macOS 에 대규모 감염이 가능한 멀웨어 OSX/Dok

OSX/Dok malware

Dok malware는 macOS의 실제 유효한 개발자 인증서로 위장해서, Mac에 정상적으로 설치되기 때문에 맥오에스 자체의 보안 기능을 우회하는  멀웨어이다. 정상적인 앱으로 시스템에 root certificate를 설치해서 네트워크 통신을 man-in-the-middle 공격을 통해 트래픽을 모두 볼 수 있닥 한다. 또한 SSL로 암호화한 HTTPS 통신도 볼 수 있다고 한다.



어떻게 전파되고 설치되는지?

세금환급 이메일로 'Document.zip' 이라는 압축파일을 다운하게 하고, 문서를 열면 악성코드가 macOS의 보안 기능 'Gatekeeper'를 우회해서 '/Users/Shared/' 폴더에 악성코드를 설치한다. 그리고 "COMODO RSA Extended Validation Secure Server CA 2" 라는 루트 인증서를 설치하고, 로그인 아이템에 "AppStore" 라는 앱을 추가한다. 그리고 OS X Update 가 필요하다는 멋진 화면의 경고를 보여주며, 패스워드 입력을 요구한다. 패스워드 입력으로 관리자 권한을 얻고 다크웹에서 명령 도구들을 다운로드하고 설치한다. 그리고  네트워크 설정에 프락시를 구성하게 된다.

위험성

man-in-middle 공격으로 SSL 통신이 프락시 서버에 고스란히 남겨지고, 결국 암호화되었다고 믿었던 모든 내용을 보게 된다.

내 맥에 설치되었는지 확인은?

기사 OSX/Dok malware에 대해 알아보기 (영문)에 맥에 설치된 경우 확인과 탐지하는 방법과 제거 방법을 알려주고 있다.


1. 시스템 환경설정에서 '네트워크' 설정을 열고

현재 사용중인 네트워크 인터페이스를 선택하면 '고급' 버튼을 누르면 여러개의 탭 중에서 "Proxies" 탭에 그림 같이 자동 프록시가 구성되어 있으면 의심해야 한다.


 

2. LaunchAgents 확인


위 프락시가 사용하기 위해 시스템 시작시에 두 개의 시작 아이템이 실행된다. 다음 경로에 파일이 있으면 삭제한다.

  • /Users/User_ID/Library/LaunchAgents/com.apple.Safari.proxy.plist
  • /Users/User_ID/Library/LaunchAgents/com.apple.Safari.pac.plist

3. COMODO RSA Extended Validation Secure Server CA 2

키체인 접근 앱에 의심스러운 루트 인증서가 설치된다. "COMODO RSA Extended Validation Secure Server CA 2" 라는 이름으로 설치된다. 만약에 이런 이름이 있다면 삭제한다.



"COMODO RSA Extended Validation Secure Server CA 2" 의 발급 내역은 아래 그림같다. (이미지: http://www.idownloadblog.com)



댓글

댓글 쓰기

이 블로그의 인기 게시물

Raspberry Pi에서 OpenAuto 로 Android Auto 사용하기 Wow!!!

이미지
라즈베리파이에서 안드로이드 오토를 터치스크린으로 사용하는 CrankShaft 프로젝트가 재미있어 보인다. 기사 원문:  Crankshaft Raspberry Pi Android Auto Head Crankshaft 는 라즈베리파이에서 터치스크린으로 안드로이드 오토 헤드를 사용하는 프로젝트이다. 라즈베리파이에서 안드로이드 오토 헤드 (출처: https://www.geeky-gadgets.com) OpenAuto Project  는 라즈베리파이에서 AndroidAuto 헤드유니트 에뮬레이터이다. 라즈베리파이에서 USB-C 로 연동된다. 지원되는 기능: 480p, 720p and 1080p with 30 or 60 FPS RaspberryPI 3 hardware acceleration support to decode video stream (up to 1080p@60!) Audio playback from all audio channels (Media, System and Speech) Audio input for voice commands Touchscreen and buttons input Bluetooth Automatic launch after device hotplug Automatic detection of connected Android devices Wireless (WiFi) mode via head unit server (must be enabled in hidden developer settings) User-friendly settings 아래 동영상 참조 이것을 활용한 프로젝트가 Huan Truong 이 개발한 CrankShaft 이다.
계속 읽기

Pi Jack - Raspberry Pi Power HAT

이미지
Pi Jack Pi Jacak 은 Raspberry Pi 2, 3 그리고 Zero에 6~28V 전원을 제공할 수 있다. 또한 HAT 형식으로 GPIO 를 통해 연장된다. Pi Jack / Raspberry Pi Zero Pi Jack / Raspberry Pi Model B 외부 전원 6V~28V 전원을 사용할 수 있다는 것에 장점이 있겠다.  - 자동차, 벽전원 등에서 6V~28V Adapter 사용 최대 1.7A 를 제공  - 3.5mm Jack, 추가적인 외부 전원 포트 Pi Jack layout 이 제품은 Raspberry Pi 가 중심이 되는 IoT 블록에 전원을 제공해야 하는 경우 유용하다. Omzlo platform 같은 대규모 Raspberry Pi <--> Arduino node 사이를 구성하는데 충분한 전력을 제공할 수 있다고 한다.
계속 읽기

브라우저 시크릿 창을 사용하면 문을 잠그는 아두이노 잠금 장치!!!

이미지
Useless Duck Company의 CEO Mike는 정말 기발한 생각을 가지고 아이디어를 실현하는 사람 같다. 회사 이름에서 보듯이 제품이 발랄하다 ㅎㅎ 기사원문: This genius built a door lock Incognito Locker 흔적을 남기지 않고 인터넷 서핑을 하고 싶은 경우 사용하는 '시크릿 창' Incognito mode는 캐시, 쿠키를 남기지 않고 브라우저를 사용하게 해준다. 이 Incognito Lock을 방문에 설치해 두면 사용자가 시크릿 창을 사용하면 방문을 잠가 준다. 유튜브 동영상: Incognito Lock은 아두이노와 컴퓨터를 연결해서 간단하게 사용할 수 있도록 디자인 되었다. 그리고 개발이자 CEO인 Mike는 기념일에 대비하기 위해 비자금 지출을 위해 인터넷 쇼핑을 몰래 사용하려고 할 때 Inconito Lock을 사용하면 좋지 않을까? 라는 생각에서 제품을 생각했다고 한다. 그렇지만 시크릿 창 모드... 여러 용도로 활용하지 않나? 싶다. 이 회사 제품에 관심이 있으면 https://twitter.com/uselessduck 를 친구 삼으면 된다. Let's think. 처음 제품 영상을 봤을 때는 회사 이름 처럼 "오... 유즈리스..." 라는 느낌도 받았다. 그런데 가만히 생각해 보니, 나도 그렇고 아이들도 그렇고 혼자만의 인터넷 이용이  필요하고, 다른 사람의 간섭이 없으면 할 때 유용하다 싶다. 반대로 현과문이 열리면 Ingonito Browser가 동작되면 어떨까 하는 생각도 든다. 다만,,, 브라우저만 바라보지 않고 웹 툰과 동영상을 보고 있다는 점도 고려해야 한다.
계속 읽기