1. Defense Evasion
○ 공격자는 피해자의 시스템에 침투한 후, 보안 자산에 의한 탐지 및 차단을 피하고 악성 행위를 수행하기 위해 난독화와 인젝션 및 보안 기능 비활성화 등의 방어 회피(Defense Evasion) 전술을 수행합니다.
○ 공격자가 목표 시스템에 침투하더라도 방어 회피에 성공하지 못한다면, 백신이나 EDR 등의 보안 솔루션으로 인해 공격이 탐지 및 차단되어 정보 탈취, 데이터 훼손, 서비스 중단 등의 최종 목표를 이룰 수 없기 때문입니다.
○ 따라서 공격자들은 방어 회피 기술을 지속적으로 연구하며, 발전시키고 있습니다. MITRE ATT&CK에서도 이를 하나의 공격 전술(Tactic)로 분류해 방어 회피에 사용되는 기술(Technique)들을 분류하고 있습니다.
![[그림 1] MITRE ATT&CK macOS Matrix](https://22120960.fs1.hubspotusercontent-na1.net/hubfs/22120960/%5B%EA%B7%B8%EB%A6%BC%201%5D%20MITRE%20ATT%26CK%20macOS%20Matrix.png)
[그림 1] MITRE ATT&CK macOS Matrix
○ 이번 보고서는 이슈가 됐던 악성코드 사례를 통해 공격자들이 macOS 환경에서 어떤 기술을 통해 방어를 회피하는지 분석하고, Genian EDR을 활용해 탐지하는 내용을 다루고 있습니다.
2. Defense Evasion Techniques
2.1. T1222.002 - File and Directory Permissions Modification:
Linux and Mac File and Directory Permissions Modification
○ macOS 운영체제에서는 chown를 사용해 파일이나 디렉터리의 소유자, 소유 그룹을 변경하고 chmod를 사용해 파일이나 디렉터리의 권한을 변경해 특정 파일이나 폴더에 대한 액세스를 관리합니다.
○ 하지만, 공격자들은 chmod 명령을 사용하여 악성코드에 실행 권한을 부여하는 방법으로 악용하고 있습니다.
| chmod +x [파일명] |
| chmod 755 [파일명] |
| chmod -R 755 [폴더명] |
[표 1] 공격자들이 주로 악용하는 chmod 명령어
2.1.1. CloudMensis #1
○ CloudMensis는 Objective-C로 개발된 macOS용 백도어입니다. 작년 6월 GSC는 한국내 macOS 이용자를 노린 APT37 공격 등장 보고서를 통해 C2 서버로 pCloud를 사용한다는 점과 탈취하는 파일 확장자 등에서 APT37과의 유사성을 밝힌 바 있습니다.
![[그림 02] “한국내 macOS 이용자를 노린 APT37 공격 등장” 보고서 일부](https://22120960.fs1.hubspotusercontent-na1.net/hubfs/22120960/%5B%EA%B7%B8%EB%A6%BC%2002%5D%20%20%E2%80%9C%ED%95%9C%EA%B5%AD%EB%82%B4%20macOS%20%EC%9D%B4%EC%9A%A9%EC%9E%90%EB%A5%BC%20%EB%85%B8%EB%A6%B0%20APT37%20%EA%B3%B5%EA%B2%A9%20%EB%93%B1%EC%9E%A5%E2%80%9D%20%EB%B3%B4%EA%B3%A0%EC%84%9C%20%EC%9D%BC%EB%B6%80.png)
[그림 2] 「한국내 macOS 이용자를 노린 APT37 공격 등장」 보고서 일부
○ 해당 악성코드는 curl을 사용해 C2에서 WindowServer이름의 추가 악성코드를 다운로드 합니다. 이후, WindowServer 파일을 실행하기 위한 추가 작업들을 수행하는데, chmod +x 명령을 사용해 실행 권한을 부여하는 작업이 포함되어 있습니다.
![[그림 03] CloudMensis 악성코드의 chmod +x 명령 실행](https://22120960.fs1.hubspotusercontent-na1.net/hubfs/22120960/%5B%EA%B7%B8%EB%A6%BC%2003%5D%20CloudMensis%20%EC%95%85%EC%84%B1%EC%BD%94%EB%93%9C%EC%9D%98%20chmod%20%2Bx%20%EB%AA%85%EB%A0%B9%20%EC%8B%A4%ED%96%89.png)
[그림 3] CloudMensis 악성코드의 chmod +x 명령 실행
○ Genian EDR에서는 chmod을 실행한 프로세스와 사용된 옵션을 확인할 수 있으며, 의심스러운 파일에 대한 권한 부여를 탐지할 수 있습니다.
