"iOS와 OS X 악성코드의 새로운 시대" 애플 운영체제만 노리는 중국발 신종 악성코드 '와이어러커' 기승

2014. 11. 8. 13:19    작성자: ONE™

애플 운영체제만을 전문으로 노리는 중국발 '와이어러커(WireLurker)' 악성코드 때문에 애플 커뮤니티가 들썩이고 있습니다.

그동안 iOS는 악성코드에 상당히 안전한 운영체제로 알려져 왔습니다. 이는 애플이 앱스토어 심사를 통해 악성코드가 심어져 있는 앱 설치를 사전에 차단했고, 설령 심사를 통과하더라도 앱에 최소한의 권한만을 주는 샌드박스 구조 때문에 내부 시스템 접근이 원천적으로 막혀 있기 때문입니다. 샌드박스 구조를 무장해제시키는 탈옥 기기를 목표로 하는 악성코드가 나온 적은 있지만, 순정 아이폰에서는 악성코드가 문제시 될 가능성은 무척 낮았던 것이 사실입니다.

그런데 다름 아닌 사용자 본인의 맥 컴퓨터를 숙주로 활용해 iOS 기기를 감염시키는 새로운 형태의 악성코드가 발견됐습니다.

맥과 아이폰을 USB 케이블(와이어)로 연결하면 감염된다고 해서 ‘와이어러커(WireLurker)’라는 이름으로 명명되었는데, 아이폰에 직접 악성코드를 설치하기 어려우므로 상대적으로 자유롭게 앱을 설치할 수 있는 맥을 역이용한 악성코드입니다.

미국의 IT 보안 업체 '팔로알토네트웍스(Palo Alto Networks)'는 애플의 운영체제를 전문으로 노리는 와이어러커 악성코드가 중국 사설 앱스토어를 중심으로 빠르게 확산되고 있다고 지난 5일 발표했습니다. 유료 앱과 게임을 불법으로 유통하는 '마이야디(Maiyadi)' 등의 중국 앱스토어에서 앱을 내려받은 후 맥에서 실행하면 이 악성코드가 iOS 운영체제에 직접적인 영향을 미친다는 것입니다.

맥 운영체제도 샌드박스 정책이 기본적으로 적용돼 있지만, 맥 앱스토어가 아닌 외부 응용 프로그램도 설치가 허용됩니다. 이런 점을 악용해 맥에 숨어 들어간 악성코드는 사용자가 USB 케이블로 맥에 아이폰이나 아이패드를 연결할 때를 노려 사용자의 통화기록이나 주소록 등의 개인정보를 빼내간다고 알려져 있습니다.

* Flickr - Stephan Geyer

기관에 따르면 마이야디에서 공짜로 내려받을 수 있던 맥용 심즈3나 프로 에볼루션 사커 2014등의 게임을 포함해 다수의 앱에 와이어러커가 심어져 있었으며, 지난 6개월 동안 이러한 감염된 애플리케이션은 무려 35만건 이상 다운로드 된 것으로 추정된다고 발표했습니다. 또 이로 인해 수백, 수천만 건의 피해 사례가 예상된다는 분석을 내놨습니다.

이미 애플도 어제 이번 사태에 대한 공식 성명을 발표했습니다. 

우선 맥 운영체제에 와이어러커가 침투할 수 없도록 XProtect 업데이트를 실시했으며, 또 사용자들이 애플이 관리하는 맥 앱 스토어가 아닌 서드파티 앱 스토어의 사용을 자제할 것을 권고하고 있습니다. 유료 앱이나 게임이 공짜로 제공된다는 이유로 신뢰도가 떨어지거나 미심쩍은 앱 스토어를 사용하면 위험하다는 것입니다.

팔로알토네트웍스측은 와이어러커 악성코드에 대해 기존에 나왔던 악성코드와는 확연히 다르다며, 코드 구조가 매우 복잡하고 자체 암호화 기능을 갖고 있어 스스로 발견되지 않게끔 하는 기능을 갖추고 있으므로 애플이 내놓은 패치를 우회할 가능성이 높아 앞으로도 악성코드로 인한 피해사례가 점차 늘어날 것이라고 주장했습니다.

