MacOS를 공격하는 콜드루트 RAT 악성코드 발견

Coldroot RAT cross-platform malware targets MacOS without being detected

콜드루트(Coldroot) RAT는 MacOS를 타겟으로 하는 크로스플랫폼 악성코드 입니다. 이 악성코드는 High Sierra 이전 버전의 MacOS 시스템에서 키로거로 동작하며 사용자의 비밀번호와 인증 정보를 탈취합니다. 하지만 현재 백신으로는 탐지가 불가합니다. 

콜드루트 RAT에 대해 2017년 1월 언더그라운드 마켓에 상세 분석 자료가 공개되었고, 일부 버전은 깃허브에서 거의 2년 동안 판매되고 있습니다.

보안 전문가 Wardle에 따르면, 이 악성코드는 애플 오디오 드라이버 “com.apple.audio.driver2.app”로 위장하고 있으며, 클릭하면 사용자에게 MacOS 인증 정보를 요구하는 화면을 보여줍니다.

공격자는 인증 정보를 획득한 후, 개인 데이터베이스(TCC.db)를 변경합니다. 연구원들의 분석에 따르면, 이 악성코드가 일단 설치되면, 파일(/private/var/db/.AccessibilityAPIEnabled)이 생성되고 공격자는 접근 권한을 획득한 후 이를 통해 전체 시스템을 기반으로 키 로깅을 수행합니다. 그런 다음, 시스템에 설치된 애플리케이션과 접근 권한 레벨 정보를 탈취하기 위한 데이터베이스(TCC.db)를 변경합니다.

Wardle은 ‘공격자들이 애플스크립트를 악용하면, 쿼츠 2D 기술을 통한 자극적인 클릭 이벤트를 전송하거나, 파일 시스템과 직접 상호 작용할 수 있다. 예를 들어, 드롭박스는 접근 권한이 있는 앱 목록이 포함된 개인 데이터베이스(TCC.db)를 변경한다. 또한 획득한 권한을 통해 애플리케이션이 시스템 UI 또는 다른 앱들과 통신할 수 있고, 심지어 키보드 입력 정보도 탈취할 수 있다(예: 키로깅). 데이터베이스를 변경하여 (시스템이 정상일 때) 사용자가 받게 될 보안 알람 경고도 차단할 수 있다’고 덧붙였습니다.

 

콜드루트 RAT는 또한 자기 자신을 시작 데몬으로 설치하기 때문에 공격을 지속적으로 수행할 수 있습니다.

MacOS High Sierra 버전을 실행하는 시스템은 SIP를 통해 데이터베이스를 보호하고 있기 때문에 콜드루트의 공격에서 안전합니다.

Wardle은 ‘이 악성 스크립트는 루트 권한으로 실행되지만,  High Sierra  이후 버전은 SIP로 보호되기 때문에 데이터베이스 변조가 어렵다’고 설명합니다.

정적 분석 결과, 콜드루트 RAT에서 지원되는 명령은 다음과 같습니다.

- 파일/디렉토리 리스트

- 파일/디렉토리 이름변경

- 파일/디렉토리 삭제

- 프로세스 리스트

- 프로세스 실행

- 프로세스 중단

- 다운로드

- 업로드

- 활성화 윈도우창 정보 가져오기

- 프로그램 종료

이 악성코드는 커스터마이징 형태로 판매되고 있습니다.

이 밖에도 콜드루트에 대한 다음과 같은 정보를 얻을 수 있었습니다.  

- 콜드루트의 구(미완성) 버전 소스코드

- 악성코드 공격 시연 영상

이번에 얻은 이 소스코드는 이번 분석에 많은 도움을 주었습니다. 예를 들어, PacketTypes.pas 파일에는 악성코드의 프로토콜과 실행 명령 정보가 포함되어 있습니다.

출처 :

http://securityaffairs.co/wordpress/69321/malware/coldroot-rat-malware.htm