애플이 새로운 M1 칩셋을 지난 해 발표했고, 시장에서 큰 반응을 이끌어 냈다. 소프트웨어 개발자들과 멀웨어 제작자들 모두 이 새 아키텍처에 맞게 각자의 소프트웨어를 새로 컴파일링하고 실험하기 시작했다. 때문에 M1 보안 환경이 아직 완숙하지 못하다는 게 당분간 치명적으로 작용할 수 있다.
[보안뉴스 문가용 기자] 애플이 최신 맥킨토시 컴퓨터 모델들에 탑재하기 시작한 칩셋인 M1이 벌써 멀웨어 공격자들의 표적이 되었다고 보안 전문가들이 발표했다. 보안 업체 레드카나리아(Red Canary)에 의하면 최근 발견된 멀웨어인 실버 스패로우(Silver Sparrow)의 경우 맥OS를 겨냥하여 만들어댄 것으로, C&C 서버를 AWS에 두고 있다는 특징을 가지고 있는 것으로 분석됐다고 한다.
[이미지 = utoimage]
레드카나리아의 수석 분석가인 토니 램버트(Tony Lambert)에 의하면 ARM64 아키텍처를 공략하기 위한 바이너리를 만든 것 자체는 공격자들 입장에서 획기적인 전진이라고 볼 수 있지만, 아직까지 실질적으로 얻는 이득은 크지 않다고 한다. “조금 더 멀웨어의 속도가 빨라지고, x86 시스템에 집중한 보안 장치들을 회피하는 확률이 높아진 정도”라고 그는 표현한다.
“즉 M1을 활용해 고유하게 얻을 수 있는 이득이 아직 구현되지는 않았다는 뜻입니다. 하지만 M1 아키텍처만을 위한 보안 연구가 진행되어 있지 않은 상태이기 때문에 이러한 초기 멀웨어라고 하더라도 높은 침투율을 보일 수 있습니다. 공격자들이 이 멀웨어를 통해 침투한 뒤 다른 페이로드를 설치하면 다양한 피해를 입힐 수 있는 상황입니다.”
원래부터 사이버 공격자들에게 있어 맥 컴퓨터들은 그리 주요한 연구 대상이 아니었다. 윈도 기반 시스템들이 시장을 장악하고 있었기 때문이다. 하지만 지난 10년 동안 시장 상황이 바뀌었고, 애플 시스템들의 인기는 크게 올라갔다. 때문에 주요 APT 단체들과 사이버 범죄 조직들은 맥 시스템을 보다 활발히 노리기 시작했다. 하지만 현재까지 맥용 멀웨어 대다수는 애드웨어에 그치고 있다. 맥 시스템을 겨냥한 공격이 많이 일어나긴 하지만, 하나하나 뜯어봤을 때 그리 대단한 건 아니라는 뜻이다.
실버 스패로우의 경우도 이와 비슷하다. M1을 겨냥한 사이버 공격을 가능하게는 해 주지만, 침투 후 투입되는 바이너리가 없기 때문에 실질적으로 피해를 일으키지는 않는다. “C&C 서버와의 연결을 성립시키기도 하지만, 그 다음으로 이어지는 바이너리 설치나 기능 악용 등의 단계가 부재합니다. 공격자들이 실험을 목적으로 실버 스패로우를 제작해 유포하는 것이 아닐까 램버트는 의심한다.
“공격자들이 미래를 준비하고 있다는 신호로 볼 수 있습니다. 소프트웨어 개발자들도 다 비슷합니다. 아키텍처가 바뀌면 자신들의 소프트웨어를 전부 새롭게 컴파일링 해야 하죠. 그리고 그 결과물을 가지고 새 시스템에 적용해 실험하는 단계를 거칩니다. 보안 솔루션 개발자들도 마찬가지고, 멀웨어 제작자들도 마찬가지입니다. 결국 지금 당장에 위협으로 분류되기 힘들더라도, 미래의 위협이 싹트고 있는 것이라고 실버 스패로우를 해석할 수 있는 것입니다.”
패트릭 워들(Patrick Wardle)이라는 보안 전문가도 바이러스토탈(VirusTotal)의 멀웨어 리포지터리에서 악성 M1 실행파일로 보이는 뭔가를 찾아냈다고 지난 주 발표했었다. 그의 분석 보고서에도 “현재 백신 시스템들로는 M1용 멀웨어를 찾아낼 수 없고, 공격자들이 이 점을 적극 실험 중에 있는 것으로 보인다”는 내용이 있다.
