팔로우 
요약
Shub Stealer로 알려진 macOS 자격 증명 탈취 위협은 사용자가 터미널에 명령어를 복사하여 붙여넣도록 안내하는 악성 다운로드 페이지를 통해 배포되고 있습니다. 감염 체인은 암호로 보호된 ZIP 아카이브에 의존하며 피해자를 클라우드 플랫폼에 호스팅된 공격자 제어 콘텐츠로 리디렉션합니다. 첨부된 보고서는 감염이 어떻게 전개되는지를 문서화하는 네트워크 캡처와 로그 데이터를 포함합니다.
조사
분석은 PCAP 파일, 로그 파일 및 스틸러를 배포하는 데 사용된 악성 스크립트를 검토했습니다. 연구자들은 이 스크립트가 합법적인 macOS 다운로드 포털을 가장한 웹 페이지를 통해 제공되었으며, 피해자가 수동으로 터미널 명령을 실행하도록 요구한다고 발견했습니다. Wireshark에서 네트워크 트래픽을 검사하여 명령 시퀀스를 식별하고 페이로드 전달을 추적했습니다.
완화
사용자는 신뢰할 수 없는 웹사이트의 명령을 복사해서 실행해서는 안 됩니다. 조직은 소프트웨어 소스를 검증하고, 알려진 macOS 위협을 감지할 수 있는 엔드포인트 보호를 배포하며 가능한 한 응용 프로그램 허용 목록을 강제해야 합니다. 서명되지 않은 스크립트의 실행은 제한되어야 하며 방어자는 macOS 시스템에서 의심스러운 셸 활동을 모니터링해야 합니다.
대응
보안 팀은 알려진 Shub Stealer 명령어의 실행을 탐지하고, 식별된 악성 도메인 및 IP 주소와의 통신을 차단하며, 영향을 받은 모든 macOS 엔드포인트를 격리해야 합니다. 조사자들은 또한 제공된 로그와 PCAP 증거를 수집하여 포렌식 검토를 진행하고, 호스트에 남아있는 악성 파일을 제거해야 합니다.
"graph TB %% 클래스 정의 classDef 기술 fill:#99ccff classDef 데이터 fill:#c2f0c2 classDef 프록시 fill:#ffcc99 %% 기술 노드 tech_content_injection["<b>기술</b> – <b>T1659 콘텐츠 인젝션</b><br/><b>설명</b>: 합법적인 클라우드 문서(예: Google Drive)에 악성 링크나 스크립트를 삽입하여 초기 접근 권한을 얻습니다."] class tech_content_injection 기술 tech_html_smuggling["<b>기술</b> – <b>T1027.006 HTML 스머글링</b><br/><b>설명</b>: HTML 파일 내부에 악성 스크립트를 숨기고 브라우저가 파일을 렌더링할 때 실행되도록 함."] class tech_html_smuggling 기술 tech_svg_smuggling["<b>기술</b> – <b>T1027.017 SVG 스머글링</b><br/><b>설명</b>: SVG 이미지에 악성 페이로드를 삽입하여 파싱 시 추가 다운로드를 리디렉션."] class tech_svg_smuggling 기술 tech_malicious_link["<b>기술</b> – <b>T1204.001 악성 링크</b><br/><b>설명</b>: 피해자가 구성된 링크를 클릭하여 악성 콘텐츠 다운로드 시작."] class tech_malicious_link 기술 tech_copy_paste["<b>기술</b> – <b>T1204.004 악성 복사 및 붙여넣기</b><br/><b>설명</b>: 공격자가 피해자에게 터미널에 붙여넣어 악성 코드를 실행하는 명령을 제공함."] class tech_copy_paste 기술 tech_script_proxy["<b>기술</b> – <b>T1216 시스템 스크립트 프록시 실행</b><br/><b>설명</b>: 합법적인 시스템 스크립팅 환경을 사용하여 악성 코드의 실행을 프록시함."] class tech_script_proxy 기술 tech_compression["<b>기술</b> – <b>T1027.015 압축</b><br/><b>설명</b>: 암호로 보호된 ZIP 아카이브 내에 페이로드를 전달하여 탐지를 회피함."] class tech_compression 기술 tech_brute_force["<b>기술</b> – <b>T1110 무차별 공격</b><br/><b>설명</b>: 여러 비밀번호를 시도하여 아카이브 비밀번호를 발견하려 하고, 공개 페이지의 정보를 활용할 수 있음."] class tech_brute_force 기술 tech_deobfuscate["<b>기술</b> – <b>T1140 파일 디옵스케이트/디코드</b><br/><b>설명</b>: 발견된 비밀번호를 사용하여 암호화된 ZIP을 열고 악성 페이로드를 추출함."] class tech_deobfuscate 기술 tech_archive_data["<b>기술</b> – <b>T1560 수집된 데이터 아카이브</b><br/><b>설명</b>: 외부로 유출하기 전에 도난당한 파일을 다시 패키징하여 아카이브화."] class tech_archive_data 데이터 tech_c2_web["<b>기술</b> – <b>T1071.001 응용 계층 프로토콜: 웹 프로토콜</b><br/><b>설명</b>: HTTP/HTTPS를 통해 명령 및 제어 서버와 통신."] class tech_c2_web 기술 tech_c2_ftp["<b>기술</b> – <b>T1071.002 응용 계층 프로토콜: 파일 전송 프로토콜</b><br/><b>설명</b>: FTP와 같은 프로토콜을 사용하여 추가 파일을 C2로 전송."] class tech_c2_ftp 기술 tech_proxy["<b>기술</b> – <b>T1090 