![[그림 04] CloudMensis 악성코드 MITRE ATT&CK 탐지 화면 1](https://22120960.fs1.hubspotusercontent-na1.net/hubfs/22120960/%5B%EA%B7%B8%EB%A6%BC%2004%5D%20CloudMensis%20%EC%95%85%EC%84%B1%EC%BD%94%EB%93%9C%20MITRE%20ATT%26CK%20%ED%83%90%EC%A7%80%20%ED%99%94%EB%A9%B4%201.png)
[그림 4] CloudMensis 악성코드 MITRE ATT&CK 탐지 화면 1
2.1.2. Macma
○ Macma는 중국의 해킹 그룹 Evasive Panda가 사용하는 macOS 백도어로, 2019년부터 현재까지 지속적으로 발견되고 있습니다. 올해 7월에는 기능이 개선된 새로운 버전의 Macma 악성코드가 발견되며, macOS에 대한 위협이 커지고 있습니다.
○ 해당 악성코드가 실행되면 추가 악성 파일들을 임시 폴더에 드롭하고 정상 파일로 위장해 복사합니다. 이후, 각 파일을 실행할 수 있도록 chmod 755 명령을 사용하여 실행 권한을 부여합니다.
![[그림 05] Macma 악성코드의 chmod 명령 실행](https://22120960.fs1.hubspotusercontent-na1.net/hubfs/22120960/%5B%EA%B7%B8%EB%A6%BC%2005%5D%20Macma%20%EC%95%85%EC%84%B1%EC%BD%94%EB%93%9C%EC%9D%98%20chmod%20%EB%AA%85%EB%A0%B9%20%EC%8B%A4%ED%96%89.png)
[그림 5] Macma 악성코드의 chmod 명령 실행
○ 최종적으로 Macma 악성코드는 복사한 악성 파일들을 사용해 키로깅과 오디오 녹음 및 화면 캡쳐 등의 악성 행위를 수행합니다.
○ Genian EDR을 통해 해당 행위를 수행한 프로세스를 확인할 수 있습니다. 또한, 자식 프로세스의 행위 이벤트를 확인하여 악성 여부를 판단하는 데 도움을 줍니다.
![[그림 06] Macma 악성코드 MITRE ATT&CK 탐지 화면](https://22120960.fs1.hubspotusercontent-na1.net/hubfs/22120960/%5B%EA%B7%B8%EB%A6%BC%2006%5D%20Macma%20%EC%95%85%EC%84%B1%EC%BD%94%EB%93%9C%20MITRE%20ATT%26CK%20%ED%83%90%EC%A7%80%20%ED%99%94%EB%A9%B4.png)
[그림 6] Macma 악성코드 MITRE ATT&CK 탐지 화면
2.2. T1553.001 - Subvert Trust Controls: Gatekeeper Bypass
○ GateKeeper는 macOS의 보안 기능 중 하나로 Windows 운영체제의 SmartScreen 처럼 사용자가 신뢰할 수 없는 경로에서 다운로드 하거나 서명되지 않은 소프트웨어의 실행을 방지하는 기능을 가지고 있습니다.
○ 공격자들은 GateKeeper를 우회하기 위한 방법 중 하나로 xattr 명령을 사용하고 있습니다. 해당 명령에 -d 또는 -c 옵션을 사용하면 외부에서 다운로드한 파일에 적용되는 com.apple.quarantine 확장 속성이 삭제되어, 경고 메시지 없이 악성 파일을 실행할 수 있습니다.
| xattr -c [파일명] |
| xattr -d com.apple.quarantine [파일명] |
[표 2] 공격자들이 주로 사용하는 xattr 명령어
![[그림 07] Windows SmartScreen과 macOS GateKeeper의 경고창](https://22120960.fs1.hubspotusercontent-na1.net/hubfs/22120960/%5B%EA%B7%B8%EB%A6%BC%2007%5D%20Windows%20SmartScreen%EA%B3%BC%20macOS%20GateKeeper%EC%9D%98%20%EA%B2%BD%EA%B3%A0%EC%B0%BD.png)
[그림 7] Windows SmartScreen과 macOS GateKeeper의 경고창
2.2.1. CloudMensis #2
○ CloudMensis는 macOS의 보안 기능을 우회하고 추가 악성코드를 실행하기 위해 xattr명령을 악용합니다. 해당 악성코드는 C2 서버에서 다운로드한 WindowServer 악성 파일을 실행하기 전에 xattr -c 명령을 사용하여 모든 추가 확장 속성을 제거합니다.
