상세 컨텐츠

본문 제목

macOS 플랫폼을 노리는 최신 악성코드 HiddenLotus 분석

국내외 보안동향

by 알약(Alyac) 2017. 12. 27. 15:46

본문

HiddenLotus는 "dropper"로 Lê Thu Hà (HAEDC).pdf 파일명을 가진  pdf 파일로 위장하고 있습니다. 이 방법은 매우 고전적인 방법중 하나입니다. 


macOS 사용자가 이 파일을 다운받으면 macOS의 백신기능이 동작하게 됩니다. 애플 회사에서 Mac OS X 10.5에서부터 도입한 이 기능은, 특수한 메타데이터로 사용자들이 인터넷에서 업/다운로드 하는 파일들에 대해 표기를 해 놓고, 해당 파일이 격리 대상이 되는지 파악합니다. 또한 사용자가 해당 파일을 실행하려고 할 때, 만약 해당 파일이 실행가능한 파일이라면 macOS 시스템은 사용자에게 경고 팝업을 띄워줍니다. 


<이미지 출처 : https://blog.malwarebytes.com/threat-analysis/2017/12/interesting-disguise-employed-by-new-mac-malware/amp/>


이 기능은 사용자에게 사용자 자신이 실행하려고 하는 파일이 보통 파일이 아닌 실행가능한 파일이라는 것을 알려주기 위한 것입니다. 2009년부터 많은 악성프로그램들이 일반 문서 파일을 위장하여 공격을 시도하였으며, 이러한 공격에 대응하기 위하여 많은 백신들에서 도입한 기능이기도 합니다. 


HiddenLotus가 다른 악성코드들과 다른것은, 다른 프로그램들 처럼 확장자를 속이는 것이 아니라 .pdf 확장자를 나타냅니다. 하지만, Finder(macOS 자원관리프로그램)은 이 파일을 여전히 실행가능한 파일로 인식합니다. 


<이미지 출처 : https://blog.malwarebytes.com/threat-analysis/2017/12/interesting-disguise-employed-by-new-mac-malware/amp/>


macOS 시스템에서 응용 프로그램이 반드시 .app의 확장자를 가져야 하는것은 아닙니다. macOS는 확장자명으로 파일의 실행파일여부를 판단하지 않기 때문입니다. 


macOS 시스템에서, 하나의 응용프로그램은 사실 특별한 내부구조를 가진 폴더, 즉 Bundle입니다. 어떻든간에 응용프로그램의 본질은 폴더이나, 만약 확장자를 .app으로 바꾼다면 바로 응용프로그램으로 바뀌게 됩니다. 만약 우리가 해당 파일 혹은 폴더를 더블클릭하게되면, LaunchServices가 우선 확장자를 확인합니다. 만약 확장자를 알 수 없다면 확장자에 따라 실행되게 됩니다(사용자에게 연결 프로그램을 선택하도록 하거나 app스토어에서 내려받도록 합니다). 


하지만 만약 확장자를 알지 못하는 프로그램을 실행하려고 더블클릭하게되면 LaunchServices가 폴더 내부 구조(Bundle)을 다시 체크하게 됩니다. 


<이미지 출처 : https://blog.malwarebytes.com/threat-analysis/2017/12/interesting-disguise-employed-by-new-mac-malware/amp/>



이는 무엇을 뜻하는 것일까요?


이는 즉 HiddenLotus의 Dropper는 정확한 내부 Bundle 구조를 가진 폴더로서, 이것은 .pdf라는 확장자 명을 사용하는데 이 중 'd'는 로마숫자로, 알파벳이 아닙니다. 하지만 일반 사용자들 눈에는 Adobe Acrobat 파일의 확장자 명과 동일하게 보이지만 본질적으로는 완전히 다릅니다. 그렇기 때문에, 사용자가 해당 파일을 실행하기 위해 더블클릭하면, 시스템은 다시 내부 Bundle구조를 다시 체크하며, 해당 폴더를 응용프로그램으로 간주해서 처리하게 됩니다. 


이러한 방법 이외에도, 다양한 확장자를 이용해서 이러한 효과를 낼 수 있습니다. 




출처 : 

https://blog.malwarebytes.com/threat-analysis/2017/12/interesting-disguise-employed-by-new-mac-malware/amp/

관련글 더보기

댓글 영역