실버 스패로우: 미스터리한 목적의 새로운 맥 악성코드, 사용자들을 조용히 감염시키다
목차:
사이버 보안 분석가들은 야생에서 애플 사용자를 공격하는 정교한 악성코드 샘플을 발견했습니다. Red Canary, Malwarebytes, VMWare Carbon Black의 공동 연구에 따르면 자세히 약 153개국의 약 30,000대 이상의 호스트가 Silver Sparrow라는 새로운 위협에 의해 손상되었다고 합니다. 가장 높은 감염률은 미국, 캐나다, 프랑스, 영국, 독일에서 발견되었습니다.
현재 Silver Sparrow의 전달 방법은 알 수 없으며, 더욱 흥미로운 점은 악성 활동의 최종 목표가 아직 불확실하다는 것입니다. 하지만 보안 전문가들은 새로운 위협의 애플 M1 칩 타깃 능력, 새로운 회피 전술, 비정상적인 악성 행동 때문에 위협의 정교함을 지적합니다.
Silver Sparrow 설명
2021년 2월 현재, 보안 분석가들은 updater.pkg and updater.pkg 파일 이름으로 전달되는 두 가지 Silver Sparrow 변종을 발견했습니다. 두 변종은 기능적으로 비슷하며, 유일한 차이점은 updater.pkg Mach-O 바이너리를 포함하여 Intel x86_64 및 M1 ARM64 아키텍처를 모두 지원하며 updater.pkg Intel x86_64 아키텍처만 독점적으로 지원한다는 것입니다.
대부분의 기존 Mac 악성 소프트웨어 샘플이 명령을 실행하기 위해 재설치 또는 설치 후 스크립트에 의존하는 것과 달리, Silver Sparrow는 합법적인 macOS Installer JavaScript API를 악용합니다. 이는 다른 원격 분석을 생성하고 악성 활동을 분석하는 동안 연구원을 혼란스럽게 하여 위협이 탐지를 피할 수 있도록 하는 주목할만한 혁신입니다.
감염 시, Silver Sparrow는 JavaScript 기능을 사용하여 쉘 스크립트를 생성하고 운영자의 명령 및 제어(C&C) 서버에 연결합니다. 그런 다음 악성코드는 LaunchAgent Plist XML 파일을 생성하여 이러한 스크립트를 반복적으로 실행하고 유지 보수자로부터 새로운 명령을 기다립니다. 그러나 전문가가 검사한 샘플은 어떤 지시도 받지 못했습니다. 이는 결함있는 변종의 징후일 수도 있지만, 전문가들은 Silver Sparrow가 분석 감지를 피하기 때문에 2단계 실행 파일을 연구 대상 호스트에 전달하지 않는다고 추정합니다.
최종 목표 퍼즐 외에도, Silver Sparrow는 비정상적인 파일 검사를 수행합니다. 특히 악성코드는 ~/Library/._insu 의 디스크 존재 여부를 확인하고, 만약 확인되면 Silver Sparrow는 시스템에서 모든 파일을 삭제합니다. 이 검사의 목적은 현재 알려지지 않은 상태입니다.
Silver Sparrow의 정교함을 나타내는 또 하나의 지표는 애플의 최신 M1 칩을 사용하는 macOS 시스템과 호환된다는 것입니다. 이는 M1 ARM64 아키텍처를 지원하는 것으로 감지된 두 번째 위협 입니다. 이러한 혁신은 정적 분석을 크게 복잡하게 하고 바이러스백신 솔루션의 이 악성 변종에 대한 탐지율을 낮춥니다.
Silver Sparrow 탐지
2021년 2월 22일, 애플은 Silver Sparrow 제작자가 설치 패키지에 서명하는 데 사용하는 인증서를 폐기했습니다. 이를 통해 벤더는 추가적인 악성코드 전파로부터 사용자를 보호하고 새로운 감염을 차단합니다.
Silver Sparrow 악성코드와 관련된 가능한 악성 활동을 탐지하려면, SOC Prime 팀이 Threat Detection Marketplace에서 제공하는 독점적인 Sigma 규칙을 다운로드하십시오: https://tdm.socprime.com/tdm/info/abqGAiP8fz3K/fVpgzncBTwmKwLA9K4Q1/#rule-source-code
이 규칙은 다음 플랫폼에 대한 번역을 제공합니다:
SIEM: Azure Sentinel, ArcSight, QRadar, Splunk, Graylog, Sumo Logic, ELK Stack, LogPoint, Humio, RSA NetWitness, FireEye Helix
EDR: Carbon Black
MITRE ATT&CK:
전술: 실행
기술: 커맨드-라인 인터페이스 (T1059)
Threat Detection Marketplace에 대한 유료 접근이 없는 경우, 무료 체험판을 활성화하여 커뮤니티 구독하에 이 독점적인 Sigma 규칙을 잠금 해제할 수 있습니다.
Threat Detection Marketplace에 가입하여 CVE 및 MITRE ATT&CK® 프레임워크에 매핑된 95,000개 이상의 탐지 규칙, 파서, 검색 쿼리 및 기타 콘텐츠를 포함하는 업계 최고 수준의 SOC 라이브러리를 얻으세요. 콘텐츠 기반은 매일 300명 이상의 국제 보안 전문가의 공동 노력으로 풍부해집니다. 우리의 위협 수색 이니셔티브의 일부가 되고 싶으십니까? to reach an industry-leading SOC library containing 95,000+ detection rules, parsers, search queries, and other content mapped to CVE and MITRE ATT&CK® frameworks. The content base enriches every day with the joint efforts of our international community of 300+ security performers. Want to become a part of our threat hunting initiatives? Threat Bounty Program에 참여하세요!
