Silver Sparrow 악성 코드가 Mac에 숨어 있는지 확인하는 방법
그래픽: Cult of Mac/레드 카나리아
M 시리즈와 Intel Mac 모두를 대상으로 하는 최초의 멀웨어 중 일부는 수천 대의 컴퓨터에 영향을 미쳤습니다. 이 시점에서 "Silver Sparrow"라는 악성 코드는 위험하지 않으며 Apple이 이를 뽑았을 수 있습니다. 그러나 최신 macOS 컴퓨터 사용자는 여전히 자신의 기기에 해당 기능이 있는지 알고 싶어할 수 있습니다. Intel 기반 Mac 소유자도 마찬가지입니다.
컴퓨터가 공격을 받았는지 확인하는 방법은 다음과 같습니다.
Silver Sparrow에 대한 간략한 배경
Silver Sparrow는 macOS Installer JavaScript API의 취약점을 악용하여 dodgy 명령을 실행합니다. 즉, 보안 전문가는 레드 카나리아 유일한 페이로드는 몇 개의 자리 표시자 앱이라고 말합니다. M 시리즈 Mac용 버전은 "해냈습니다!"라는 메시지만 표시합니다.
그러나 언급했듯이 Intel 및 M 시리즈 Mac 모두에 영향을 줄 수 있습니다. 그리고 그것은 그것을 거의 독특하게 만듭니다. Apple은 2020년 11월에 M1 프로세서를 사용하는 최초의 Mac을 출시했습니다. 새로운 아키텍처를 위해 소프트웨어를 다시 컴파일해야 합니다. 그리고 여기에는 맬웨어가 포함됩니다. 그러나 해커는 분명히 당황하지 않았고 Silver Sparrow를 만들었습니다.
자세한 내용은 다음을 참조하세요. 컬트 오브 맥월요일에 의 뉴스 기사, "Apple, M1 Mac을 대상으로 하는 Silver Sparrow 악성코드와의 전쟁 강화.”
새를 사냥하다
Silver Sparrow에 대한 첫 번째 보고서는 2월 18일에 도착했으며 보안 연구원들은 계속해서 정보를 수집하고 있습니다. 이 시점에서 그들은 멀웨어가 어떻게 배포되고 있는지조차 모릅니다.
그러나 그들은 영향을 받는 Mac에 추가되는 파일 중 일부를 알고 있습니다. Red Canary에 따르면 여기에는 다음이 포함됩니다.
~/라이브러리/._insu
/tmp/agent.sh
/tmp/version.json
/tmp/version.plist
Finder(macOS 파일 관리자)로 검색하면 찾을 수 있습니다. 이 파일이 포함된 컴퓨터가 Silver Sparrow에 감염된 것으로 보입니다.
현재 연구원들은 Silver Sparrow의 두 가지 버전을 알고 있습니다. 한 버전은 Intel Mac만 감염시킬 수 있습니다. 다른 하나는 Intel 및 M 시리즈 컴퓨터를 모두 사용합니다. 다음은 각 컴퓨터 유형에서 찾아야 할 세부정보입니다.
M 시리즈 및 Intel Mac용 버전을 찾는 방법
M 시리즈 또는 Intel을 실행하는 Mac에 영향을 줄 수 있는 맬웨어 버전은 다음을 통해 제공됩니다.
업데이트.pkg
MD5: fdd6fb2b1dfe07b0e57d4cbfef9c8149
페이로드는 다음과 같습니다.
tasker.app/Contents/MacOS/tasker
MD5: b370191228fef82635e39a137be470af
이 버전의 Silver Sparrow는 또한 다음을 생성합니다.
specialattributes.s3.amazonaws[.]com
~/라이브러리/응용 프로그램 지원/verx_updater/verx.sh
/tmp/verx
~/Library/Launchagents/verx.plist
~/Library/Launchagents/init_verx.plist
다시 말하지만 Finder로 검색하면 감염된 장치에서 이러한 항목이 표시될 수 있습니다.
페이로드의 개발자 ID는 Julie Willey(MSZ3ZH74RK)입니다. Apple은 Silver Sparrow 맬웨어의 추가 확산을 방지하기 위해 이 개발자 계정을 취소했습니다.
Intel Mac용 Silver Sparrow의 원본 버전을 찾는 방법
Silver Sparrow의 첫 번째 버전은 Intel 기반 Mac만 감염시킬 수 있습니다. 다음을 통해 들어옵니다.
updater.pkg
MD5: 30c9bc7d40454e501c358f77449071aa
페이로드는 다음과 같습니다.
파일 이름: 업데이터
MD5: c668003c9c5b1689ba47a431512b03cc
이 버전의 Silver Sparrow는 또한 다음을 생성합니다.
mobiletraits.s3.amazonaws[.]com
~/Library/Application Support/agent_updater/agent.sh
/tmp/agent
~/Library/Launchagents/agent.plist
~/Library/Launchagents/init_agent.plist
페이로드의 바이너리 서명은 개발자 ID Saotia Seay(5834W6MYX3)에서 가져옵니다. Apple은 이 개발자 계정도 취소했습니다.
