Mac 랜섬웨어인 KeRanger는 Linux.Encoder의 변종이었다!

Mac 랜섬웨어인 KeRanger는 Linux.Encoder의 변종이었다!

KeRanger Is Actually A Rewrite of Linux.Encoder

비트디펜더는 첫번째 Mac OS X의 랜섬웨어인 KeRanger랜섬웨어가 Linux.Encoder 랜섬웨어의 변종이라고  밝혔습니다.

KeRanger 랜섬웨어에 감염된 Mac OS XBT 클라이언트를 분석해 본 결과, 4세대 Linux.Encoder와 매우 유사한 것을 확인하였습니다. Linux.Encoder 랜섬웨어는 2016년에 들어서 이미 몇천대의 Linux 서버를 감염시켰습니다. 

Mac OS X Mountain Lion에는 Gatekeeper라는 보안 툴을 탑재하고 있습니다. 이 툴은 사용자가 출처가 불분명한 인스톨 파일들을 설치하는 것을 제제하여 설치되어 있는 프로그램들이 악성코드에 감염될 가능성을 최소화 시킵니다. 기본 설정은  Mac App 상점 혹은 신뢰할만한 개발자가 제작한 앱들만 설치할 수 있도록 되어있습니다. 

GateKeeper를 우회하려면, 공격자는 반드시 Transmission의 업데이트 패키지에 디지털 서명을 해야합니다. 이 인증서의 개발사는 ID가 Z7276PX673인 터키의 한 회사로 확인되었습니다. 이 ID와 개발자가 이 전에 설치했던 Transmission 버전에 사용하였던 ID가 다른데, 이는 합법적인 인증서를 도용하여 GateKeeper를 우회한 것이 처음이 아니라는 것을 알 수 있었습니다. 

 

2013년에는 위조된 디지털 서명 백도어(MAC.OSX.Backdoor.KitM.A)가 앙골라의 인권투쟁에서 사용됬던 컴퓨터에서 발견되기도 하였습니다. 

일단 랜섬웨어가 실행이 되면, 악성코드는 TOR를 통하여 C&C 서버와 연결하며, 암호화 키를 복원합니다. 

감염 PC의 문서들을 암호화 완료 한 후 , 사용자에게 암호화 된 사실과 문서를 복호화 하려면 어떻게 해야 하는지 적힌 KeRanger는 README_FOR_DECRYPT.txt 문서를 만듭니다.

이 암호화 함수들은 기본적으로 비슷하며, 동일한 이름을 갖는 함수들도 있습니다 : encrupt_file, recursive_task, currentTimestamp 및 createDaemon. 암호화 과정은 Linux.Encoder와 같습니다. 

6개월 전, 랜섬웨어는 윈도우와 안드로이드 플랫폼만을 타겟으로 하였습니다. 하지만 작년 12월, Linux를 기반으로 하는 랜섬웨어가 출현하였으며, 몇천대의 Web 서버를 암호화 시켰습니다. 다행인 것은, Bitdefender 보안연구원이 암호화 알고리즘을 우회할 수 있는 방법을 발견하여, 4개의 변종 랜섬웨어에 대해서는 성공적을 복호화 할 수 있었습니다. 

그리고 지금, Linux.Encoder 악성코드를 만든 개발자가 배후에 있거나 혹은 이미 Mac OS X 플랫폼에서 동작하는 랜섬웨어를 개발하거나, 혹은 전문적으로 Max OS X 악성코드 개발자들에게 기술을 전수하고 있는 것으로 추정됩니다. 

참고 : 

https://labs.bitdefender.com/2016/03/keranger-is-actually-a-rewrite-of-linux-encoder/#userconsent#

* 해당 블로그 포스트는 hotforsecurity로 부터 공식적으로 인용 허가를 받았습니다.