[보안뉴스 문가용 기자] 악성 애플스크립트(AppleScript)를 연구하던 보안 업체 센티넬원(SentinelOne)이 애플이벤트(Apple Event, AEVT)라는 디컴파일러 도구를 완성시켰다. 맥 운영체제에서 실행되는 멀웨어를 분석하고, 이를 통해 공격자들이 이 플랫폼에서 흔히 사용하는 난독화 코드를 무력화시킬 수 있다고 한다.
[이미지 = utoimage]
센티넬원이 원래 분석하려고 했던 것은 암호화폐 채굴 캠페인이었다. 이 캠페인에서 사용되는 멀웨어는 애플스크립트로 개발되었고, 총 4단계로 감염을 진행한다는 특징을 가지고 있었다. 따라서 네 가지 요소로 구성되어 있다는 특징이 있는데, 1) 공격 지속성 확보용 에이전트, 2) 주력 스크립트, 3) 분석 방해 스크립트, 4) 설치용 스크립트라고 한다. 이 모든 요소들을 자동화해서 실행시키는 게 애플스크립트인데, 자동화 과정에서 정적 분석에 필요한 데이터들이 대부분 제거된다고 한다.
문제는 애플스크립트를 악의적으로 활용하는 공격에 대해서 많은 보안 업체나 일반 조직들이 낯설어 한다는 것이다. 그렇기 때문에 현재까지 애플스크립트를 활용하는 공격자들은 걸림돌이라고 할 만한 것을 크게 경험하지 못하고 있다고 센티넬원의 위협 연구원인 필 스톡스(Phil Stokes)는 설명한다. “그래서 이번 암호화폐 채굴 캠페인이 아무런 견제나 관심을 받지 못하고 있는 겁니다.”
현재 맥 환경과 윈도 환경을 비교했을 때, 더 많은 위협에 노출되어 있는 건 맥 환경의 사용자들이다. 그러나 여기서 발견되는 위협이란 대부분 애드웨어나 ‘잠재적 비요구 애플리케이션’ 정도에 불과하다. 윈도에서처럼 랜섬웨어나 대규모 정보 유출 사태가 벌어지는 일은 흔치 않다. 이번에 분석된 암호화폐 캠페인에서 사용된 채굴 멀웨어는 ‘잠재적 비요구 애플리케이션’에 분류된다. 즉, 맥 환경에서도 꽤나 자주 보이는 유형의 공격이라는 것이다.
“많은 보안 전문가들이나 분석 도구의 관심을 받지 못하고 있는 애플스크립트로 멀웨어가 만들어지는 사례가 점점 늘어나고 있습니다. 맥 환경에서 종종 나타나는 암호화폐 채굴과, 요즘 인기가 높아지고 있는 애플스크립트가 만나 이번 캠페인이 생성된 것입니다.” 센티넬원 측의 설명이다. 이번에 분석된 애플스크립트 기반 암호화폐 채굴 멀웨어의 이름은 OSA마이너(OSAMiner)이고, 이 멀웨어를 활용한 캠페인은 최소 5년 간 진행되어 왔다고 한다.
“OSA마이너는 그 동안 여러 번의 업그레이드를 거쳐 왔습니다. 특히 탐지 및 분석 방해 부분에 있어서 복잡한 기능들이 계속해서 덧붙어 왔죠. 그래서 분석이 쉽지 않습니다. 애플이벤트는 공격자들의 이러한 난독화 시도를 무력화하기 위해 만들어진 것입니다.” 뿐만 아니라 애플스크립트를 활용한 악성 행위들을 대부분 차단하거나 탐지할 수 있게 되었다고 한다.
애플스크립트는 30년 정도 된 프로그래밍 언어로, 현대 맥OS의 기반이 된다. 애플스크립트로 만들어진 스크립트를 컴파일링 하면 소스코드가 삭제되고, 변수 관련 정보들도 사라진다. 프로그램에서 사용하는 내부 토큰만 그대로 유지된다. 즉 난독화가 진행된다는 것이다. 이 점 때문에 최근 공격자들 사이에서 애플스크립트에 대한 관심이 서서히 올라가고 있다고 센티넬원 측은 설명한다.
센티넬원의 AEVT는 한국의 한 개발자가 이전에 시작했던 프로젝트를 기반으로 하고 있다. 한국 개발자가 만든 건 파이선 기반의 역어셈블러로, 애플스크립트 바이너리를 역설계한 결과물로 알려져 있다. 세티넬원은 역어셈블 된 코드를 가져다가 애플스크립트 소스코드로 변환시켜 보다 읽기 쉽게 만들었다고 한다. “이로써 애플스크립트의 분석이 보다 쉬워지고, 역설계 역시 가능하게 되었습니다. 애플스크립트를 활용하는 공격자들의 의도와 움직임을 더 용이하게 파악할 수 있게 된 것입니다.
스톡스는 AEVT 디컴파일러를 개발한 건 단지 OSA마이너를 분석하기 위한 것만이 아니었다며, “미래의 애플스크립트 기반 공격을 와해시키는 것도 이번 개발의 주요 목적”이었다고 설명한다. 그리고 AEVT를 깃허브(https://github.com/SentineLabs/aevt_decompile)를 통해 공개하기도 했다.
3줄 요약
1. 맥 환경에서 OSA마이너라는 채굴 코드 활용한 캠페인이 5년째 진행 중.
2. OSA마이너는 애플스크립트라는 흔치 않은 프로그래밍 언어를 기반으로 하고 있음.
3. 이를 분석하기 위해 디컴파일러 만든 보안 업체, 해당 도구를 무료로 풂.
[국제부 문가용 기자(globoan@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>