Gadi Evron의 객원 편집자 "Mac이 주류가 되고 있습니다"는 지난 2주 동안 Apple Mac OS X 사용자를 감염시키는 트로이 목마에 대해 읽을 때 본 캐치프레이즈 중 하나일 뿐입니다. 이 공격은 보안 영역에서 많은 논란을 불러일으켰습니다.
Gadi Evron의 객원 편집자
오늘날 대부분의 트로이 목마는 공격자가 감염된 컴퓨터를 원격으로(인터넷을 통해) 제어하고 원하는 모든 작업을 수행할 수 있도록 허용합니다. 웹 사이트 자격 증명과 ID를 훔치는 것부터 CD 트레이를 열거나 이제 손상된 컴퓨터를 더 많은 용도로 사용하는 것까지 그것은 그들 자신의 것이었습니다. 공격. 그들은 그 컴퓨터를 "소유"합니다.
과거에는 트로이 목마가 소수로 간주되었지만 대부분 표적 공격에 사용되었습니다(안티 바이러스 전문가 이를 탐지하기 위한 소프트웨어의 필요성조차 인정하지 않았습니다.) 지난 10년 동안 그들은 펼친. 실제로 오늘날 발견되는 모든 맬웨어의 대부분은 적어도 부분적으로는 트로이 목마입니다.
[ 보다: Mac 공격: 포르노 비디오가 DNS 체인저 트로이 목마를 유인합니다. ]
Apple 사용자를 공격하는 이 트로이 목마는 결코 특별하지 않습니다. DNS를 하이재킹합니다. Google과 같이 알려진 사이트의 도메인 이름에 액세스하면 추가 악용이나 사기가 발생할 수 있는 악성 웹 사이트로 리디렉션됩니다. 보안 전문가가 사회 공학이라고 부르는 방식을 통해 감염을 수행합니다. 음란물 웹 페이지로 이동하면 사용자에게 비디오를 보려면 코덱을 다운로드하라는 메시지가 표시됩니다. 그러면 관리자 비밀번호를 사용하여 설치를 승인하라는 메시지가 표시됩니다. 그러면 (그리고 그래야만) 감염될 것입니다.
이 감염 방법은 정교하지 않으며 완전한 바보만이 이에 빠질 것이라고 생각하게 만듭니다. 어떤 종류의 사운드든 비디오를 보려면 새로운 코덱을 다운로드하는 것이 매우 합리적이지 않습니까? 그것은 우리 대부분이 별 생각 없이 즉시 승인할 만한 것입니까? 대부분의 컴퓨터 사용자는 기술에 능숙하지 않거나 보안 위험을 인식하지 못한다는 점을 기억해야 합니다. 또한 솔직히 말해서 포르노에 관해서라면 우리 모두는 바보입니다.
사용자 감염은 다양한 방식으로 발생하지만 세 가지 주요 원인은 이메일의 악성 첨부 파일, 가짜이거나 손상된 감염성 웹 사이트, 네트워크 검색입니다. 이 중 첨부 파일을 열지 않고 스팸 필터링과 (업데이트된) 안티 바이러스를 사용하면 전자 메일의 보안 수준을 비교적 높은 수준으로 높일 수 있습니다. 방화벽을 사용하여 네트워크 검사를 통해 연결하고 운영 체제(예: Windows)가 모든 업데이트와 패치가 설치된 최신 상태인지 확인합니다.
[ 보다: 보안 공급업체를 정말로 신뢰할 수 있습니까? ]
웹 서핑은 웹 브라우저를 통해 우리를 감염시키기 위해 익스플로잇이 사용되기 때문에 문제가 됩니다. 완전히 패치된 운영 체제를 갖춘 최신 브라우저) 이러한 공격의 대부분은 동일한 사회 공학에 의해 성공적으로 수행됩니다. 장난.
다음 -->
악당, 더 정확히 말하면 사이버 범죄자는 수천 개의 웹 사이트를 이용해 최대한 많은 사람을 감염시킵니다. 이들은 사이트 방문자가 사용하는 운영 체제 및 브라우저, 공격에 성공한 공격(사용된 경우), 브라우저에 설정된 언어 등에 대한 통계를 수집합니다. 이런 식으로 그들은 목표 피해자 집단과 최대한 접촉함으로써 수익을 극대화할 수 있습니다.
