トランスコーダHandBrakeのサーバーがハッキングされ、トロイの木馬が同梱された「HandBrake for Mac」が公開されていたとして開発チームが注意を呼びかけ。

スポンサーリンク

 2017年5月上旬からトランスコーダHandBrakeのサーバーがハッキングされ、トロイの木馬が同梱された「HandBrake for Mac」が公開されていたとして開発チームが注意を呼びかけています。詳細は以下から。

クロスプラットフォーム対応のエンコーダーアプリ「HandBrake」のアイコン

 オープンソース&クロスプラットフォーム対応の動画トランスコーダアプリ「HandBrake(関連記事)」シリーズを開発しているフランスのThe HandBrake Teamは現地時間2017年05月06日、Mac版HandBrakeを公開しているミラーサーバーがハッキングの被害に遭い、トロイの木馬が同梱された「HandBrake for Mac v1.0.7」が5月上旬より公開されていたとしてユーザーに以下のことを確認するように呼びかけています。

サーバーのハッキング被害にあったHandBrake for Macの公式サイト

SECURITY WARNING
Anyone who has downloaded HandBrake on Mac between [02/May/2017 14:30 UTC] and [06/May/2017 11:00 UTC] needs to verify the SHA1 / 256 sum of the file before running it.
Anyone who has installed HandBrake for Mac needs to verify their system is not infected with a Trojan. You have 50/50 chance if you’ve downloaded HandBrake during this period.

Mirror Download Server Compromised – HandBrake

トロイの木馬の特定方法

 HandBrakeチームは既にこのトロイの木馬を特定しているそうで、Macの[アプリケーション]フォルダ → [ユーティリティ]フォルダに在るアクティビティモニタアプリを起動し、”Activity_agent”を検索。もしこのプロセスが存在するならば、トロイの木馬に感染しているため、

HandBrake for Macに寄生したトロイの木馬のデーモンをアクティビティモニタで確認

If you see a process called “Activity_agent” in the OSX Activity Monitor application. You are infected.

Mirror Download Server Compromised – HandBrake

感染を確認した場合、以下のコマンドをターミナルに入力しトロイの木馬のプロセスなどを削除して欲しいとコメントしています。

launchctl unload ~/Library/LaunchAgents/fr.handbrake.activity_agent.plist
rm -rf ~/Library/RenderFiles/activity_agent.app
if ~/Library/VideoFrameworks/ contains proton.zip, remove the folder

感染したHandBrake for Mac

 また、HandBrakeのミラーサーバーがハッキングされていた期間はUTC 2017年05月02日 14時30分から05月06日 11時までで、その期間にHandBrakeをダウンロードしたユーザーに対しては以下SHA1/SHA256の”HandBrake.dmg”がトロイの木馬を同梱しているとして削除するように求めています。

トロイの木馬を同梱したHandBrake v1.0.7のchecksum

SHA1: 0935a43ca90c6c419a49e4f8f1d75e68cd70b274
SHA256: 013623e5e50449bbdf6943549d8224a122aa6c42bd3300a1bd2b743b01ae6793

正しいHandBrake v1.0.7のchecksum

正しいSHA1/SHA256は以下の通りで、詳しくはGitHubを参照してください。

トロイの木馬を同梱していない正しいHandBrake for Macのchecksums

SHA1: 6d2e5158f101dad94ede3d5cf5fda8fe9fd3c3b9
SHA256: 3cd2e6228da211349574dcd44a0f67a3c76e5bd54ba8ad61070c21b852ef89e2 

同梱されていたトロイの木馬

 同梱されていたトロイの木馬は「OSX.PROTON」の亜種のようで、HandBrakeチームは既にこの検体をAppleに報告し、AppleはXProtectをアップデートするようです。

追記

 Appleは同日、macOSのウィルス定義データベース「XProtect」をv2091へアップデートし、新たにリモートアクセス型トロイの木馬と思われる「OSX.Proton.B」をブロックしています。

2017年05月06日にアップデートされたXProtect v2091をCritical Updatesアプリとplistで確認

コメント

  1. 匿名 より:

    クラッキングじゃない?

  2. 匿名 より:

    これdmgをダウンロードしたのじゃなく、当該期間中にHandBrake上からアップデートした場合はどうなんだろ?
    その場合でもトロイが含まれてたのかな?

    • applech2 より:

      HandBrake v1.0(2016年12月24日リリース)以降のBuild-inアップデートはDSA署名での検証が入るため影響を受けず、v0.10.5(2016年02月12日リリース)以前の場合は検証機能がないためチェックしなければならないそうです。

      ・Downloads via the applications built-in updater with 1.0 and later are unaffected. These are verified by a DSA Signature and will not install if they don’t pass.
      ・Downloads via the applications built-in updater with 0.10.5 and earlier did not have verification so you should check your system with these older releases
      ttps://forum.handbrake.fr/viewtopic.php?f=33&t=36364