맥OS를 위협할 수 있을 만한 ‘진지한’ 랜섬웨어가 처음으로 발견됐다. 지난 주 샘플과 분석 내용이 공개되자 보안 업계가 또 다른 샘플을 찾고 독립적으로 분석하기 시작했다. 아직 실질적인 피해는 없지만, 코 앞에 맥OS 랜섬웨어 사태가 다가와 있는지도 모른다.
[보안뉴스 문가용 기자] 지난 주 보안 업체 트렌드마이크로(Trend Micro)가 맥OS 생태계에서 활동 가능한 위협적인 랜섬웨어를 발견해 세상에 알렸다. 그러자 센티넬원(SentinelOne) 등 여러 다른 보안 업체들도 추적을 시작하여 같은 계열의 또 다른 샘플들을 찾아내고 있다. 흔한 랜섬웨어의 등장일 뿐인데 보안 업계가 흥미를 보이는 건 맥OS 생태계에서는 한 번도 제대로 된 랜섬웨어가 나타난 적이 없었기 때문이다.
[이미지 = gettyimagesbank]
트렌드마이크로는 해당 랜섬웨어에 ‘낫록빗(NotLockBit)’이라는 이름을 붙였다. 왜냐하면 공격자들은 스스로를 록빗(LockBit)이라고 밝히고 있지만 사실이 아닐 가능성이 높아 보이기 때문이다. 그래서 현재 보안 업체들도 대부분 이 랜섬웨어를 낫록빗이라 부르며 연구를 이어가는 중이다. 센티넬원은 자사 블로그를 통해 “여태까지 맥OS 환경에 등장한 랜섬웨어는 개념 증명 수준에 불과했다”고 설명하며 낫록빗이 주는 의의를 강조했다. “게다가 유명 랜섬웨어 그룹을 사칭하는 또 다른 그룹까지 나왔으니 주목할 만합니다.”
낫록빗
낫록빗은 고 언어로 작성되었으며, x86_64 바이너리로 유포된다는 특징을 가지고 있다. 그렇다는 건 인텔 기반의 맥 컴퓨터, 또는 로제타(Resetta)라는 에뮬레이션 소프트웨어가 설치된 맥 컴퓨터에서만 실행이 된다는 뜻이다. “아직 모든 맥 계열 컴퓨터들이 위험한 건 아닙니다. 애플이 인텔 칩을 사용하지 않는 추세로 접어든 지도 오래 되었고요.”
낫록빗은 실행 시 피해자 컴퓨터에서 시스템 정보를 수집하는 것부터 시작한다. 제품 이름, 버전, 빌드 등을 주요하게 수집하고, 아키텍처와 부팅 경과 시간 역시 가져간다. 그런 후에는 사용자의 데이터를 탈취해 원격의 서버로 옮긴다. 이 때 AWS S3를 활용하는 것으로 조사됐다. 그 후에는 파일 암호화를 시작한다.
“파일을 암호화 할 때는 비대칭 암호화 기술을 활용하는 것으로 보입니다. 그 말은 공격자가 가지고 있는 비공개 키가 있어야만 데이터를 되살릴 수 있다는 뜻입니다. 암호화된 파일들에는 .abcd라는 확장자가 붙습니다.” 센티넬원의 설명이다.
암호화까지 진행한 후 낫록빗은 osascript라는 것을 사용하여 바탕화면을 변경하고 록빗 2.0의 공식 배너가 나타나도록 한다. 하지만 여기에 허점이 있다고 트렌드마이크로는 짚은 바 있다. “록빗은 이미 오래 전에 2.0을 탈피해 3.0으로 업그레이드 됐습니다. 2.0은 더 이상 사용되지 않는 숫자나 다름 없죠. 거기에 더해 록빗의 주요 개발자들은 다 체포된 상태이기도 합니다. 록빗 2.0 배너가 이상해 보이는 이유입니다.”
빠른 개발 과정
센티넬원은 바이러스토탈에서 총 다섯 개의 낫록빗 샘플을 발견할 수 있었다고 한다. “이 다섯 개를 전부 분석했을 때 낫록빗이 짧은 시간 동안 많은 발전을 이뤘음을 알 수 있었습니다. 첫 번째 샘플은 1월에 바이러스토탈에 업로드 됐고, 그 다음 버전은 불과 12일 후에 업로드 됐습니다. 크기는 3M로 작은 편에 속합니다. 다만 이 두 번째 버전에는 배경화면을 바꾼다든지 AWS S3 버킷을 생성한다든지 하는 기능은 없었습니다. 파일 암호화와 탐지 우회 기능만 있었습니다. 테스트용으로 보입니다.”