과거에는 느슨한 보안 정책으로 인해 보안 전문가들의 지속적인 공격을 받았음에도 불구하고 Apple OS X 사용자는 Windows를 사용하는 Microsoft 사용자보다 훨씬 더 안전했습니다. OS X에는 사용자가 관리자 권한으로 실행하지 않는 등 Windows(Vista까지)에는 없는 보안 기능이 있지만 가정된 면역은 주로 Mac에 대한 과거의 공개 공격이 대부분 이론적이고 개념 증명에 기인합니다. 종류. 시대가 바뀌었고 Apple은 이제 x86 CPU(Windows와 동일)를 사용하므로 OS X 운영 체제용 악성 소프트웨어 작성이 훨씬 간단해졌습니다. 모호함은 더 이상 Mac 사용자를 보호할 수 없습니다.
[ 보다: 연구원 푸푸 Mac OS X Leopard 보안 ]
이 새로운 트로이 목마 공격에서는 본질적인 소프트웨어 취약점이 악용되지 않았지만 단순히 Mac을 피해자 풀에 추가한 사이버 범죄 그룹에 의해 저질러졌습니다. Windows 컴퓨터에서(Windows 브라우저 사용자 에이전트를 사용하여) 동일한 악성 웹 사이트에 들어가면 OS X 대신 Windows 트로이 목마가 표시됩니다.
사람들은 어떤 운영 체제를 사용하든 상관없이 분 단위는 아니더라도 매일, 매시간, 사회 공학적 계획에 빠져들고 있습니다.
그러나 이것이 이번 공격에서 중요한 것은 아닙니다. 중요한 점은 범죄 요소가 이제 Mac 사용자를 표적으로 삼고 있으며 일단 수문이 열리면 되돌릴 수 없다는 것입니다.
Apple은 Windows의 기록을 통해 알 수 있다면 나중에 클라이언트를 공격하는 데 잠재적으로 활용될 수 있는 패치되지 않은 소프트웨어 취약점의 기록을 가지고 있습니다. 대부분의 Mac 사용자는 바이러스 백신 소프트웨어를 실행하지 않습니다. Mac 사용자가 일반 사용자보다 똑똑한지 여부에 대한 기술-종교적 논쟁에 참여하지 않고(내 생각에는 어리석게도) 이러한 범죄 요소에는 수익 목표가 있으므로 지금부터 표적이 될 것이 분명합니다. 만나다.
최소한 많은 Apple 사용자는 자신이 사용하는 운영 체제에 대해 보안감을 갖고 있으며, 거짓이든 아니든 공격을 예상하지 않습니다. 이런 점에서 나는 OS X를 Windows 98과 비교하기까지 했습니다. "OS X는 새로운 Windows 98입니다." OS X는 보안이 더 뛰어나고 사용자가 관리자로 실행할 수 없도록 합니다. 이는 뛰어난 운영 체제입니다. 그렇다면 내가 왜 그렇게 조잡한 비교를 하는가? 패치되지 않은 취약점의 생태계, 무의식적인 사용자 집단을 표적으로 삼는 범죄 요소는 Windows 98이 출시되었을 때 Microsoft 사용자에게 발생했던 것과 비슷합니다. 한 가지 주요 차이점은 Apple이 처리해야 하는 패치되지 않은 취약점의 백로그입니다.
기업의 보안은 비즈니스 결정이 포함된 비즈니스 프로세스입니다. 비록 내 틈새 시장에 갇혀 있기는 하지만 과거의 보안과 관련된 Apple의 선택 중 일부는 만족스럽지 않습니다. 나는 이와 동일한 선택의 비즈니스 타당성을 무시할 수 없습니다. 상업적인 인센티브가 없을 때 보안에 투자하는 것은 재정적으로 현명하지 않습니다. 즉, 이제 Apple이 배우게 될 교훈은 보안에 미리 투자하지 않으면 손실이 예상했던 것보다 훨씬 높다는 것을 의미한다는 것입니다.
기술적인 보안 관점에서 볼 때 이 트로이 목마 공격은 특별한 것이 아닙니다. 비즈니스 관점에서 이는 곧 손실이 발생함을 의미하고, 운영 보안 관점에서 보면 이제 Apple 시즌이 되었음을 의미합니다.
세상은 끝나지 않을 것입니다. 태양은 실제로 내일 떠오를 것이다. 그렇다고 지하경제에 관한 한 애플의 시대가 오지 않았다는 뜻은 아니다. 앞으로 2년은 흥미로울 것입니다.
* Gadi Evron은 Afilia의 글로벌 레지스트리 서비스의 보안 설계자이며 인터넷 보안 운영 분야의 업무와 리더십으로 전 세계적으로 인정받고 있습니다. 그는 의 창립자입니다. 제로데이 비상대응팀 (ZERT)는 전 세계 컨퍼런스, 실무 그룹 및 태스크 포스를 조직하고 의장을 맡고 있습니다. 그는 기업 보안, 방첩, 봇넷, 전자 사기, 피싱 분야의 전문가로 평가받고 있습니다.