Mac勒索软件KeRanger其实是Linux.Encoder的一个变种

2016-03-14 +5 195595人围观 ,发现 3 个不明物体 终端安全资讯

Mac-K.jpg

根据Bitdefender的研究,这个Transmission 的BT更新客户端木马又叫做 KeRanger。 KeRanger 开创了多个先例——首例影响Mac OS X的勒索软件,首列通过合法开发者签署的更新软件来扩散以及首例跨平台的勒索软件。

深入分析 KeRanger 显示该木马实际上是Mac其中一个版本的Linux.Encoder木马

被感染的Mac OS XBT更新客户端经过 Bitdefender 的分析和版本4的 Linux.Encoder 木马非常相似,这个木马自2016年以来已经感染了数以千计的Linux服务器。

图片1.png

Fig. 1 – Linux.Encoder.4  反汇编

图片2.png 

Fig. 2 – KeRanger  反汇编

攻破Mac OS X的防御

由于 Mountain Lion , Mac OS X 自带一个叫做 Gatekeeper 的安全工具。它允许用户限制安装程序来源,从而可以最大限度的减少部署的应用程序被污染的可能性。默认的设置是安装Mac App商店或者可信任开发者的应用程序(也就是开发者数字签名过的应用程序)。

为了绕过 Gatekeeper ,攻击者必须对 Transmission 的更新包进行数字签名。苹果公司会使用一个合法的证书。列出这个证书的开发人员是一家土耳其公司,ID  Z7276PX673 ,这个ID和开发者在之前的 Transmission 安装版本中所使用的ID不同。这已经不是首次通过滥用合法证书来绕过 Gatekeeper 的网络犯罪行为。在2013年,一个伪数字签名证书的后门 (MAC.OSX.Backdoor.KitM.A) 在安哥拉的人权斗争所使用的电脑中被发现。

一旦被感染的安装文件被执行,木马就会通过TOR连接到C&C服务器,随即恢复加密密钥。加密完成后,KeRanger毁 创建一个叫做README_FOR_DECRYPT.txt 文件,这个文件告诉受害人如何付款来取得原始文件。

这些加密的函数基本都差不多并且还有相同的名字:encrypt_file, recursive_task, currentTimestamp以及仅仅 涉及到一点的 createDaemon ” 加密过程和 Linux.Encoder 是一样的 ”  Bitdefender 工作的 Catalin Cosoi, Chief Security Strategist这样解释到。

总结

6个月前,勒索软件仅仅对WindowsAndroid端具有威胁。在去年12月,首例基于Linux的勒索软件便出现了,并且加密了数以千计的web服务器。幸运的是,Bitdefender 的研究人员可以绕过加密算法对4个变种的加密算法进行解密。现在看来,Linux.Encoder恶意软件背后的开发者要么已经投入到Mac OS X平台要么将代码授权给专业的Mac OS X网络犯罪集团。

 Catalin Cosoi 最后总结道:

  “值得强调的是这样的技术是完全成熟的,本地的MacOS X的安全性与实时性问题亟待解决,基于行为的检测技术可以避免Mac OS用户感染病毒以及文件被加密。并且还有很多需要注意的地方,安全性不仅仅是不允许未签名的软件。”  

*参考来源:labs.bitdefender ,FB小编老王隔壁的白帽子翻译,转载请注明来自FreeBuf黑客与极客(FreeBuf.COM)

相关推荐
发表评论

已有 3 条评论

取消
Loading...

特别推荐

推荐关注

官方公众号

聚焦企业安全

填写个人信息

姓名
电话
邮箱
公司
行业
职位
css.php