神刀安全网

Mac勒索软件KeRanger其实是Linux.Encoder的一个变种

Mac勒索软件KeRanger其实是Linux.Encoder的一个变种

根据Bitdefender的研究,这个Transmission 的BT更新客户端木马又叫做KeRanger。 KeRanger 开创了多个先例——首例影响Mac OS X的勒索软件,首列通过合法开发者签署的更新软件来扩散以及首例跨平台的勒索软件。

深入分析 KeRanger 显示该木马实际上是Mac其中一个版本的 Linux.Encoder木马

被感染的Mac OS XBT更新客户端经过 Bitdefender 的分析和版本4的 Linux.Encoder 木马非常相似,这个木马自2016年以来已经感染了数以千计的Linux服务器。

Mac勒索软件KeRanger其实是Linux.Encoder的一个变种

Fig. 1 – Linux.Encoder.4  反汇编

Mac勒索软件KeRanger其实是Linux.Encoder的一个变种

Fig. 2 – KeRanger  反汇编

攻破Mac OS X的防御

由于 Mountain Lion , Mac OS X 自带一个叫做 Gatekeeper 的安全工具。它允许用户限制安装程序来源,从而可以最大限度的减少部署的应用程序被污染的可能性。默认的设置是安装 Mac App 商店或者可信任开发者的应用程序(也就是开发者数字签名过的应用程序)。

为了绕过 Gatekeeper ,攻击者必须对 Transmission 的更新包进行数字签名。苹果公司会使用一个合法的证书。列出这个证书的开发人员是一家土耳其公司, ID  Z7276PX673 ,这个 ID 和开发者在之前的 Transmission 安装版本中所使用的 ID 不同。这已经不是首次通过滥用合法证书来绕过 Gatekeeper 的网络犯罪行为。在 2013 年,一个 伪数字签名证书的后门 (MAC.OSX.Backdoor.KitM.A) 在安哥拉的人权斗争所使用的电脑中被发现。

一旦被感染的安装文件被执行,木马就会通过 TOR 连接到 C&C 服务器,随即恢复加密密钥。加密完成后, KeRanger毁 创建一个叫做 README_FOR_DECRYPT.txt 文件,这个文件告诉受害人如何付款来取得原始文件。

这些加密的函数基本都差不多并且还有相同的名字: encrypt_file, recursive_task, currentTimestamp 以及仅仅 涉及到一点的 createDaemon ” 加密过程和 Linux.Encoder 是一样的 ”  Bitdefender 工作的 Catalin Cosoi, Chief Security Strategist  这样解释到。

总结

6 个月前,勒索软件仅仅对 Windows Android 端具有威胁。在去年 12 月,首例基于 Linux 的勒索软件便出现了,并且加密了数以千计的 web 服务器。幸运的是, Bitdefender 的研究人员可以绕过加密算法对 4 个变种的加密算法进行解密。现在看来,  Linux.Encoder 恶意软件背后的开发者要么已经投入到 Mac OS X 平台要么将代码授权给专业的 Mac OS X 网络犯罪集团。

Catalin Cosoi  最后总结道:

“值得强调的是这样的技术是完全成熟的,本地的MacOS X的安全性与实时性问题亟待解决,基于行为的检测技术可以避免Mac OS用户感染病毒以及文件被加密。并且还有很多需要注意的地方,安全性不仅仅是不允许未签名的软件。”

*参考来源: labs.bitdefender ,FB小编老王隔壁的白帽子翻译,转载请注明来自FreeBuf黑客与极客(FreeBuf.COM)

转载本站任何文章请注明:转载至神刀安全网,谢谢神刀安全网 » Mac勒索软件KeRanger其实是Linux.Encoder的一个变种

分享到:更多 ()

评论 抢沙发

  • 昵称 (必填)
  • 邮箱 (必填)
  • 网址
分享按钮