그와 함께 아직까지 모바일 기기에서 정보를 수집하는 선에 머물러 있지만 앞으로 꾸준히 진화해 나갈 것으로 예상돼 "이제 애플 데스크톱과 모바일 운영체제도 바이러스에서 자유로울 수 없는 새로운 시대가 열리게 됐다"고 우려를 표명했습니다.

와이어러커 감염 여부 진단 및 현재 알려진 치료 방법

맹위를 떨치고 있는 와이어러커를 치료하는 방법이 전혀 없는 것은 아닙니다. 팔로알토네트웍스측이 공개한 방법인데요, 모든 맥용 응용 프로그램의 리소스(Resources) 폴더를 검사해 악성코드 유무를 판별하는 스크립트를 실행하는 방법입니다. 파이썬으로 제작된 이 스크립트는 허브 사이트에 소스코드가 등록돼 있습니다.

1. 응용 프로그램 ▸ 유틸리티 폴더에 있는 '터미널'을 실행하고 다음 curl 명령어를 이용해 깃허브에서 스크립트를 내려받습니다. ▼

curl -O https://raw.githubusercontent.com/PaloAltoNetworks-BD/WireLurkerDetector/master/WireLurkerDetectorOSX.py

2. 이후 다음 명령어로 스크립트를 실행하고 결과를 기다립니다. 설치된 응용 프로그램 수에 따라 수~수십 분가량 걸릴 수 있습니다. ▼

python WireLurkerDetectorOSX.py

3. 감염이 확인되지 않는 경우는 화면에 다음과 같은 코멘트가 표시됩니다.

[+] Your OS X system isn't infected by the WireLurker. Thank you!

* 이상이 없으면 터미널을 종료하고 사용자 홈 폴더에 설치된 스크립트를 삭제합니다. ▼

4. 반대로 감염이 확인된 경우는 다음과 같은 경고문을 표시한다고 합니다.

[!] WARNING: Your OS X system is highly suspicious of being infected by the WireLurker.
[!] You may need to delete all malicious or suspicious files and/or applications above.
[!] For more information about the WireLurker, please refer:
http://researchcenter.paloaltonetworks.com/2014/11/wirelurker-new-era-os-x-ios-malware/

5. 악성코드가 발견된 경우 해당 앱을 삭제하고 악성코드가 생성한 다음과 같은 설정 파일을 시스템에서 몽땅 삭제합니다.

/Users/Shared/run.sh

/Library/LaunchDaemons/com.apple.machook_damon.plist
/Library/LaunchDaemons/com.apple.globalupdate.plist

/usr/bin/globalupdate /usr/local/machook/
/usr/bin/WatchProc
/usr/bin/itunesupdate

/Library/LaunchDaemons/com.apple.watchproc.plist
/Library/LaunchDaemons/com.apple.itunesupdate.plist

/System/Library/LaunchDaemons/com.apple.appstore.plughelper.plist
/System/Library/LaunchDaemons/com.apple.MailServiceAgentHelper.plist
/System/Library/LaunchDaemons/com.apple.systemkeychain-helper.plist
/System/Library/LaunchDaemons/com.apple.periodic-dd-mm-yy.plist

/usr/bin/com.apple.MailServiceAgentHelper
/usr/bin/com.apple.appstore.PluginHelper
/usr/bin/periodicdate
/usr/bin/systemkeychain-helper
/usr/bin/stty5.11.pl

6. 맥이 와이어러커에 감염되어 있는 경우 사용자의 iOS 기기도 감염되어 있을 가능성이 높아 기기를 재설정해야 합니다. 우선, 아이클라우드 백업을 이용하여 iOS의 모든 설정을 아이클라우드에 백업합니다. 맥용 아이튠즈를 사용하여 백업할 경우 악성코드에 영향을 받는 코드가 잔존할 수 있기 때문입니다. ▼

7. 계속해서, 설정 앱 ▸ 일반 ▸ 재설정의 "모든 콘텐츠 및 설정 지우기"를 선택하여 기기를 초기화시킵니다. ▼

8. 그와 함께, 아이튠즈 보관함에 있는 iOS용 앱도 모두 삭제하고 아이튠즈 앱스토어에서 새로 내려받습니다.

