Wins blog

글로벌 정보보안 파트너! Global Security  No.1 윈스는 국가대표 정보보안 기업에서 글로벌 강소기업으로 도약합니다.

보안 정보

앞 내용 보기 다음 내용 보기
악성코드 정보2년동안 탐지되지 않은 macOS 타겟 Calisto 악성코드
작성일 2018-08-09 조회 337

 

Calisto Malware

 

 

 


최근 Kaspersky 연구원은 Proton macOS 악성코드 이전버전인 Kalisto 악성코드를 발견했습니다.
Proton macOS 악성코드가 활동하기 이전인 2016년 개발되어서 Virustotal에 업로드 되었지만, 2018년 5월까지 2년 가까이 탐지되지 않았습니다.

 


[https://securelist.com/calisto-trojan-for-macos/86543/]

 


분석 결과에 따르면, 이번에 발견된 샘플은 아직 개발중인 버전으로 Proton 악성코드와 동일한 기능을 가지고 있지 않았습니다.

 

과거 Proton 악성코드는 1,200$ ~ 822,000$ 의 가격으로 해킹포럼을 통해 판매되고 있었습니다.
2017년 5월 HandBrake 공식앱 감염을 시작으로 2017년 10월 Eltima Player까지 Proton 악성코드에 감염되어 유포되었습니다.


► 윈스블로그 참조 Elmedia Player Eltima을 통해 다시 확산되는 OSX Proton

[http://www.wins21.co.kr/blog/blog-sub-01.html?t=31&num=618])

 

 

 

 

• OSX/Backdoor.Calisto 분석

 

Calisto 감염시 Mac에 원격로그인이 가능하고, 화면 공유 기능을 지원합니다.
또한 워크스테이션에 백도어 루트 계정을 추가하고, 파일을 수집해 C&C에 전송합니다.

 

 

C&C 서버 접속 시도 Packet [https://securelist.com/calisto-trojan-for-macos/86543/]

 

 

사용자 워크스테이션에서 탈취하는 데이타는 다음과 같습니다.

user login/password window
network connection info
and Chrome history
bookmarks
cookies

 

하지만 Calisto는 2016년 이전에 개발되어 Apple SIP(System Integrity Protection) 보안 기능을 우회하지는 못합니다. 그러므로 사용자는 최신의 macOS 버전을 유지하고 SIP 기능을 활성화해 악성코드 감염으로부터 예방 할 수 있습니다.

 

SIP(System Integrity Protiect) 활성화 시 악성코드는 시스템 파일 수정이 불가능 합니다.
SIP에 대한 우회 코드는 탑재되어 있지 않으며, SIP가 비활성화 시에는 다음과 같은 행위를 시도합니다.

 

 /System/Library/ 폴더에 자신을 복사
 시작할 때 자동으로 실행되도록 설정
 DMG 이미지 마운트 해제 및 제거
 접근성에 자신을 추가
 시스템에 대한 추가 정보 수집
 시스템에 대한 원격 액세스를 가능하게 설정
 수집한 데이터를 C&C 서버로 전달

 


최근 확인된 샘플은 Intego社의 Mac Internet Security X9 설치 DMG 이미지 파일로 위장했습니다.

 


Calisto 악성코드 설치 DMG 이미지  [https://securelist.com/calisto-trojan-for-macos/86543/]

 

 

정상 Mac Internet Security X9 설치 DMG 이미지 [https://securelist.com/calisto-trojan-for-macos/86543/]
 

 

또한 추가로 발견된 기능으로 USB 장치 접근, OS 파괴 기능등이 포함되어 있었습니다.

 

 

사용자 시스템 파일 삭제 스크립트

 

 

 

• Wins Sniper 대응방안

 

Sniper-IPS

[4419] OSX/Backdoor.Calisto.120400
[4420] OSX/Backdoor.Calisto.120400.A

Sniper-UTM

[838861531] OSX/Backdoor.Calisto.120400
[838861532] OSX/Backdoor.Calisto.120400.A

Sniper-APTX

[3667] OSX/Backdoor.Calisto.120400
[3668] OSX/Backdoor.Calisto.120400.A

 

 

 

 

• 참조

 

https://securelist.com/calisto-trojan-for-macos/86543/

https://www.bleepingcomputer.com/news/security/researchers-discover-calisto-a-precursor-to-dangerous-proton-macos-malware/

첨부파일 첨부파일이 없습니다.
태그 Calisto  Proton