알려져 있다. 피싱 공격은 악성 워드 문서를 배포하기 위한 방법으로 주로 사용된다.

Wardle은 “공격자가 기존 윈도우 지식을 맥 사용자를 대상으로 계속 적용시킬 것으로 생각된다”고 말했다.

그러나 아직까지는 대부분의 Mac 공격이 상대적으로 정교하지 않는 부분에 대해서 그는 "이러한 악성코드/위협요소를 탐지하는 도구들이 Windows만큼 발전하지 않았고, Mac 악성코드 프로그램 작성자가 Mac 플랫폼에 익숙하지 않기 때문일 것으로 생각된다. 나는 국가에 속한 해커 그룹이나 정부가 정교한 Mac 관련 기술을 보유하고 있을 것이라고 생각한다"고 설명했다.

★정보보안 대표 미디어 데일리시큐!★