“현대의 정적 분석 도구들과 백신 엔진들은 ARM64 바이너리들 때문에 많은 문제를 겪게 될 가능성이 높아 보입니다. 업계에서 이름값이 높은 백신 엔진들 중 x86_64 바이너리의 탐지를 높은 확률로 해낼 수 있는 것들도 ARM64 바이너리의 탐지에는 실패한 경우가 많았습니다. 제가 실험해본 바로는 탐지 비율이 약 15% 하락한 것으로 나타났습니다.”
실버 스패로우의 경우, 탐지 회피율이 높은 이유는 단순히 M1 전용이라서 만이 아니기도 했다. “실버 스패로우의 개발자들은 자바스크립트 API를 사용해 설치를 자동화 기술로 처리하고 있습니다. 자동화 기술로 공격 지속성을 확보하기도 하고요. 이는 맥 멀웨어에서 그 동안 발견하기 힘들었던 특징입니다. 공격자들이 맥 보안 솔루션의 탐지 패턴을 어느 정도 파악하고, 그에 맞게 대응한 것으로 보입니다.” 램버트의 설명이다.
보안 전문가들은 애플에 M1 칩셋을 겨냥한 공격 현황에 대해 알렸고, 애플은 실버 스패로우에 맞는 조치를 취했다. 실버 스패로우는 아마존의 AWS도 공격에 활용하고 있었기 때문에 아마존에서의 조치도 필요했고, 아마존은 보고를 받아 이를 집행했다. “아마존과 애플의 적절한 대응 덕분에 현재 실버 스패로우는 무력화 된 상태입니다. 물론 실버 스패로우 개발자들 역시 이에 대항할 수 있습니다. 그럴 경우 새로운 버전의 실버 스패로우가 발견될 것으로 보입니다.”
3줄 요약
1. 애플의 새로운 맥 시스템 아키텍처의 핵심인 M1, 이미 공격자들의 연구 시작됨.
2. 최근 바이러스토탈에서 악성 M1 전용 실행파일 발견되고, 실버 스패로우라는 M1 전용 멀웨어 나타남.
3. 실버 스패로우의 현재 기능은 별 거 없지만, M1 보안 환경이 덜 발달해 있어 탐지율 높음.
[국제부 문가용 기자(globoan@boannews.com)]
[보안뉴스 문가용 기자] 애플이 최신 맥킨토시 컴퓨터 모델들에 탑재하기 시작한 칩셋인 M1이 벌써 멀웨어 공격자들의 표적이 되었다고 보안 전문가들이 발표했다. 보안 업체 레드카나리아(Red Canary)에 의하면 최근 발견된 멀웨어인 실버 스패로우(Silver Sparrow)의 경우 맥OS를 겨냥하여 만들어댄 것으로, C&C 서버를 AWS에 두고 있다는 특징을 가지고 있는 것으로 분석됐다고 한다.
[이미지 = utoimage]
레드카나리아의 수석 분석가인 토니 램버트(Tony Lambert)에 의하면 ARM64 아키텍처를 공략하기 위한 바이너리를 만든 것 자체는 공격자들 입장에서 획기적인 전진이라고 볼 수 있지만, 아직까지 실질적으로 얻는 이득은 크지 않다고 한다. “조금 더 멀웨어의 속도가 빨라지고, x86 시스템에 집중한 보안 장치들을 회피하는 확률이 높아진 정도”라고 그는 표현한다.
“즉 M1을 활용해 고유하게 얻을 수 있는 이득이 아직 구현되지는 않았다는 뜻입니다. 하지만 M1 아키텍처만을 위한 보안 연구가 진행되어 있지 않은 상태이기 때문에 이러한 초기 멀웨어라고 하더라도 높은 침투율을 보일 수 있습니다. 공격자들이 이 멀웨어를 통해 침투한 뒤 다른 페이로드를 설치하면 다양한 피해를 입힐 수 있는 상황입니다.”
