Shlayer macOS 악성코드, 제로데이 악용해 Gatekeeper 기능 우회해

 

 

Shlayer macOS malware abuses zero-day to bypass Gatekeeper feature

 

Shlayer 악성코드가 애플의 File Quarantine, Gatekeeper, Notarization 보안 기능을 우회하고 2단계 악성 페이로드를 다운로드하기 위해 악용한 macOS의 제로데이 취약점을 애플이 수정했습니다.

 

Shlayer 악성코드의 개발자들은 macOS에서 실행되기 위해 자동화된 공증 프로세스에서 애플이 그들의 악성 페이로드를 승인하도록 만드는데 성공했습니다.

 

개발자들은 Gatekeeper 보안 기능을 통해 허가를 받기 위해 자동화된 애플의 공증 서비스를 통해 macOS용 소프트웨어를 스캔해야합니다.

 

2020년 1월, Kaspersky Lab의 보안 전문가들은 Shlayer 악성코드가 2019년 macOS에서 가장 널리 확산된 악성코드라 밝혔습니다. 이 악성코드는 수년 동안 지속적으로 개선되었으며, 권한을 상승시키고 Gatekeeper 기능을 비활성화해 서명되지 않은 2단계 악성코드를 실행하는 것이 가능했습니다.

 

Jamf Protect 탐지팀에 따르면, 올해 초 Shlayer 악성코드의 배후에 있는 범죄자들이 CVE-2021-30657 제로데이 취약점을 악용하고 서명이 없으며 공증되지 않은 Shlayer 샘플을 생성했다고 밝혔습니다.

 

이 취약점은 악성코드가 Gatekeeper의 검사를 우회할 수 있도록 허용하는 논리 이슈였습니다.

 

Jamf Protect는 아래와 같이 밝혔습니다.

 

“발견된 Shlayer 악성코드는 공격자가 macOS의 Gatekeeper, Notarization, File Quarantine 보안 기술을 우회하도록 허용했습니다. 이 익스플로잇은 승인되지 않은 소프트웨어가 mac 시스템에서 실행되고, 해킹된 웹사이트나 악성 검색 엔진 결과를 통해 확산되는데 악용될 수 있었습니다.”

 

최신 악성코드 변종은 블랙 SEO 및 해킹된 웹사이트를 통해 배포되었으며, 악성 파일을 단순히 더블클릭 하는 것 만으로도 쉽게 실행할 수 있었습니다.

 

전문가들은 이 악성코드의 새로운 변종이 CVE-2021-1810 취약점을 악용하는데 필요한 형식으로 패키징되어 있었기 때문에, 실행 시 우클릭을 해야하는 방식이 필요하지 않다고 밝혔습니다.

 

애플은 macOS Big Sur 11.3의 취약점을 패치하고, 악성코드의 확산을 막기 위한 보안 패치를 출시했습니다.

 

macOS 사용자가 업데이트를 설치한 후에는 파일을 더블클릭 하더라도 개발자가 식별되지 않아 애플리케이션을 실행할 수 없다는 메시지가 출력됩니다.

 

“악성 애플리케이션이 공증을 받지 않았거나 유효한 개발자의 인증서로 서명되지 않았을 경우, 해당 앱 번들이 포함된 마운트된 DMG를 꺼내라는 메시지가 포함됩니다.”

 

 

<이미지 출처 : https://www.jamf.com/blog/shlayer-malware-abusing-gatekeeper-bypass-on-macos/>

 

 

Jamf는 이 위협을 식별할 수 있는 IoC 또한 공개했습니다.

 

현재 이스트시큐리티 알약(ALYac)에서는 해당 악성코드 샘플을 'Adware.OSX.Bundlore'로 탐지 중입니다. 

 

 

 

 

 

출처:

https://securityaffairs.co/wordpress/117262/malware/shlayer-macos-zero-day.html

https://www.jamf.com/blog/shlayer-malware-abusing-gatekeeper-bypass-on-macos/