맥 OS와 트로이 플래시백이 사이버 보안을 어떻게 바꾸었을까? / How the Mac OS X Trojan Flashback Changed Cybersecurity

그렇게 오래되지 않았을 때, 맥에는 바이러스가 침투할 수 없을 것이라고 생각되었습니다. 실재로 애플은 웹사이트를 통해서 "PC 바이러스에 감염되지 않는다" 라고 이야기를 한 적이 있습니다. 그러나 이러한 이야기는 2012년  맥OS애 트로이 플래시백 멀웨어가 나타나기 전의 일 입니다.

이후로 맥과 아이폰 보안의 문제는 급격하게 변화해 왔으며, 전체 세계의 보안 환경도 바뀌었습니다. 이 글에서 어떻게 플래시백 사건이 전개되었는지를 보안의 환경을 영구히 어떻게 바뀌었는지에 대해서 볼 예정 입니다. 

  Not so long ago, the Mac was thought to be impervious to viruses. In fact, Apple once stated on its website that “it doesn’t get PC viruses”. But that was before the Mac OS X Trojan Flashback malware appeared in 2012.
  Since then, Mac and iPhone security issues have changed dramatically — and so has the security of the entire world. In this post, we’ll revisit how the Flashback incident unfolded and how it changed the security landscape forever.

맥 플래시백 트로이가 무엇일까요? / What is the Mac Flashback Trojan?

플래시페이크라고도 불리는 플래시백은 맥OS와 멀웨어가 합쳐진 것으로 2011년 9월에 처음 발견이 되었습니다. 2012년 3월까지 트로이 바이러스는 약 700,000 의 전세계 컴퓨터를 감염시켜 왔습니다. 감염 이후 봇넷은 침해를 받은 PC들은 모아서, 추가적인 의심스러운 코드를 설치하는 것이 가능하게 하였습니다. 멀웨어의 목적들 중에 하나는 잘못된 검색엔진 결과를 만드는 것 이었습니다. 

연구자들에 따르면, 공격자들은 구글 검색 매출을 빨아들이기 위해서 플래시백을 사용하였습니다. 트로이의 광고클릭 요소는 크롬, 파이어폭스, 사파리에 로드되었는데, 여기에서 브라우저의 요청을 막고,  공격자들이 선택한 페이지로 특정 검색 퀴리를 우회켰습니다.  이러한 방법을 통해 범죄자들은 클릭으로 하루에 10,000 달러 이상의 매출을 긁어모았습니다.

  Flashback (also called Flashfake) is a type of Mac OS X malware first detected in September 2011. By March 2012, the trojan had infected around 700,000 computers worldwide. After infection, compromised PCs were recruited into a botnet that enabled the installation of additional malicious code. One of the malware’s objectives was to generate fake search engine results.
  According to researchers, threat actors used Flashback to siphon Google ad revenue. The trojan’s ad-clicking component loaded into Chrome, Firefox and Safari, where it could intercept browser requests and redirect specific search queries to a page of the attacker’s choosing. From there, criminals raked in click-generated revenue totaling about $10,000 per day.

워드프레스를 통해 감염됨 / Infected Through WordPress

 카스퍼스키에 따르면, 플래쉬백 멀웨어는 공격자들의 파트너 프로그램에 의해서 퍼졌습니다. 이 프로그램은 러시아에서 만들어진 것으로 보여 집니다.

스크립트가 실행되도록 설계된 이 프로그램은 수 많은 합법적인 웹사이트들을 통해서 우회했습니다. 2012년 3월 초까지 이  프로그램은 워드프레스를 통한 수천만의 사이트 들을 감염시켰습니다. 이는 취약한 워드프레소 버전을 사용하거나, 툴팩 플러그인을 설치한 웹 소유자들에 의해서 나타났습니다.  취약점을 갖게된 사이트들의 약 85% 는 미국에 위치했습니다. 

감염된 싸이트의 어느 하나를 방문할 떄, 테이블 형식의 데이터 스트림을 거쳐가 갔습니다. 브라우저는 이후 rr.nu 도메인 영역으로 사이트를 숨겨진 우회방식으로 가는 것을 수행할 수 있었습니다. 악성 사이트은 플래쉬백 탈취 공격들이 사이트에 설치되어 멀웨어를 실행하게끔 하였습니다. 

  According to Kaspersky, Flashback malware spread thanks to a threat partner program that appeared to be of Russian origin.  
  The program implemented script redirects from huge numbers of legitimate websites worldwide. By early March 2012, the program had infected tens of thousands of sites powered by WordPress. This might have occurred due to site owners using vulnerable WordPress versions or installing the ToolsPack plugin. Approximately 85% of the compromised sites were located in the US.
  When any of the infected sites were visited, a tabular data stream (TDS) was contacted. The browser could then perform a hidden redirect to sites in the rr.nu domain zone. The rogue sites had Flashback exploits installed on them to execute the malware.

iOS와 맥OS 의 새로운 현실 / A New Reality for iOS and macOS

플래시백의 새로운 현상은 전체 사이버보안과 테크 산업을 흔들었습니다. 과거에는 바이러스로 부터 하나의 피난처로 여겨졌던 맥 OS 는 이제는 더 이상 그렇지 않습니다. 그리고 이것은 독립된 하나의 사건이 아닙니다. 곧 이어 2012년 4월 새로운 맥 OS와 트로이 바이러스가 발견되었습니다.