9. 이후 아이클라우드 백업 데이터를 사용해 iOS 기기를 복원합니다. 

*이 외에 와이어러커 악성코드에 대해 더 자세히 알고 싶은 분은 팔로알토네트웍스의 깃허브 페이지와 "iOS와 OS X 악성코드의 새로운 시대(A New Era in iOS and OS X Malware)" 보고서를 참고하시기 바랍니다.



참조
Palto Alto Networks - WireLurker: A New Era in iOS and OS X Malware
9to5mac - Apple blocks WireLurker malware apps from opening...

관련 글
• 'OS X 요세미티' 관리자 권한 탈취하는 심각한 보안 취약점 발견
• 애플, 맥을 대상으로 하는 악성코드 'iWorm'에 대한 보안 업데이트 실시
• 잘 알려지지 않은 OS X 보안 체계의 한 기둥 'XProtect'
• 맥용 안티바이러스 제품 18종 벤치마크 테스트 결과

    
  1. 이전 댓글 더보기
  2. Blog Icon
    헤어포스원짱

    불법 앱 사용에 대한 책임은 기본적으로 사용자가 져야 하는 것이라고 봅니다. 이걸 시스템 책임으로 돌리면 안되죠.

  3. Blog Icon
    BlogIcon L

    맞습니다. 그냥 애플이 하라는데로 하기만 하면 바이러스에 감염될 일이 거의 없다고 봅니다.

  4. Blog Icon
    zatoichi

    다행히 제 맥은 무사하네요~

  5. Blog Icon
    emosion

    저두 다행이 이상무~!!

    이제 슬슬 백신 프로그램 깔아야 하나;;

  6. Blog Icon
    네코무라

    간간이 잊지말고 검사를 해봐야겠네요. 고맙습니다.

  7. Blog Icon
    돼지털스

    저도 다행히 없다고 나오네요... 이제 맥도 조심해야 할듯 합니다.

  8. Blog Icon
    SKY

    다행히 제 맥북프로는 깨끗하네요... 감사합니다.^^

  9. Blog Icon
    johny

    python WireLurkerDetectorOSX.py 입력했는데..


    File "WireLurkerDetectorOSX.py", line 2
    <?xml version="1.0" encoding="utf-8"?>
    ^
    SyntaxError: invalid syntax


    라고 뜨는데 뭘까요?

  10. Blog Icon
    이현수

    감사합니다. 제 맥북은 없다고 나와서 아이폰은 스킵...

  11. Blog Icon
    h3r0

    뭔가 해서 봤더니... 역시나네요.

    ...결론은...

    ..그래봤자 트로이목마밖에 안되는 수준이라는거죠.

    물론 개인정보등을 빼간다는것이 심각하기는 하나.. 윈도우처럼 시스템을 파괴시키는 행위의 악성코드나 웜바이러스와 같이 자신을 복제해 네트워크로 전파되어 전체적인 네트워크/시스템에 악영향을 끼치는 악성코드는 맥에서 안된다는 반증이기도 합니다.

    예전에 맥을 타겟으로 한 트로이목마의 코드를 까보니 그 코드 속에 해커의 절규가 담겨 있는 주석이 있었다죠.

    트로이목마 외에는 그 어떤 악의적인 행위를 하기가 불가하다면서... ㅎㅎㅎ

  12. 저도 검사를 해봤는데 깨끗하다는 메시지를 받고 안심했습니다. ^^

    윈도우에서도 그렇지만 맥을 쓰면서는 더더욱 앱스토어에서 다운 받은 것이나 정품 아니면 아예 사용도 하지 않고, 다른 경로로 구할 생각도 하지 않기 때문에 그럴 것이라 짐작은 했지만요.
    역시 최고의 보안은 사용자의 마음 가짐이라고 생각합니다.

