2019-08-23 17:34 (금)
애플 게이트키퍼 우회 취약점 이용 새로운 맥 악성코드 OSX/Linker 발견
상태바
애플 게이트키퍼 우회 취약점 이용 새로운 맥 악성코드 OSX/Linker 발견
  • hsk 기자
  • 승인 2019.06.26 14:48
이 기사를 공유합니다

모든 맥OS 버전에 영향 미치지만 애플은 아직 패치 업데이트하지 않은 상태

work-731198_640.jpg
맥 보안 소프트웨어 회사인 Intego 보안 전문가들이 macOS GateKeeper 우회 취약점을 이용한 OSX/Linker 악성코드를 발견했다. 애플 게이트키퍼(GateKeeper)는 앱 실행을 허용하기 전에 여러가지 검사를 수행하여 OS X 사용자를 보호하도록 설계되었다.

애플 개발자가 서명하지 않은 코드는 실행할 수 없고, 재일브레이크(jailbreak. 탈옥)되어 있지 않다면 장치가 애플 스토어에서 다운로드되지 않은 앱을 실행할 수 없다. 연구원은 OSX/Linker 멀웨어가 OSX/Surfbuyer 애드웨어의 작성자와 동일하다고 추측하고 있다.

5월 말, 이탈리아 보안 연구원 Filippo Cavallarin은 네트워크 공유 신뢰를 이용한 macOS GateKeeper 우회를 시연했다. 그는 인터넷에서 다운로드한 악의적인 바이너리가 GateKeeper 검사 프로세스를 우회하는 것을 허용하는 버그를 발견했다.

이후 그는 GateKeeper를 우회해 사용자의 허가나 어떠한 경고도 없이 신뢰할 수 없는 코드를 실행하는 것을 시연했다. GateKeeper는 외장 드라이브와 네트워크 공유를 모두 안전한 위치로 간주하므로 이 위치의 응용 프로그램은 사용자의 동의 없이도 실행될 수 있다.

공격자는 macOS, automount 및 특정 검사가 없는 두가지의 합법적인 기능을 활용해야한다. Autofs 기능을 사용하면 특정한 경로, “/net/”로 시작하는 모든 경로 (예를 들면 /net/evil-attacker.com/sharedfolder/)에 액세스하여 네트워크 공유를 자동으로 마운트할 수 있다.

또한 Cavallarin은 ZIP 아카이브 압축 해제 소프트웨어가 심볼릭 링크에 대한 검사를 수행하지 않는다는 것을 발견했다. 공격자는 automount 엔드포인트에 대한 심볼릭 링크가 포함된 ZIP 파일을 생성하여 사용자에게 보낼 수 있다. 사용자가 아카이브를 다운로드 후 심볼릭 링크를 따라가면, GateKeeper가 신뢰하는(공격자가 제어하는) 위치로 리디렉션 되는 것이다.

GateKeeper 우회 결함은 최신 버전(10.14.5)을 포함한 모든 macOS 버전에 영향을 미치지만, 애플은 아직 패치를 업데이트하지 않은 상태이다. Cavallarin은 2월 22일, 해당 취약점을 보고했으나 애플 측은 90일 기한을 놓치고 더 이상 메일 응답도 하지 않고 있다.

Intego의 보안 연구원들은 GateKeeper 우회를 악용한 일종의 테스트로 보이는 악성코드 샘플을 분석했고, 디스크 이미지 파일은 ISO 9660 이미지 또는 실제 애플 디스트 이미지 포맷인 .dmg 파일이었다.

Intego가 게시한 분석글은 “6월 6일 바이러스토탈에 업로드 된 4개의 샘플을 발견했다. 각각의 디스크 이미지를 만든지 한 시간 만에 인터넷에 액세스할 수 있는 NFS 서버의 특정 응용 프로그램과 연결된 것으로 보인다. 4개 파일 각각은 익명으로 업로드 되었고, 이는 사용자가 바이러스토탈 계정에 로그인하지 않았음을 의미한다”고 언급했다.

연구원들이 분석한 모든 OSX/Linker 멀웨어 샘플은 어도비 플래시 플레이어 설치 관리자로 위장하고 있어, 모두 악성코드 테스트였음을 나타낸다. In the wild에서는 아직까지 공격 사례가 발견되지 않았다.

★정보보안 대표 미디어 데일리시큐!★