케레인저

KeRanger

KeRanger(OSX라고도 한다).케레인저A)는 macOS를 실행하는 컴퓨터를 대상으로 하는 랜섬웨어 트로이 목마. Palo Alto Networks가 2016년 3월 4일에 발견하여 7,000명 이상의 Mac 사용자에게 영향을 주었다.

KeRanger는 공식 웹사이트에서 다운로드 받은 인기 있는 BitTorrent 클라이언트인 Transmission의 손상된 설치자로부터 피해자의 컴퓨터에서 원격으로 실행된다. General.rtf 아래의 .dmg 파일에 숨겨져 있다. .rtf는 실제로 UPX 3.91로 채워진 마하-O 형식 실행 파일이다. 사용자가 이러한 감염된 앱을 클릭하면 번들 실행 파일인 Transmission.app/Content/MacOS/Transmission이 이 General.rtf 파일을 ~/Library/커널_service에 복사하고 사용자 인터페이스가 나타나기 전에 이 "커널_service"를 실행한다.[1] RSARSA 공용암호화를 통해 파일을 암호화하며, 암호 해독용 키는 공격자의 서버에만 저장된다. 그런 다음 악성 프로그램은 모든 폴더에 "readme_to_decrypt.txt"라는 파일을 생성한다. 지침이 열리면 피해자에게 파일을 해독하는 방법에 대한 방향을 제시하는데, 보통 비트코인 1개 지불을 요구한다. 랜섬웨어는 리눅스 랜섬웨어 리눅스의 변종으로 꼽힌다.인코더.1.[2]

트랜스미션 사용자에게 경고 발생.

디스커버리

2016년 3월 4일 팔로알토네트웍스는 란소메웨어를 추가했다.케레인저OSX를 바이러스 데이터베이스에 연결하십시오. 이틀 후에 그들은 코드의 설명과 분석을 발표했다.

전파

팔로알토 리서치 센터에 따르면, 키레인저는 가장 흔하게 공식 웹사이트가 훼손된 후, 감염된 .dmg가 "진짜" 트랜스미션처럼 보이도록 업로드되었다. 그것이 보도된 후, 트랜스미션의 제작자들은 웹사이트에 새로운 다운로드를 발행했고 소프트웨어 업데이트를 추진했다.

악성코드가 피해자의 컴퓨터를 감염시키는 유일한 방법은 애플이 발행한 유효한 개발자 서명을 사용하는 것으로, 애플이 내장한 보안을 우회할 수 있게 했다.

암호화 프로세스

모든 폴더에 있는 "README_FOR_DECryption.txt" 파일.

처음 실행되면 KeRanger는 ~/Library 디렉토리 아래에 ".kernel_pid", ".kernel_time" 및 ".kernel_complete" 세 개의 파일을 생성하고 현재 시간을 ".kernel_time"에 기록한다. 그리고 나서 그것은 3일 동안 잠을 잘 것이다.[1] 그 후에는 모델명과 UUID를 포함하는 Mac에 대한 정보를 수집할 것이다. 정보를 수집한 후, 그것은 그것을 명령과 제어 서버 중 하나에 업로드한다. 이들 서버의 도메인은 모두 양파[dumplink] 또는 양파[dump]의 하위 도메인이며, Tor 네트워크를 통해서만 접속할 수 있는 서버를 호스트하는 두 개의 도메인이다. Command and Control 서버와 연결되면 "README_FOR_DECHPT.txt" 파일로 데이터를 반환한다. 그런 다음 사용자들에게 파일이 암호화되어 있고, 미국 달러로 약 400달러였던 비트코인 1개를 지불해야 한다고 알려준다.

KeRanger는 먼저 .암호화된 확장자(예: Test.docx)를 사용하는 암호화된 버전을 만들어 각 파일(예: Test.docx)을 암호화한다. 테스트.docx.암호화됨.) KeRanger는 각 파일을 암호화하기 위해 RN(Random Number)을 생성하는 것으로 시작하고 RSA 알고리즘을 사용하여 C2 서버에서 검색한 RSA 키로 RN을 암호화한다. 그런 다음 암호화된 RN을 결과 파일의 시작 부분에 저장한다. 다음으로 원본 파일 내용을 이용해 초기화 벡터(IV)를 생성하고 결과 파일 내부에 IV를 저장한다. 이후 RN과 IV를 혼합해 AES 암호화 키를 생성한다. 마지막으로, 이 AES 키를 사용하여 원본 파일의 내용을 암호화하고 암호화된 모든 데이터를 결과 파일에 쓸 것이다.

암호화된 파일

C2 서버에 연결한 후 암호화 키를 검색한 후 프로세스를 시작한다. 먼저 "/Users" 폴더를 암호화한 다음, 그 후에 "/Volumes" 암호화된 파일 확장자 300개도 다음과 같이 암호화된다.

  • Documents: .doc, .docx, .docm, .dot, .dotm, .ppt, .pptx, .pptm, .pot, .potx, .potm, .pps, .ppsm, .ppsx, .xls, .xlsx, .xlsm, .xlt, .xltm, .xltx, .txt, .csv, .rtf, .te
  • 이미지: .jpg, .jpeg
  • 오디오 및 비디오: .mp3, .mp4, .avi, .mpg, .wav, .flac
  • 아카이브: .zip, .rar, .tar, .gzip
  • 소스 코드: .cpp, .asp, .csh, .class, .java, .lua
  • 데이터베이스: .db, .sql
  • 이메일: .eml
  • 인증서: .pem

참조

  1. ^ a b Xiao, Claud; Chen, Jin. "New OS X Ransomware KeRanger Infected Transmission BitTorrent Client Installer - Palo Alto Networks Blog". Palo Alto Networks Blog. Retrieved 2016-03-10.
  2. ^ "KeRanger Is Actually A Rewrite of Linux.Encoder". Bitdefender Labs. Retrieved 28 March 2016.