보안 연구원이 밝힌 바에 따르면, '백그라운드 태스크 매니저'를 통한 Mac 악성 소프트웨어 감지는 쉽게 우회될 수 있다고 합니다.

지난해에 이 방어 기능이 추가되었으나, 이 보안 연구원은 이를 우회하는 것이 간단하다며 애플이 이에 대한 수정에 대해 제안한 권고사항을 따르지 않았다고 말했습니다.

패트릭 워들은 Defcon 해커 컨퍼런스에서 이러한 연구 결과를 발표하였으며, 이번 발표는 애플에 사전 통보 없이 진행되었습니다…

Mac 악성 소프트웨어에 대한 애플의 3단계 보호 시스템

애플은 Mac을 악성 소프트웨어로부터 보호하기 위해 3단계 시스템을 갖고 있습니다.

첫째, 악성 소프트웨어 설치를 방지하려고 합니다. 이를 위해 Mac App Store에서 앱을 심사하고, 다른 앱들은 모두 인증된 개발자에 의해 서명되도록 Gatekeeper와 Notarization을 사용하여 진행합니다.

둘째, 이 단계를 통해 악성 소프트웨어가 통과한 경우, XProtect를 사용하여 악성 소프트웨어를 인식하고 실행을 차단합니다.

macOS에는 XProtect라는 이름의 내장형 백신 기술이 포함되어 있습니다. 이 기술은 악성 소프트웨어의 시그니처 기반 감지와 제거를 위해 사용됩니다. 시스템은 YARA 시그니처를 사용하여 악성 소프트웨어의 시그니처 기반 감지를 실시하는 도구를 사용하며, 애플은 이를 정기적으로 업데이트합니다. 애플은 새로운 악성 소프트웨어 감염 및 변종을 모니터링하며 시그니처를 자동으로 업데이트하여 맥을 악성 소프트웨어 감염으로부터 방어합니다. XProtect는 알려진 악성 소프트웨어의 실행을 자동으로 감지하고 차단합니다.

셋째, 악성 소프트웨어가 이미 실행되었더라도, 이후에 다시 실행되는 것을 방지하려고 합니다. 애플은 새로운 지속적인 작업의 설치를 찾아내고 맥에서 실행 중인 사용자 및 제3자 보안 도구에 알립니다. 많은 합법적인 앱이 지속적인 작업을 생성하므로 Mac App Store에서 새로운 앱을 설치하거나 신뢰할 수 있는 개발자로부터 알림을 받으면 걱정할 필요가 없습니다.

백그라운드 태스크 매니저

일부 악성 소프트웨어는 한 번 실행되어 개인 데이터를 훔치고 나서 종료됩니다. 그러나 가장 위험한 유형의 악성 소프트웨어는 계속해서 살아있는 유형입니다. 이 유형의 악성 소프트웨어는 지속적으로 사용자 활동을 모니터하고, 공격자의 서버로부터 새로운 요소를 다운로드 하는 등 여러가지를 할 수 있습니다.

애플은 이를 감지하기 위해 새로운 지속적인 작업의 설치를 찾아내고, 맥에서 실행 중인 사용자 및 제3자 보안 도구에게 알립니다. 많은 합법적인 앱들이 지속적인 작업을 생성하기 때문에, Mac App Store에서 새로운 앱을 설치하거나 신뢰할 수 있는 개발자로부터 앱을 설치한 경우 이 경고를 받아도 걱정할 필요가 없습니다.

하지만 만약 경고가 어디에서나 갑자기 나타나면, 이는 당신의 맥이 침해당했을 가능성이 있는 신호입니다.

하지만 간단하게 우회될 수 있습니다.

보안 연구원 패트릭 워들은 작년에 이 방법이 작동하는 방식에 대한 여러 결함을 애플에 알렸습니다. 그는 이런 유형의 보호를 구현하는 과제에 대한 지식이 있었기 때문에 이전에 동일한 작업을 수행하는 자체 도구를 만들었었습니다.

그러나 그는 Wired에 말하길, 애플은 그가 회사와 논의한 더 근본적인 문제에 대한 대응을 하지 못했다고 말했습니다.

백그라운드 태스크 매니저가 처음 등장했을 때, 워들은 지속성 이벤트 알림이 실패하는 더 기본적인 문제를 발견했습니다. 그는 애플에 이를 보고하고, 회사는 해당 오류를 수정했습니다. 그러나 회사는 도구에 보다 깊은 문제가 있음을 이해하지 못했습니다. “우리는 계속해서 논의를 했고, 결국 그 문제를 해결했지만 어디까지나 임시방편이며 마치 비행기 충돌을 박스테이프로 막는 것과 비슷한 수준입니다.” 워들은 말합니다. “애플은 결국 더 많은 작업을 필요로 한다는 것을 깨달지 못했습니다.”

백그라운드 태스크 매니저 우회 방법 공개

일반적으로, 애플은 문제를 수정한 후에 해당 취약점에 대한 세부 정보를 공유할 것입니다. 그러나 이 경우에는 애플이 이를 수정할 의향이 없어 보이므로, 그는 Defcon 해커 컨퍼런스에서 발견한 우회 방법을 공유하기로 결정한 것입니다.

이 중 하나는 대상 Mac에 루트 액세스가 필요하지만, 두 가지는 그렇지 않습니다.

워들은 백그라운드 태스크 매니저가 사용자와 보안 모니터링 제품에 보내는 지속성 알림을 해제하기 위해 루트 액세스가 필요하지 않은 두 가지 경로도 찾았습니다.
이 중 하나는 경고 시스템이 컴퓨터 운영 체제의 핵심인 커널과 통신하는 방식에서 버그를 이용한 것이고, 다른 하나는 깊은 시스템 권한이 없는 사용자들도 프로세스를 중단시키도록 허용하는 능력을 활용한 것입니다.
워들은 이 능력을 조작하여 지속성 알림이 사용자에게 도달하기 전에 방해할 수 있다는 것을 발견했습니다.

워들은 이 방법을 선택한 이유는 현재 백그라운드 태스크 매니저가 Mac 악성 소프트웨어에 대한 보호의 허상적인 감각을 제공하고 있다고 생각하는 사용자 및 보안 회사에게, 이미 이런 측면의 보호가 이미 이루어진 것으로 생각할 수 있기 때문입니다.