Endpoint Protection

 View Only

PoC 보안 위협을 통해 OS X 가 암호화 랜섬웨어의 안전 지대가 아님을 재확인 

Nov 09, 2015 09:38 AM

LeadImageOSX.jpg

시만텍은 분석을 통해 Mabouia라는 이름의 기술 검증(proof-of-concept, PoC) 보안 위협이 기술된 대로 작동하며 공격자들이 이러한 보안 위협을 활용하여 본격적인 OS X 암호화 랜섬웨어를 개발할 수 있음을 확인했습니다.

시만텍이 OSX.Ransomcrypt라는 이름으로 탐지하는 Mabouia는 브라질의 사이버 보안 연구가인 Rafael Salema Marques가 개발한 것입니다. 그는 Mac도 랜섬웨어의 위협에서 안전하지 않다는 사실에 대한 경각심을 불러일으키고자 이 PoC 악성 코드를 작성했습니다.

Marques는 시만텍과 Apple에 이 랜섬웨어의 샘플을 제공했으며, 시만텍은 분석을 통해 이 PoC가 제대로 작동함을 확인했습니다. Marques는 이 악성 코드를 일반에게 배포하지 않을 것이라고 밝혔습니다.

Mabouia는 많은 랜섬웨어 변종에서 사용되면서 그 효과가 검증된 모델을 따릅니다. 즉 감염된 시스템의 파일을 암호화한 다음 C&C(Command-and-Control) 서버로 암호화 키를 보내는 것입니다. 이 악성 코드는 감염된 시스템에 결제 정보를 표시하는데, 피해자가 해독 키를 얻는 데 필요한 고유 ID도 포함합니다. 이 키는 피해자가 돈을 지불하는 대로 피해자에게 전송될 수 있습니다.

Mabouia는 PoC이므로 “ransom”이라는 이름의 디렉터리에 저장된 파일만 암호화합니다. 대부분의 Mac 시스템에는 이러한 이름의 디렉터리가 없습니다.

Mabouia는 PoC이기는 하지만 최초로 OS X를 겨냥한 파일 기반 암호화 랜섬웨어입니다. 물론 브라우저 기반 보안 위협의 형태로 Mac을 공격하는 랜섬웨어는 이미 등장했습니다. 예를 들어 2013년에 Malwarebytes 연구 팀이 악성 웹 사이트를 통해 Mac의 Safari 사용자를 노리는 브라우저 기반 랜섬웨어를 발견했습니다. 이 웹 사이트는 Windows 사용자를 드라이브 바이 다운로드(Drive-by Download)로 유도한 반면 Mac 사용자에게는 JavaScript를 사용하여 Safari에 FBI에서 불법 컨텐트 이용 혐의로 해당 브라우저를 "잠금" 처리했다는 팝업 메시지가 계속 표시되도록 했습니다.

보호
Norton Security, Symantec Endpoint Protection, 기타 시만텍 보안 제품은 이러한 보안 위협을 OSX.Ransomcrypt로 탐지합니다.

Statistics
0 Favorited
0 Views
0 Files
0 Shares
0 Downloads

Tags and Keywords

Related Entries and Links

No Related Resource entered.