오늘날로 빠르게 돌아와 보나면, 이 취약점들은 계속 급속히 증가합니다. 2022년 8월 애플의 지원 웹사이트에서는 iOS15.6.1.과 iPadOS 15.6.1 과 맥OS Monterey 12.5.1  보안업데이트를 공개하였습니다. 이론적으로, 이 취약점들은 해커들에게 디바이스에 전체 도메인에 접근권한을 주었습니다. 이는 침입자들이 디바이스의 소유자들을 흉내내고 이후에 그들의 이름으로 어떠한 소프트웨어를 실행할 수 있게 하였습니다.

이러한 취약점들이 주목을 끄는 동안, 현실은 어떠한 시스템도 보안위협에 대한 면역체계를 갖고 있지 않습니다. 당신은 유일하게 애플과 마이크로소프트 보안 업데이트 페이지에서만 이 노출된 문제가 어느정도의 문제를 지니고 있는지를 겨우 볼 수 있습니다. 이러한 걱정과 동시에 공격자들은 모든 취약점을 찾아내서 정보탈취를 위한 더 많은 노력을 하고 있습니다.

  News of Flashback shook the entire cybersecurity and tech industry. The Mac OS, once considered a haven against viruses, had fallen. And it was not an isolated event. Soon after, in April 2012, a new Mac OS X trojan was discovered.
  Fast forward to the present day, and the vulnerabilities continue to multiply. In August 2022, the Apple Support site published security updates for iOS 15.6.1 and iPadOS 15.6.1 and macOS Monterey 12.5.1. Theoretically, these vulnerabilities give a hacker full admin access to the device. This would allow intruders to impersonate the device’s owner and subsequently run any software in their name.
  While these weaknesses make headlines, the reality is that no system is immune to security threats. You only need to browse the Apple and Microsoft security updates pages to see the extent of the issues discovered. Alongside these concerns, threat actors have only increased their efforts to find and exploit every vulnerability.

멀웨어는 계속 발전 중  / Malware Development is on the Rise

맥과 아이폰들은 여전히 다른 옵션들에 비교하면 안전하고, 이들의 보안은 평균 이상 입니다. 애초에는 안전했을지 모르지만,  더 이상 어떤  OS 도 완전히 안전하지는 않습니다. 

이러한 냉정한 사실을 곰곰히 생각해 보려 합니다. 아틀라스 VPN에 따르면, 맥 OS 멀웨어의 발전은 2020년도에 1,000% 이상 증가했습니다. 674,273 개의 멀웨어 샘플에 달하였습니다. 2020년도에 91만개 이상에 달하였던 윈도우와 비교해 볼 수 있습니다.

어떤 점에서는 플래시위백 사건은 역사적으로 중요한 순간 이었고, 이 때 부터 공격 비율은 상당히 증가하기 시작했습니다. 예를 들면 2012년 부터 2013년 까지 멀웨어 감염의 성장률은 82.62 백만에서 부터 165.81 백만 사건으로 2배가 되었습니다. 또한 IC3에 보고된 사이버 범죄 금정적인 피해는 2012년과 2013년 사이에  200백만 달러가 증가 되었다고 합니다. 여기서 부터, 사건의 양과 비용은 빠르게 증가하였고 줄어들 만한 신호는 보이지 않았습니다.

현재, 많은 요소들이 이러한 증가에 한 몫을 하고 있습니다. 스타트업의 경우 재택근무를 하는 사람들이 많은데 이는 공격표면을 넓게 증가 시킵니다. 우크라이나의 갈등,  저렴한 공격 서비스 그리고 타이트한 보안환경이 이러한 점에 기여하고 있습니다. 이러한 요소들 모두 급격하게 보안팀의 부담을 증가 시킵니다.

IBM 의 2022년도 데이터침해 보고서내의 분석한 기업 83%는 1개 이상의 데이터 침해를 경험하였습니다. 이러한 새로운 사실들은 보안이 단지 주요 비즈니스에게만 걱정거리일 뿐만 아니라 전반적인 비즈니스 전략에 핵심 요소라는 것을 보여 줍니다. 