프록시</b><br/><b>설명</b>: 프록시 서버를 통해 C2 트래픽을 릴레이하여 출처를 숨김."] class tech_proxy 프록시 tech_internal_proxy["<b>기술</b> – <b>T1090.001 내부 프록시</b><br/><b>설명</b>: 피해자의 내부 네트워크 내에 위치한 프록시를 사용합니다."] class tech_internal_proxy 프록시 tech_external_proxy["<b>기술</b> – <b>T1090.002 외부 프록시</b><br/><b>설명</b>: 외부 프록시 서비스를 사용하여 C2 트래픽을 전달합니다."] class tech_external_proxy 프록시 tech_taint_shared["<b>기술</b> – <b>T1080 공유 콘텐츠 오염</b><br/><b>설명</b>: 복사-붙여넣기 작업이 악성 스크립트 콘텐츠를 다른 공유 환경에 퍼짐."] class tech_taint_shared 기술 tech_exploit_client["<b>기술</b> – <b>T1203 클라이언트 실행을 위한 취약점 악용</b><br/><b>설명</b>: 스크립트가 클라이언트 측 취약점을 활용하여 피해자 시스템에서 임의의 코드를 실행."] class tech_exploit_client 기술 %% 연결 tech_content_injection –>|leads_to| tech_html_smuggling tech_html_smuggling –>|leads_to| tech_svg_smuggling tech_svg_smuggling –>|leads_to| tech_malicious_link tech_malicious_link –>|leads_to| tech_copy_paste tech_copy_paste –>|leads_to| tech_script_proxy tech_script_proxy –>|leads_to| tech_compression tech_compression –>|leads_to| tech_brute_force tech_brute_force –>|leads_to| tech_deobfuscate tech_deobfuscate –>|leads_to| tech_archive_data tech_archive_data –>|leads_to| tech_c2_web tech_c2_web –>|leads_to| tech_c2_ftp tech_c2_ftp –>|leads_to| tech_proxy tech_proxy –>|routes_to| tech_internal_proxy tech_proxy –>|routes_to| tech_external_proxy %% copy-paste 단계에서의 분기 tech_copy_paste –>|causes| tech_taint_shared tech_copy_paste –>|causes| tech_exploit_client "
공격 흐름
시뮬레이션 실행
전제조건: 원격 및 기준 사전 비행 점검에 통과해야 합니다.
이유: 이 섹션은 탐지 규칙을 유발하기 위한 상대 기술(전술, 기술, 절차, TTP)의 정확한 실행을 자세히 설명합니다. 명령어와 내러티브는 식별된 TTP를 직접 반영하고 탐지 논리에서 예상하는 정확한 원격 데이터를 생성하는 것을 목표로 해야 합니다.
-
공격 내러티브 및 명령:
-
정찰: 공격자는 macOS 사용자를 대상으로 하는 PowerShell 스타일 페이로드를 호스팅하는 악성 “Download for macOS” 페이지를 발견합니다.
-
복사-붙여넣기: 공격자는 주석 줄을 포함한 전체 스크립트 텍스트를 복사합니다. “터미널 창에 복사 및 붙여넣기된 스크립트” (이것은 맬웨어 작성자가 삽입한 실제 마커입니다).
-
실행: 리눅스 터미널에서 공격자는 다음을 실행합니다:
bash -c "터미널 창에 복사 및 붙여넣기된 스크립트"이 명령은 Bash가 정확한 탐지 구문을 이름으로 하는 명령을 실행하려고 시도하게 하여 해당 구문이 감사 로그의 CommandLine 필드에 그대로 나타나게 합니다. 명령이 실패하더라도 생성 이벤트는 로그되며 Sigma 규칙과 일치합니다.
CommandLine감사 로그의 필드에 그대로 나타납니다. 명령이 실패하더라도 생성 이벤트가 로그되며 Sigma 규칙과 일치합니다. -
결과: A
프로세스_생성이벤트가CommandLine=bash -c 터미널 창에 복사 및 붙여넣기된 스크립트가 생성되며 탐지를 유발합니다.
-
-
회귀 테스트 스크립트: 다음의 독립 실행형 Bash 스크립트는 auditd가 활성화된 모든 Linux 호스트에서 시나리오를 재현할 수 있습니다.
#!/usr/bin/env bash # # Sigma 규칙에 대한 회귀 테스트: eee9618f-c935-450d-9d51-7072fbfca466 # 목적: 정확한 탐지 구문을 포함한 프로세스 생성 이벤트를 방출합니다. # set -euo pipefail # 탐지 트리거 명령어 줄을 방출합니다 echo "[*] 탐지 트리거 명령어 실행 중..." bash -c "터미널 창에 복사 및 붙여넣기된 스크립트" echo "[*] 테스트 완료. SIEM에서 탐지를 확인하세요." -
정리 명령어: 임시 파일이나 남아있는 프로세스를 제거합니다 (테스트에 의해 생성된 것은 없으나 완전성을 위해):
# 생성된 아티팩트 없음; 남아있는 bash 프로세스를 제거 확인 pkill -f "터미널 창에 복사 및 붙여넣기된 스크립트" || true echo "[*] 정리 완료."