○ 이 과정에서 com.apple.quarantine과 같은 속성 정보가 삭제되어, 악성파일이 경고 없이 실행될 수 있습니다.
![[그림 08] CloudMensis 악성코드의 xattr -c 명령 실행](https://22120960.fs1.hubspotusercontent-na1.net/hubfs/22120960/%5B%EA%B7%B8%EB%A6%BC%2008%5D%20CloudMensis%20%EC%95%85%EC%84%B1%EC%BD%94%EB%93%9C%EC%9D%98%20xattr%20-c%20%EB%AA%85%EB%A0%B9%20%EC%8B%A4%ED%96%89.png)
[그림 8] CloudMensis 악성코드의 xattr -c 명령 실행
○ 최종적으로 실행된 악성 파일은 공격자 C2 서버의 명령을 받아 화면 캡쳐, 임의 파일 수집 등의 악성 행위를 수행합니다.
○ Genian EDR에서는 xattr 명령을 사용해 확장 속성을 제거하는 행위를 MITRE ATT&CK으로 탐지하고 있으며, 어떤 프로세스가 특정 파일의 확장 속성 변경을 시도했는지 확인할 수 있습니다.
![[그림 09] CloudMensis 악성코드 MITRE ATT&CK 탐지 화면 2](https://22120960.fs1.hubspotusercontent-na1.net/hubfs/22120960/%5B%EA%B7%B8%EB%A6%BC%2009%5D%20CloudMensis%20%EC%95%85%EC%84%B1%EC%BD%94%EB%93%9C%20MITRE%20ATT%26CK%20%ED%83%90%EC%A7%80%20%ED%99%94%EB%A9%B4%202.png)
[그림 9] CloudMensis 악성코드 MITRE ATT&CK 탐지 화면 2
2.3. T1562.001 - Impair Defenses: Disable or Modify Tools
○ 공격자들은 악성 행위에 대한 탐지 및 차단을 피하기 위해 보안 기능을 비활성화하거나 변경하여 시스템의 보안을 약화시키기는 기술을 수행합니다.
○ macOS 환경에서는 공격자들이 SIP(System Integrity Protection)나 GateKeeper와 같은 기본 보안 기능을 비활성화하여 악성 행위 차단을 회피하는 방법을 사용하고 있습니다.
2.3.1. Activator
○ Activator는 올해 초 발견된 악성코드로 토렌트를 통해 유포되는 것으로 알려졌습니다. 이 악성코드는 크랙 도구로 위장하고 있으며, 정상 유료 프로그램과 함께 DMG 파일로 패키징되어 있습니다.
![[그림 10] 크랙 도구로 위장한 Activator 악성코드](https://22120960.fs1.hubspotusercontent-na1.net/hubfs/22120960/%5B%EA%B7%B8%EB%A6%BC%2010%5D%20%ED%81%AC%EB%9E%99%20%EB%8F%84%EA%B5%AC%EB%A1%9C%20%EC%9C%84%EC%9E%A5%ED%95%9C%20Activator%20%EC%95%85%EC%84%B1%EC%BD%94%EB%93%9C.png)
[그림 10] 크랙 도구로 위장한 Activator 악성코드
○ 해당 악성코드를 실행할 경우, 권한 허용을 요청하는 창을 띄워 비밀번호 입력을 유도합니다. 사용자가 비밀번호를 입력하면 DMG 파일 내부에 존재하는 tool 악성 파일을 root 권한으로 실행합니다.
