.gif)
맥킨토시 환경의 분석 툴, 자동화 기능 가진 것 거의 없어
정적 분석과 동적 분석 전부 가능한 툴, 다음 주에 공짜로 풀려
[보안뉴스 문가용 기자] 윈도우 기기들을 표적으로 하는 멀웨어가 아직도 주류인 가운데 애플의 맥킨토시 기기들에 대한 해커들의 관심도 꾸준히 올라가고 있다. 이에 몇몇 보안 전문가가 맥OS에서 자동으로 멀웨어를 분석해주는 툴을 개발했다는 소식이다.
[이미지 = iclickart]
“맥 환경에서의 멀웨어 관련 툴들은 대부분 수동 분석을 기반으로 하고 있다”고 네덜란드의 보안 회사 스파이랩스(Sfylabs)의 멀웨어 분석가인 팜 두이 푹(Pham Duy Phuc)은 설명한다. 팜 두이 푹이 바로 자동 멀웨어 분석 툴을 개발한 주인공이다. 이탈리아의 트렌토대학에서 석사 과정을 진행 중에 해당 툴을 개발했다고 한다.
맥 환경에도 멀웨어에 대한 리버스 엔지니어링 툴, 디버깅 툴, 멀웨어 분석 툴은 존재한다. “호퍼(Hopper), IDA 등의 유료 툴도 있고, 라데어2(Radare2), 마하오 뷰(MachO View), lldb, 오툴(Otool), 디트레이스(Dtrace) 등과 같은 무료 툴도 있죠. 하지만 거의 전부가 수동적인 분석만을 지원합니다. 즉 이 툴을 사용하기 위해서만도 공부를 따로 해야 한다는 겁니다.”
또한 기존의 툴들은 특정한 기능에만 집중하고 있기 때문에 “잘 해봐야 퍼즐의 한 조각만 제공하지, 전체에 대한 통찰을 제공해주는 데에는 한계가 있다”고 그는 설명한다. “아예 사용하지 않는 것보다야 낫겠지만, 멀웨어 제작자들과 경쟁을 벌이기에는 무리가 있는 게 사실입니다. 하루에 멀웨어가 수백에서 수천 개씩 탐지되는 때니까요.”
푹은 이번 자동화 분석 툴을 개발하면서 담당 교수인 파비오 마사치(Fabio Massacci)의 도움을 받았다. 이 둘은 다음 주 자신들이 개발한 맥용 멀웨어 분석 툴인 맥아말(Mac-A-Mal)을 공개하고, 오픈소스로 배포할 예정이다.
맥아말은 정적 분석과 동적 분석 기술을 모두 활용해 맥OS의 멀웨어를 탐지하고, 요즘 공격자들 사이에서 유행하는 분석 방지 기능도 무력화시킨다. 그러면서 멀웨어 바이너리와 행동 패턴(네트워크 트래픽, 탐지 툴 우회 기법 등)에 대한 정보를 모은다. 커널 수준의 시스템 호출을 사용하여 탐지되지 않고 운영된다.
두 전문가들은 맥아말을 개발하고 바이러스토탈(VirusTotal)에 공개된 맥 멀웨어 샘플 2000여개를 실험했다. 그러는 와중에 공식 애플 개발자 인증서, 키로거, 트로이목마를 사용한 새로운 애드웨어 캠페인을 발견하기도 했다. 이는 그전까지 전혀 탐지되지 않았던 공격이다. 이들은 이 공격의 배후에 APT32 혹은 오션로터스(OceanLotus)라는 단체가 있는 것으로 보고 있다. 오션로터스는 중국과 베트남의 조직들을 노리는 베트남 해커 그룹인 것으로 알려져 있다.
“오션로터스가 이전에 개발했던 샘플을 맥아말로 분석한 결과와 이번에 새롭게 찾은 캠페인의 샘플을 분석한 결과가 상당히 비슷했습니다. 행동 특성적 시그니처도 비슷했고요. 이걸 발견한 것이 2017년 3월인데, 그 전까지는 아무도 이 공격을 탐지해내지 못했습니다.”
푹에 의하면 2017년에 발견된 맥용 멀웨어의 절반이 백도어라고 한다. “그리고 비슷하게 많은 건 애드웨어였습니다. OSX/Pirrit과 OSX/MacKeeper였죠. 2017년 한 해 동안 발견된 맥용 멀웨어 패밀리 중 고유한 것은 전부 86개인데, 49%가 백도어거나 트로이목마였죠.”
맥아말의 기본 작동 원리는 다음과 같다. “맥용 멀웨어를 찾아낸 후 샌드박스로 옮깁니다. 이 샌드박스에서는 여러 가지 멀웨어에 대한 정적 분석이 동시에 실행됩니다. 물론 샌드박스는 네트워크 스니퍼, 시스템 호출, 행동 로깅, 커널 모드로부터의 우회 방지 기능 등이 갖추어져 있습니다. 그리고 분석 결과를 또 다른 분석 기기로 전송하죠. 이 모든 과정이 자동으로 진행됩니다.”
맥아말의 특징인 커널 수준의 모니터링에는 나름의 장점이 있다. “OS 내의 모든 프로세스를 감시하면서 동시에 스스로의 존재를 감출 수 있습니다. 그러므로 멀웨어들이 가지고 있는 분석 방해 행위를 무력화시킬 수 있는 것이죠. 다음 주에 오픈소스로 첫 버전을 공개한 이후에는 머신러닝 기능도 덧붙일 예정입니다. 물론 언제 완성될지는 모르겠지만요.”
