posted by Kwan's 2012. 5. 20. 02:10

 

Mac을 타깃으로 공격하는 파이썬(Python)기반의 맬웨어, Windows PC도 공격

소포스랩의 전문가들이 Mac과 Windows 컴퓨터 모두를 타깃으로 하는 새로운 맬웨어 공격을 확인하였는데, 그 맬웨어는 60만 대의 Mac을 공격하기 위해 Flashback 봇넷을 허용했던 그 Java 시큐리티 취약성을 악용한 것입니다.

감염된 웹페이지를 방문한 인터넷 사용자들은 그들 컴퓨터에 악성 소프트웨어를 다운로드 하는Java 익스플로잇을 통해 감염될 위험에 처해 있다는 것을 스스로 알아야 합니다.

최신 맬웨어 공격은 더 많은 악성 코드를 컴퓨터에 다운로드하는 Java 취약성을 악용합니다.(소포스 제품들은 그런 공격들을 Mal/20113544-AMal/JavaCmC-A로 감지합니다.)

Note: Windows, Linux, Unix 컴퓨터에 대해서는 2월 14일부터 적용 가능하고 몇몇 Mac 사용자들에 대해서는 4월 초부터 적용 가능한 Java 취약성에 대해 패치하십시오. 불행히도, Apple은 10.6버전(Snow Leopard)까지 Mac OS X 이전 버전을 운영하고 있는 사용자들에 대해서는 Java 시큐리티 업데이트를 발표하지 않았는데, 그 말은 그 사용자들은 방어하지 못하는 상태로 남아있다는 의미입니다. 아마도 Apple은 그들이 Mac OS X 이후로 업데이트 하기를 원하는 것 같습니다.

따라서, 아직도 몇몇 사용자들은 Java 취약성에 대해 그들의 컴퓨터를 패치 하지 않아 공격 위험에 처해 있습니다.

악성 Java 코드는 더 많은 코드를 감염된 컴퓨터에 다운로드 하는데, 그들이 사용하는 OS가 무엇인지에 따라 다릅니다. Windows에서는 다운로드 된 파일이 소포스 제품에 의해 Mal/Cleaman-B로 감지될 것이고, Mac OS X에서는 다운로드 된 파일(install_flash_player.py)이 OSX/FlsplyDp-A로 감지될 것입니다.

하지만 이것이 전부가 아닙니다.

다운로드 된 프로그램은 더 많은 악성 코드를 설치할 텐데, 그 악성코드는 Windows 컴퓨터에는 Troj/FlsplyBD-A 백도어 트로이목마를 다운로드하고, Mac OS X에는 install_flash_player.py에서 압축해제된 update.py라 불리는 파이썬(Python) 스크립트를 해독합니다.

파이썬 스크립트는 원격지에 있는 해커들이 비밀리에 명령을 보내도록 허용하고, 컴퓨터에 코드를 업로드하고, 사용자에게 알리지 않고 파일을 훔치고 명령을 실행하는 Mac OS X 백도어처럼 활동합니다.

소포스 제품은 그 마지막 파이썬 스크립트를 OSX/FlsplySc-A.으로 감지합니다.

이번 공격은 초기의 Flashback 공격과는 차이가 좀 있어서, 다른 사이버범죄단들이 Mac 컴퓨터를 감염시킬 가능성을 살펴보는 것일 수도 있습니다.

분명히, 그 스크립트를 누가 작성 했더라도 단서가 남아 있어서 그것들은 향후에 그들의 공격 코드를 발전시킬 수 있습니다.

물론 감염을 찾아내는 가장 쉬운 방법은 안티 바이러스 제품을 최신 상태로 유지하는 것이지만, 만약 여러분이 여러분의 Mac 컴퓨터가 이 백도어 트로이목마에 의해 감염되었는지 확인하기 위해 직접 Mac을 체크하길 원한다면, 여기 신속한 방법이 있습니다.:

/Users/Shared/ 를 검사하고 update.sh 와 update.py 라는 파일을 살펴보십시오.

update.sh는 파이썬 스크립인 update.py를 실행시킬 쉘(Shell) 스크립트이며, 이 파일들은 안전하게 삭제시킬 수 있습니다.

사실 여러분이 최신 안티 바이러스 제품들을 사용해야 하는 것은 말할 필요도 없고, 보안 패치를 최신으로 유지해야 합니다.

비록 Windows 사용자들이 일반적으로 안티 바이러스 제품 운영을 꽤 잘 하고 있을지라도, Mac 사용자들은 이제 막 필요성에 대해 관심을 기울이기 시작했습니다. 소포스는 홈 유저용 무료 Mac 안티바이러스를 가지고 있어서, 여러분이 생각만 하면 더욱 진심으로 여러분의 컴퓨터 보안에 시간을 투자할 수 있습니다.

댓글을 달아 주세요