원래부터 사이버 공격자들에게 있어 맥 컴퓨터들은 그리 주요한 연구 대상이 아니었다. 윈도 기반 시스템들이 시장을 장악하고 있었기 때문이다. 하지만 지난 10년 동안 시장 상황이 바뀌었고, 애플 시스템들의 인기는 크게 올라갔다. 때문에 주요 APT 단체들과 사이버 범죄 조직들은 맥 시스템을 보다 활발히 노리기 시작했다. 하지만 현재까지 맥용 멀웨어 대다수는 애드웨어에 그치고 있다. 맥 시스템을 겨냥한 공격이 많이 일어나긴 하지만, 하나하나 뜯어봤을 때 그리 대단한 건 아니라는 뜻이다.
실버 스패로우의 경우도 이와 비슷하다. M1을 겨냥한 사이버 공격을 가능하게는 해 주지만, 침투 후 투입되는 바이너리가 없기 때문에 실질적으로 피해를 일으키지는 않는다. “C&C 서버와의 연결을 성립시키기도 하지만, 그 다음으로 이어지는 바이너리 설치나 기능 악용 등의 단계가 부재합니다. 공격자들이 실험을 목적으로 실버 스패로우를 제작해 유포하는 것이 아닐까 램버트는 의심한다.
“공격자들이 미래를 준비하고 있다는 신호로 볼 수 있습니다. 소프트웨어 개발자들도 다 비슷합니다. 아키텍처가 바뀌면 자신들의 소프트웨어를 전부 새롭게 컴파일링 해야 하죠. 그리고 그 결과물을 가지고 새 시스템에 적용해 실험하는 단계를 거칩니다. 보안 솔루션 개발자들도 마찬가지고, 멀웨어 제작자들도 마찬가지입니다. 결국 지금 당장에 위협으로 분류되기 힘들더라도, 미래의 위협이 싹트고 있는 것이라고 실버 스패로우를 해석할 수 있는 것입니다.”
패트릭 워들(Patrick Wardle)이라는 보안 전문가도 바이러스토탈(VirusTotal)의 멀웨어 리포지터리에서 악성 M1 실행파일로 보이는 뭔가를 찾아냈다고 지난 주 발표했었다. 그의 분석 보고서에도 “현재 백신 시스템들로는 M1용 멀웨어를 찾아낼 수 없고, 공격자들이 이 점을 적극 실험 중에 있는 것으로 보인다”는 내용이 있다.
“현대의 정적 분석 도구들과 백신 엔진들은 ARM64 바이너리들 때문에 많은 문제를 겪게 될 가능성이 높아 보입니다. 업계에서 이름값이 높은 백신 엔진들 중 x86_64 바이너리의 탐지를 높은 확률로 해낼 수 있는 것들도 ARM64 바이너리의 탐지에는 실패한 경우가 많았습니다. 제가 실험해본 바로는 탐지 비율이 약 15% 하락한 것으로 나타났습니다.”
실버 스패로우의 경우, 탐지 회피율이 높은 이유는 단순히 M1 전용이라서 만이 아니기도 했다. “실버 스패로우의 개발자들은 자바스크립트 API를 사용해 설치를 자동화 기술로 처리하고 있습니다. 자동화 기술로 공격 지속성을 확보하기도 하고요. 이는 맥 멀웨어에서 그 동안 발견하기 힘들었던 특징입니다. 공격자들이 맥 보안 솔루션의 탐지 패턴을 어느 정도 파악하고, 그에 맞게 대응한 것으로 보입니다.” 램버트의 설명이다.
보안 전문가들은 애플에 M1 칩셋을 겨냥한 공격 현황에 대해 알렸고, 애플은 실버 스패로우에 맞는 조치를 취했다. 실버 스패로우는 아마존의 AWS도 공격에 활용하고 있었기 때문에 아마존에서의 조치도 필요했고, 아마존은 보고를 받아 이를 집행했다. “아마존과 애플의 적절한 대응 덕분에 현재 실버 스패로우는 무력화 된 상태입니다. 물론 실버 스패로우 개발자들 역시 이에 대항할 수 있습니다. 그럴 경우 새로운 버전의 실버 스패로우가 발견될 것으로 보입니다.”
3줄 요약
1. 애플의 새로운 맥 시스템 아키텍처의 핵심인 M1, 이미 공격자들의 연구 시작됨.
2. 최근 바이러스토탈에서 악성 M1 전용 실행파일 발견되고, 실버 스패로우라는 M1 전용 멀웨어 나타남.
3. 실버 스패로우의 현재 기능은 별 거 없지만, M1 보안 환경이 덜 발달해 있어 탐지율 높음.
[국제부 문가용 기자(globoan@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>
.jpg)
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.JPG){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