[국제부 문가용 기자(globoan@boannews.com)]
정적 분석과 동적 분석 전부 가능한 툴, 다음 주에 공짜로 풀려
[보안뉴스 문가용 기자] 윈도우 기기들을 표적으로 하는 멀웨어가 아직도 주류인 가운데 애플의 맥킨토시 기기들에 대한 해커들의 관심도 꾸준히 올라가고 있다. 이에 몇몇 보안 전문가가 맥OS에서 자동으로 멀웨어를 분석해주는 툴을 개발했다는 소식이다.
[이미지 = iclickart]
“맥 환경에서의 멀웨어 관련 툴들은 대부분 수동 분석을 기반으로 하고 있다”고 네덜란드의 보안 회사 스파이랩스(Sfylabs)의 멀웨어 분석가인 팜 두이 푹(Pham Duy Phuc)은 설명한다. 팜 두이 푹이 바로 자동 멀웨어 분석 툴을 개발한 주인공이다. 이탈리아의 트렌토대학에서 석사 과정을 진행 중에 해당 툴을 개발했다고 한다.
맥 환경에도 멀웨어에 대한 리버스 엔지니어링 툴, 디버깅 툴, 멀웨어 분석 툴은 존재한다. “호퍼(Hopper), IDA 등의 유료 툴도 있고, 라데어2(Radare2), 마하오 뷰(MachO View), lldb, 오툴(Otool), 디트레이스(Dtrace) 등과 같은 무료 툴도 있죠. 하지만 거의 전부가 수동적인 분석만을 지원합니다. 즉 이 툴을 사용하기 위해서만도 공부를 따로 해야 한다는 겁니다.”
또한 기존의 툴들은 특정한 기능에만 집중하고 있기 때문에 “잘 해봐야 퍼즐의 한 조각만 제공하지, 전체에 대한 통찰을 제공해주는 데에는 한계가 있다”고 그는 설명한다. “아예 사용하지 않는 것보다야 낫겠지만, 멀웨어 제작자들과 경쟁을 벌이기에는 무리가 있는 게 사실입니다. 하루에 멀웨어가 수백에서 수천 개씩 탐지되는 때니까요.”
푹은 이번 자동화 분석 툴을 개발하면서 담당 교수인 파비오 마사치(Fabio Massacci)의 도움을 받았다. 이 둘은 다음 주 자신들이 개발한 맥용 멀웨어 분석 툴인 맥아말(Mac-A-Mal)을 공개하고, 오픈소스로 배포할 예정이다.
맥아말은 정적 분석과 동적 분석 기술을 모두 활용해 맥OS의 멀웨어를 탐지하고, 요즘 공격자들 사이에서 유행하는 분석 방지 기능도 무력화시킨다. 그러면서 멀웨어 바이너리와 행동 패턴(네트워크 트래픽, 탐지 툴 우회 기법 등)에 대한 정보를 모은다. 커널 수준의 시스템 호출을 사용하여 탐지되지 않고 운영된다.
두 전문가들은 맥아말을 개발하고 바이러스토탈(VirusTotal)에 공개된 맥 멀웨어 샘플 2000여개를 실험했다. 그러는 와중에 공식 애플 개발자 인증서, 키로거, 트로이목마를 사용한 새로운 애드웨어 캠페인을 발견하기도 했다. 이는 그전까지 전혀 탐지되지 않았던 공격이다. 이들은 이 공격의 배후에 APT32 혹은 오션로터스(OceanLotus)라는 단체가 있는 것으로 보고 있다. 오션로터스는 중국과 베트남의 조직들을 노리는 베트남 해커 그룹인 것으로 알려져 있다.
“오션로터스가 이전에 개발했던 샘플을 맥아말로 분석한 결과와 이번에 새롭게 찾은 캠페인의 샘플을 분석한 결과가 상당히 비슷했습니다. 행동 특성적 시그니처도 비슷했고요. 이걸 발견한 것이 2017년 3월인데, 그 전까지는 아무도 이 공격을 탐지해내지 못했습니다.”
푹에 의하면 2017년에 발견된 맥용 멀웨어의 절반이 백도어라고 한다. “그리고 비슷하게 많은 건 애드웨어였습니다. OSX/Pirrit과 OSX/MacKeeper였죠. 2017년 한 해 동안 발견된 맥용 멀웨어 패밀리 중 고유한 것은 전부 86개인데, 49%가 백도어거나 트로이목마였죠.”
맥아말의 기본 작동 원리는 다음과 같다. “맥용 멀웨어를 찾아낸 후 샌드박스로 옮깁니다. 이 샌드박스에서는 여러 가지 멀웨어에 대한 정적 분석이 동시에 실행됩니다. 물론 샌드박스는 네트워크 스니퍼, 시스템 호출, 행동 로깅, 커널 모드로부터의 우회 방지 기능 등이 갖추어져 있습니다. 그리고 분석 결과를 또 다른 분석 기기로 전송하죠. 이 모든 과정이 자동으로 진행됩니다.”
맥아말의 특징인 커널 수준의 모니터링에는 나름의 장점이 있다. “OS 내의 모든 프로세스를 감시하면서 동시에 스스로의 존재를 감출 수 있습니다. 그러므로 멀웨어들이 가지고 있는 분석 방해 행위를 무력화시킬 수 있는 것이죠. 다음 주에 오픈소스로 첫 버전을 공개한 이후에는 머신러닝 기능도 덧붙일 예정입니다. 물론 언제 완성될지는 모르겠지만요.”
[국제부 문가용 기자(globoan@boannews.com)]
Copyrighted 2015. UBM-Tech. 117153:0515BC
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>
 th.jpg)
.jpg)
.jpg)
.jpg)
.jpg)
 THJ.jpg)
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.JPG){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