  Macs or iPhones are still safe compared to other options: their built-in security remains above par. But no OS is entirely secure anymore, if they ever were, to begin with.
  Consider these chilling facts. According to Atlas VPN, macOS malware development surged by over 1,000% in 2020, with a total of 674,273 malware samples. Compare that to Windows, which faced over 91 million samples in 2020.
  In some ways, the Flashback incident marked a moment in history when attack rates began to increase significantly. For example, from 2012 to 2013, the malware infection growth rate more than doubled from 82.62 million to 165.81 million incidents. Also, monetary damage caused by cyber crime reported to the IC3 increased by over 200 million between 2012 and 2013. From there, incident rates and costs have ramped up quickly and show no signs of slowing.
  Currently, many factors contribute to this rise. For starters, more people working from home widely increases attack surfaces. The conflict in Ukraine, cheap attack services and a tight security labor market also contribute. All these factors dramatically increase the pressure on security teams.
  The IBM Cost of a Data Breach 2022 report revealed that 83% of organizations studied have had more than one data breach. These new realities make security not only a top business concern but also a core element of overall business strategy.

새 위협들에는 새 도구들이 필요 / New Threats Require New Tools

트로이 플래사백이 공격 이벤트에서 핵심을 이루고 있다면, 아마 보안에 대한 새로운 시각을 가지도록 우리를 이끌어 갈 것입니다. 또한 어떠한 시스템도 온전히 안전하지 않다면, 완화조치를 하는 도구들은 더욱 지능적이고 위협에 대응이 가능해야 합니다. 안전장치 시스템을 설치하는 것을 기대하는 것 보다 위협지능, 제로 트러스트, 인공지능 기반의 보안과 같은 접근법이 보안에 대해서 어떻게 우리가 사고하고 있는지를 다시 재정립 해야 합니다.

어플리케이션과 디바이스들은 기하급수적으로 증가하고 있습니다. 원격근무는 계속 증가합니다. 회사들은 계속해서 클라우드로 그들의 네트워크를 통합하고 있습니다. 정리하자면, 우리는 살경계가 없는 현실 속에서 살아가고 일하고 있으며, 우리의 보안 솔루션들은 반드시 거기서 우리를 지키기 위해 계속 발전 해야만 합니다.

현재의 위협들은 지금보다 더 높을 수가 없을 정도로 위험합니다. 우리는 콜로니얼 파이프라인과 같은 중요한 인프라가 공격을 받는 것을 보았습니다. 정부 기관과 농업분야에서도 또한 이러한 압력이 증가하고 있습니다. 심지어 우수한 보안회사들도 해커로 부터 공격을 받았습니다. 그리고 러시아와 우크라이나와의 갈등은 위협을 증가시켜, 누군가가 상상한것 보다 더 심각하게 위협을 증가시켰습니다.

조용히 앉아서 운좋게 또는 느슨한 보안 솔루션이 충분히 작동할 지를 기대하고 있는 것은 더 이상 바람직한 선택지가 아닙니다. 우리는 모두 사람들, IT 자산들, 정부들, 비즈니스와 전체 사회를 보호하기 위해서 새로운 방법이 필요합니다. 

  If the Trojan Flashback was a bellwether event, it might have ushered in a new way of thinking about security. If no system is entirely secure, then mitigating tools must be more adaptive and intelligent. Rather than hoping to install a failsafe system, approaches such as threat intelligence, zero trust and AI-driven security are remodeling how we think about security.
  Applications and devices are proliferating exponentially. Remote work is on the rise. Companies continue to migrate their networks to the cloud. By definition, we live and work in a perimeter-less reality, and our security solutions must evolve to serve us there.
  The stakes couldn’t be higher. We’ve seen critical infrastructure like the Colonial Pipeline attacked. Government agencies and agriculture are under increasing pressure as well. Even top-tier security firms have been hacked. And the conflict between Russia and Ukraine has raised the stakes even higher than anyone imagined.
  Sitting still and hoping that luck or flimsy security solutions will suffice is no longer an option. We need entirely new ways to protect people, IT assets, governments, businesses and entire societies.

보안의 어려운 과제의 수용 / Adapting to Security Challenges

증가하는 다량의 위협에도 불구하고, 보안의 전문가들은 이러한 어려움을 유의미한 결과로 도출해 나아가고 있습니다. 예를 들면 IBM에서 발표한 보고서에는 아래의 내용이 포함되어 있는데 

• 회사들이 보안 인공지능과 자동화를 완전히 도입하고 난 후, 1개의 침해당 3.05 백만 달러를 평균적으로 절약하였습니다.
• 평균 2.66 백만 달러의 비용이 절약된 경우, 사고대응 팀이 개입되어 있었으며 정기적으로 사고대응 계획을 테스트 하였습니다.
• XDR 보안기술을 가진 기업들은 대응하는데에 있어서 29일 시간을 절약하였습니다.

• Companies saved an average of $3.05 million per breach with fully deployed security AI and automation
• Average cost savings of $2.66 million was associated with an incident response (IR) team and regularly tested IR plan
• Savings in response time of 29 days for those with extended detection and response (XDR) technologies.

https://securityintelligence.com/articles/how-mac-trojan-flashback-changed-cybersecurity-3/