그 다음에 발견된 두 가지 샘플은 각각 8.8MB로, 더 많은 기능을 갖추고 있었다. 벤추라SDK(Ventura SDK)로 개발됐고, 맥OS 13 이상에서 실행되는 것으로 분석됐다. 하지만 이 버전들까지도 테스트용 이상은 아니었다. “함수 이름이 일부 모호하게 표시되어 있었습니다. 그런 식으로 코드를 짰을 때 탐지를 얼마나 피해갈 수 있는지 확인해보고자 했던 것 같습니다.”
마지막 샘플은 5월 24일에 업로드 됐다고 한다. “이 버전의 경우 맥OS 소노마(Sonoma) 이상에서만 작동하도록 되어 있었습니다. 맥OS 14.4 SDK로 만들어졌고, 더 많은 우회 기능을 탑재하고 있었습니다. 이런 이력들을 봤을 때 개발자는 계속해서 우회 기능을 덧붙이고 실험할 것으로 예상됩니다.” 하지만 이것이 실제 공격에 활용될 것인지, 그렇다면 언제 그렇게 될 것인지는 아직까지 예상하기 어렵다.
센티넬원은 “맥OS 생태계에서의 랜섬웨어 위협은 아직도 미미한 상태인 건 변함 없다”라고 강조한다. “하지만 공격자들의 관심에서 벗어나지는 않았습니다. 그렇기에 맥OS에서도 이중 협박을 통해 사용자들의 돈을 갈취할 가능성이 점점 열리고 있다고 할 수 있습니다. 우리 모두 언젠가 맥OS도 랜섬웨어 공격으로 물들 것을 예상하고 있습니다만, 낫록빗은 그 예상을 좀 더 피부에 와닿는 것으로 바꿨습니다. 맥OS 랜섬웨어가 점점 더 실존적인 위협이 되어가고 있습니다.”
3줄 요약
1. 맥OS에서는 그 동안 이렇다 할 랜섬웨어가 없었음.
2. 하지만 누군가 빠른 속도로 제대로 된 랜섬웨어를 개발하고 있음.
3. 록빗을 사칭하고 있긴 하지만 낫록빗이 아닌 것이 분명해 보임.
[국제부 문가용 기자(globoan@boannews.com)]
[보안뉴스 문가용 기자] 지난 주 보안 업체 트렌드마이크로(Trend Micro)가 맥OS 생태계에서 활동 가능한 위협적인 랜섬웨어를 발견해 세상에 알렸다. 그러자 센티넬원(SentinelOne) 등 여러 다른 보안 업체들도 추적을 시작하여 같은 계열의 또 다른 샘플들을 찾아내고 있다. 흔한 랜섬웨어의 등장일 뿐인데 보안 업계가 흥미를 보이는 건 맥OS 생태계에서는 한 번도 제대로 된 랜섬웨어가 나타난 적이 없었기 때문이다.
[이미지 = gettyimagesbank]
트렌드마이크로는 해당 랜섬웨어에 ‘낫록빗(NotLockBit)’이라는 이름을 붙였다. 왜냐하면 공격자들은 스스로를 록빗(LockBit)이라고 밝히고 있지만 사실이 아닐 가능성이 높아 보이기 때문이다. 그래서 현재 보안 업체들도 대부분 이 랜섬웨어를 낫록빗이라 부르며 연구를 이어가는 중이다. 센티넬원은 자사 블로그를 통해 “여태까지 맥OS 환경에 등장한 랜섬웨어는 개념 증명 수준에 불과했다”고 설명하며 낫록빗이 주는 의의를 강조했다. “게다가 유명 랜섬웨어 그룹을 사칭하는 또 다른 그룹까지 나왔으니 주목할 만합니다.”
낫록빗
낫록빗은 고 언어로 작성되었으며, x86_64 바이너리로 유포된다는 특징을 가지고 있다. 그렇다는 건 인텔 기반의 맥 컴퓨터, 또는 로제타(Resetta)라는 에뮬레이션 소프트웨어가 설치된 맥 컴퓨터에서만 실행이 된다는 뜻이다. “아직 모든 맥 계열 컴퓨터들이 위험한 건 아닙니다. 애플이 인텔 칩을 사용하지 않는 추세로 접어든 지도 오래 되었고요.”
