Post

macOS의 문제

목차


로그인 항목에서 알 수 없는 개발자가 배포한 sh 확인 및 제거하기

갑자기 어느날 로그인 항목을 살펴봤더니 로그인 항목에서 알 수 없는 개발자가 배포한 sh가 있었다.
스크린샷을 찍어두지 못해 비슷한 증상을 보이는 스크린샷을 첨부한다.

이미지 출처 : https://www.clien.net/service/board/cm_mac/17904638

sh는 unix기반 OS의 사용자의 명령어 처리를 담당하는 쉘(shell)이라는 프로그램으로써 macOS에서 가장 중요한 프로그램 중 하나이다.

따라서 삭제하면 안되고, 이 쉘(sh)을 실행시키는 앱이 무엇인지 확인하고 비정상적인 앱이라면 삭제해야 한다.
애플의 보안이 뛰어나서 그럴 일은 거의 없을 것이라고 생각되지만.. 재수가 없을 경우 sh를 통해 공격자가 악성 쉘 스크립트를 실행시킬 수 있으므로 해당 스크립트를 통해 악성코드를 실행시키거나 개인정보가 탈취되는 등의 피해를 입을 수 있다.

따라서 필자는 이 쉘(sh)을 실행시키는 앱이 무엇인지 조사해 볼 필요가 있었다.

해당 앱을 조사히기 위해서는 아래 4개의 경로에 대해 확인이 필요하다.

1
2
3
4
~/Library/LaunchAgents
/Library/LaunchAgents
/Library/LaunchDaemons
/Library/PrivilegedHelperTools

터미널(terminal.app)을 열고

1
2
cd <경로>
ls -al

를 쳐서 자신이 설치한 적 없는 비정상적인 앱이 있는지, 또는 권한을 설정하지 않은 앱이 존재하는지 확인해보자.

만약 비정상적인 앱이 존재한다면 sudo rm -f 명령어를 통해 삭제하자.

1
2
sudo rm -f <파일명>
# 예시 : sudo rm -f amphetamine-enhancer-allProcesses.plist

sudo rm -f 시 Passowrd 입력을 요구할 것이다. 이 경우 macOS 계정의 비밀번호를 입력하면 된다.

삭제한 뒤 재부팅을 하고 로그인 항목에 다시 들어가 확인하여 sh 내용이 사라졌는지 확인한다.


필자의 경우 다른 경로에서는 아무런 문제가 없었지만

1
2
3
4
5
6
7
8
9
10
11
cd ~/Library/LaunchAgents
ls -al
total 16K
drwxr-xr-x   6 xxx staff  192  6 19 08:08 ./
drwx------+ 98 xxx staff 3.1K  4 24 07:51 ../
-rw-r--r--   1 xxx staff  501  3 19 16:56 amphetamine-enhancer-allProcesses.plist
-rw-r--r--   1 xxx staff  807  3 18 21:36 com.google.keystone.agent.plist
-rw-r--r--   1 xxx staff  913  3 18 21:36 com.google.keystone.xpcservice.plist
-rw-r--r--   1 xxx staff  594  6 19 08:08 com.lwouis.alt-tab-macos.plist
-rw-r--r--   1 xxx staff  566  3 19 16:56 com.riot.riotclient.checkinstalls.plist
-rw-r--r--   1 xxx staff  603  3 19 16:56 com.valvesoftware.steamclean.plist

~/Library/LaunchAgents에서 이전에 삭제시켰던
amphetamine-enhancer-allProcesses.plist 암페타민과
com.valvesoftware.steamclean.plist 스팀 관련 내용이 존재하여
해당 두개의 내용을 삭제하하고 재부팅하였더니 sh 내용이 사라졌다.

개인적으로는 steamclean 프로세스는 문제가 아니었던 것 같고.. amphetamine에 대한 내용이 문제가 아니었을까 추측한다.

This post is licensed under CC BY 4.0 by the author.