  13. Blog Icon
    Brad7000ft

    저도 안심이군요. 뭐 하긴 조금만 수상해도 맥을 재설치해버리니...ㅋ

  14. Blog Icon
    samdol

    좋은 정보 감사합니다.
    저도 터미널 실행해서 확인했더니 다행하게도 이상은 없네요.
    그나저나 이제는 맥용 백신 설치를 고려해봐야 할 시기가 온거 같습니다.
    어떤게 좋을까요? 맥은 아예 이쪽으론 관심을 둔적이 없어서…
    추천 부탁드립니다.

  15. Blog Icon
    우엉

    좋은 팁 감사합니다! 다행히 감염이 안되었다고 나오네요.

  16. Blog Icon
    정품

    결국 정품만 쓰면 별 문제는 없을거란 얘기 아닌가요?

  17. Blog Icon
    우와

    이상없네요 감사합니다

  18. 정돌이여서 그런지 다행히 깨끗하다고 나오네요.
    맥이 절대 완전한 건 아니지만, 윈도우처럼 OS를 못써먹게 만드는 녀석들이 거의 없다는 것은 좋은 것 같습니다.
    그러나 요즘 맥 유저가 늘어서인지, 이런 악성코드가 증가하는 걸 보면 뭔가 기쁘기도 하면서 씁쓸하기도 하군요.
    몇년 지나면 맥도 윈도우처럼 백신이 필수가 되는 시대가 도래할 지도 모르겠습니다.
    좋은 건지 나쁜 건지... ㅎㅎ

  19. Blog Icon
    pencil warrior

    이상 없네요. 좋은 정보 감사합니다!

  20. Blog Icon
    김정현

    저는 왜 아무것도 실행이 안될까요..위에 사이트 들어가서 뭐 다운받아야하나요?

  21. Blog Icon
    peter kim

    어쩌죠? 전 감염되었네요.
    [!] Found malicious file: /usr/local/machook/
    [!] Found malicious file: /usr/bin/com.apple.MailServiceAgentHelper
    [!] Found malicious file: /usr/bin/com.apple.appstore.PluginHelper
    [!] Found malicious file: /usr/bin/periodicdate
    [!] Found malicious file: /usr/bin/systemkeychain-helper
    [!] Found malicious file: /usr/bin/stty5.11.pl
    [+] Scanning for known suspicious files ...
    [!] Found suspicious file: /etc/manpath.d/
    [+] Scanning for infected applications ... (may take minutes)
    [-] Nothing is found.
    [!] WARNING: Your OS X system is highly suspicious of being infected by the WireLurker.
    [!] You may need to delete all malicious or suspicious files and/or applications above.

    어떻게 저기 있는 파일을 지우죠? 저런 폴더는 아무리 찾아봐도 나오질 않아서...

  22. Blog Icon
    peter kim

    파인더에서 cmd + shift + g 키를 누른 후 해당 폴더로 이동해 파일을 삭제하면 된다고 답글 적어두셨는데 이제야 봤에요..^^;

  23. Blog Icon
    박웅

    안녕하세요. 항상 잘 읽고 있습니다. ^^
    OSX가 최신버전이라 그런진 모르겠지만 위에 다운 받는 [curl -0 https://raw.githubusercontent.com/PaloAltoNetworks-BD/WireLurkerDetector/master/WireLurkerDetectorOSX.py]는 WireLurkerDetectorOSX.py 파일 내용이 나오는 듯 합니다.
    [curl -0 https://raw.githubusercontent.com/PaloAltoNetworks-BD/WireLurkerDetector/master/WireLurkerDetectorOSX.py >> WireLurkerDetectorOSX.py]로 하면 위 결과대로 다운 받는 결과 화면이 나오네요 ^^

    전 맥프로 구매한지 얼마 안되서 그런지 감염되지 않았네요 ㅎㅎ 감사합니당