낫록빗은 실행 시 피해자 컴퓨터에서 시스템 정보를 수집하는 것부터 시작한다. 제품 이름, 버전, 빌드 등을 주요하게 수집하고, 아키텍처와 부팅 경과 시간 역시 가져간다. 그런 후에는 사용자의 데이터를 탈취해 원격의 서버로 옮긴다. 이 때 AWS S3를 활용하는 것으로 조사됐다. 그 후에는 파일 암호화를 시작한다.
“파일을 암호화 할 때는 비대칭 암호화 기술을 활용하는 것으로 보입니다. 그 말은 공격자가 가지고 있는 비공개 키가 있어야만 데이터를 되살릴 수 있다는 뜻입니다. 암호화된 파일들에는 .abcd라는 확장자가 붙습니다.” 센티넬원의 설명이다.
암호화까지 진행한 후 낫록빗은 osascript라는 것을 사용하여 바탕화면을 변경하고 록빗 2.0의 공식 배너가 나타나도록 한다. 하지만 여기에 허점이 있다고 트렌드마이크로는 짚은 바 있다. “록빗은 이미 오래 전에 2.0을 탈피해 3.0으로 업그레이드 됐습니다. 2.0은 더 이상 사용되지 않는 숫자나 다름 없죠. 거기에 더해 록빗의 주요 개발자들은 다 체포된 상태이기도 합니다. 록빗 2.0 배너가 이상해 보이는 이유입니다.”
빠른 개발 과정
센티넬원은 바이러스토탈에서 총 다섯 개의 낫록빗 샘플을 발견할 수 있었다고 한다. “이 다섯 개를 전부 분석했을 때 낫록빗이 짧은 시간 동안 많은 발전을 이뤘음을 알 수 있었습니다. 첫 번째 샘플은 1월에 바이러스토탈에 업로드 됐고, 그 다음 버전은 불과 12일 후에 업로드 됐습니다. 크기는 3M로 작은 편에 속합니다. 다만 이 두 번째 버전에는 배경화면을 바꾼다든지 AWS S3 버킷을 생성한다든지 하는 기능은 없었습니다. 파일 암호화와 탐지 우회 기능만 있었습니다. 테스트용으로 보입니다.”
그 다음에 발견된 두 가지 샘플은 각각 8.8MB로, 더 많은 기능을 갖추고 있었다. 벤추라SDK(Ventura SDK)로 개발됐고, 맥OS 13 이상에서 실행되는 것으로 분석됐다. 하지만 이 버전들까지도 테스트용 이상은 아니었다. “함수 이름이 일부 모호하게 표시되어 있었습니다. 그런 식으로 코드를 짰을 때 탐지를 얼마나 피해갈 수 있는지 확인해보고자 했던 것 같습니다.”
마지막 샘플은 5월 24일에 업로드 됐다고 한다. “이 버전의 경우 맥OS 소노마(Sonoma) 이상에서만 작동하도록 되어 있었습니다. 맥OS 14.4 SDK로 만들어졌고, 더 많은 우회 기능을 탑재하고 있었습니다. 이런 이력들을 봤을 때 개발자는 계속해서 우회 기능을 덧붙이고 실험할 것으로 예상됩니다.” 하지만 이것이 실제 공격에 활용될 것인지, 그렇다면 언제 그렇게 될 것인지는 아직까지 예상하기 어렵다.
센티넬원은 “맥OS 생태계에서의 랜섬웨어 위협은 아직도 미미한 상태인 건 변함 없다”라고 강조한다. “하지만 공격자들의 관심에서 벗어나지는 않았습니다. 그렇기에 맥OS에서도 이중 협박을 통해 사용자들의 돈을 갈취할 가능성이 점점 열리고 있다고 할 수 있습니다. 우리 모두 언젠가 맥OS도 랜섬웨어 공격으로 물들 것을 예상하고 있습니다만, 낫록빗은 그 예상을 좀 더 피부에 와닿는 것으로 바꿨습니다. 맥OS 랜섬웨어가 점점 더 실존적인 위협이 되어가고 있습니다.”
3줄 요약
1. 맥OS에서는 그 동안 이렇다 할 랜섬웨어가 없었음.
2. 하지만 누군가 빠른 속도로 제대로 된 랜섬웨어를 개발하고 있음.
3. 록빗을 사칭하고 있긴 하지만 낫록빗이 아닌 것이 분명해 보임.
[국제부 문가용 기자(globoan@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>
.jpg)
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.JPG){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