![[그림 11] 비밀번호 입력을 유도하는 창](https://22120960.fs1.hubspotusercontent-na1.net/hubfs/22120960/%5B%EA%B7%B8%EB%A6%BC%2011%5D%20%EB%B9%84%EB%B0%80%EB%B2%88%ED%98%B8%20%EC%9E%85%EB%A0%A5%EC%9D%84%20%EC%9C%A0%EB%8F%84%ED%95%98%EB%8A%94%20%EC%B0%BD.png)
[그림 11] 비밀번호 입력을 유도하는 창
○ root 권한으로 실행된 tool 파일은 spctl --master-disable 명령을 사용해 GateKeeper를 비활성화 하며, 신뢰할 수 없는 소스에서 다운로드하거나 서명되지 않은 파일을 실행 가능하도록 설정합니다.
![[그림 12] Activator 악성코드의 spctl —master-disable 명령 실행](https://22120960.fs1.hubspotusercontent-na1.net/hubfs/22120960/%5B%EA%B7%B8%EB%A6%BC%2012%5D%20Activator%20%EC%95%85%EC%84%B1%EC%BD%94%EB%93%9C%EC%9D%98%20spctl%20%E2%80%94master-disable%20%EB%AA%85%EB%A0%B9%20%EC%8B%A4%ED%96%89.png)
[그림 12] Activator 악성코드의 spctl --master-disable 명령 실행
○ 이후, tool 파일은 C2 서버에서 사용자의 가상자산 지갑 정보 및 비밀번호를 탈취하는 추가 악성코드를 다운로드해 실행합니다.
○ Genian EDR을 통해 spctl --master-disable 명령을 수행한 프로세스 정보를 확인할 수 있으며, 전후 행위를 파악하여 악성 여부를 판단할 수 있도록 도와줍니다.
![[그림 13] Activator 악성코드 MITRE ATT&CK 탐지 화면](https://22120960.fs1.hubspotusercontent-na1.net/hubfs/22120960/%5B%EA%B7%B8%EB%A6%BC%2013%5D%20Activator%20%EC%95%85%EC%84%B1%EC%BD%94%EB%93%9C%20MITRE%20ATT%26CK%20%ED%83%90%EC%A7%80%20%ED%99%94%EB%A9%B4.png)
[그림 13] Activator 악성코드 MITRE ATT&CK 탐지 화면
3. Conclusion
○ Genian EDR은 MITRE ATT&CK을 기반으로 다양한 사이버 공격 전술 및 기술을 탐지할 수 있습니다. Genian EDR을 통해 macOS 환경에서 방어를 회피하기 위한 공격자들의 악성 행위를 탐지할 수 있으며, 해당 이벤트에 태깅된 MITRE ATT&CK 을 통하여 공격 흐름을 파악하고 신속하게 대응할 수 있도록 도와줍니다.
○ 또한, 검색 필터의 MITRE ATT&CK분류를 통해 Tactic 및 Technique 기준으로 의심스러운 이벤트를 확인할 수 있습니다. 이를 통해 각 단말들의 전체적인 위협 현황을 쉽게 파악하고 신속하게 대응할 수 있습니다.
![[그림 14] Genian EDR 이벤트 조사 화면-1](https://22120960.fs1.hubspotusercontent-na1.net/hubfs/22120960/%5B%EA%B7%B8%EB%A6%BC%2014%5D%20Genian%20EDR%20%EC%9D%B4%EB%B2%A4%ED%8A%B8%20%EC%A1%B0%EC%82%AC%20%ED%99%94%EB%A9%B4-1.png)
[그림 14] Genian EDR 이벤트 조사 화면
![[그림 15] Genian EDR 위협 관리 화면-1](https://22120960.fs1.hubspotusercontent-na1.net/hubfs/22120960/%5B%EA%B7%B8%EB%A6%BC%2015%5D%20Genian%20EDR%20%EC%9C%84%ED%98%91%20%EA%B4%80%EB%A6%AC%20%ED%99%94%EB%A9%B4-1.png)
[그림 15] Genian EDR 위협 관리 화면
4. Reference
- macOS Matrix | MITRE ATT&CK®
- I see what you did there: A look at the CloudMensis macOS spyware
- 한국내 macOS 이용자를 노린 APT37 공격 등장
- Infect If Needed | A Deeper Dive Into Targeted Backdoor macOS.Macma
- Cracked software beats gold: new macOS backdoor stealing cryptowallets
글쓴이. 송관용
지니언스 GSC(Genians Security Center)에서 위협 분석을 담당하고 있습니다.
