(0)
    
    
자동로그인





소프트정보서비스 블로그 바로가기
ezPDF
카스퍼스키 백신 전문몰 로 이동
Microsoft COEM FPP 온라인 판매 인증점 선정-2017-04-03 일부터
Microsoft COEM FPP 온라인 판매인증점 선정-2017-04-03 일부터
oFFICE365
 

 
작성일 : 18-12-13 18:11
멀웨어 멕용- 어도비 지 라는 인기 불법 프로그램 통해 확산
 글쓴이 : 소프트정보… (118.♡.244.54)
조회 : 63  

두 가지 오픈소스인 엠파이어와 XM리그 기능 포함하고 있어
시스템 느려지는 것 외에 실질적인 피해 없지만 추가 공격 가능성 높다고 함


보안업체 멀웨어바이츠(Malwarebytes)의 연구원 이 맥용 멀웨어가 두 가지 오픈소스 프로그램의 결합

으로 탄생한 것이라는 걸 최근 발견했다.

이 멀웨어는 다스마이너(DarthMiner), 현재 어도비 지(Adobe Zii)라는 애플리케이션

(Adobe Zii은 어도비에서 만든 여러 제품들의 해적판을 지원하는 프로그램)으로 위장해 퍼지고

있다고 한다.

 

.다스마이너가 위장한 어도비 지는 이러한 본연의 기능을 전혀 가지고 있지 않다.

스스로가 가짜라는 걸 굳이 숨기려고 들지도 않는 것이다.


이 가짜 어도비 지 애플리케이션의 행위과정은


.
셸 스크립트를 실행 시키도록 설계.

->실행과 함께 파이선 스크립트를 다운로드 받아 실행.

-> sample.app
이라는 앱을 다운로드 받아 실행(이 앱이 어도비 지처럼 보이는 화면을 띄운다)

->
그 뒤로 악성 행위가 몰래 진행된다.

->
다운로드 된 파이선 스크립트는 리틀 스니치(Little Snitch)라는 방화벽의 존재 유무를 먼저 확인.
  
리틀 스니치가 발견되면 감염을 중단/ 리틀 스니치 없다면 다음 단계로 넘어간다.

->
엠파이어(EmPyre)라는 백도어(임의의 명령실행해주는 기능을 보유)를 백엔드에 연결시킴

->
엠파이어는 또 다른 스크립트를 다운로드 받고, 이 스크립트 역시 멀웨어의 또 다른 요소들을
  
외부에서부터 가져오는 역할을 담당.

->
이 과정에서 런치 에이전트(launch agent)를 생성해 공격 지속성을 확보.

->
이러한 공격이 한쪽에서 진행되는중에 다른 한쪽에서 XM리그(XMRig)라는
 
암호화폐 채굴 멀웨어가 심기기도 한다.

->
런치 에이전트가 같이 생성돼 XM리그 프로세스가 지속적으로 돌아가도록 한다.

->
루트 인증서를 다운로드 받아 설치하는 과정도 발견됐다.
  (
암호화된 트래픽을 포함해 웹 트래픽을 중간에서 가로채기 위한 작업으 보임)

->
이 기능을 실행하는 부분은 코드에서코멘트 처리되어 기능이 실제적으로 발동되지는 않는다.


 
공격자들로부터 온 페이로드가 추가로 발견되기 전까지 공격자의 의도를 다 파악하기는 힘듭니다.”

멀웨어바이츠는해적판 소프트웨어가 유통되는 생태계도 공격자들에게 악용될 수 있다는 게


이번 발견의 주안점이라고 강조하고 해적판 소프트웨어를 사용하는 건 스스로에게 도움이

되지 않는 길이라며소프트웨어 가격이 피해 복구 가격보다 훨씬 낮다는 걸 이해할 필요가 있다

지적했다.

 


 
   
 


회사소개 | 서비스이용약관 | 개인정보취급방침
(주)소프트정보서비스
서울시 용산구 한강로2가 314-1번지 용성비즈텔802호
대표이사 : 박양근 | 사업자등록번호 : 106-81-80499 [사업자정보확인]
전화 : 02-716-1915 | 팩스 : 02-716-1917
운영자 : (주)소프트정보서비스 | 개인정보관리책임자 : 박양근
통신판매업신고번호 : 제 용산 03126호
Copyright © 2001-2017 (주)소프트정보서비스. All Rights Reserved.