BitTorrentクライアント「Transmission」に潜み、ユーザーのファイルを暗号化し身代金を要求するMac初の完全なランサムウェア「KeRanger」が発見される。

スポンサーリンク

 BitTorrentクライアント「Transmission」のインストーラーに潜み、ユーザーのファイルを暗号化し身代金を要求するMac初の完全なランサムウェア「KeRanger」が発見されたそうです。詳細は以下から。

Transmission-KeRanger-Hero

 ネットワークセキュリティベンダーPalo Alto Networks, Inc.が新たに発見したランサムウェア「KeRanger」は 2014年にKaspersky Lab.によって発見されたランサムウェア「FileCoder」の様に不完全ではなく、完全な形で動作するOS X初のランサムウェアでAppleもこれを確認しているようです。詳細は以下から。

On March 4, we detected that the Transmission BitTorrent ailient installer for OS X was infected with ransomware, just a few hours after installers were initially posted. We have named this Ransomware “KeRanger.” The only previous ransomware for OS X we are aware of is FileCoder, discovered by Kaspersky Lab in 2014. As FileCoder was incomplete at the time of its discovery, we believe KeRanger is the first fully functional ransomware seen on the OS X platform.

New OS X Ransomware KeRanger Infected Transmission BitTorrent Client Installer – Palo Alto Networks Blog

KeRangerの感染経路

 KeRangerの感染経路は先週 2年ぶりのアップデートが公開されたオープンソースのBitTorrentクライアント「Transmission」のインストーラーで、このインストーラーが悪意のある攻撃者によって再コンパイルされ、公式サイトが一時改ざんされ公開されていたそうで、

Transmission-v2d9-img

Attackers infected two installers of Transmission version 2.90 with KeRanger on the morning of March 4. When we identified the issue, the infected DMG files were still available for downloading from […] Transmission is an open source project. It’s possible that Transmission’s official website was compromised and the files were replaced by re-compiled malicious versions, but we can’t confirm how this infection occurred.

New OS X Ransomware KeRanger Infected Transmission BitTorrent Client Installer – Palo Alto Networks Blog

 公開されていた当時このランサムウェアは有効な開発者署名を有しており、AppleのGatekeeper保護がバイパスされ、外部のCommand&Controlサーバーの命令を待っている状態だったそうです。

fig2-500x135

*Developer ID : POLISAN BOYA SANAYI VE TICARET ANONIM SIRKETI (Z7276PX673)

KeRangerの手法

 ランサムウェア「KeRanger」が同梱されたインストーラーはリソースファイルに「General.rtf」というドキュメントを含んでおり、このファイルはRTFファイルのアイコンに偽装された実行ファイルで、このファイルが実行されると”~/Library”ディレクトリ以下に”.kernel_pid”などのファイルを作成。

KeRanger-Execute-rtf

The KeRanger infected Transmission installers include an extra file named General.rtf in the Transmission.app/Contents/Resources directory. It uses an icon that looks like a normal RTF file but is actually a Mach-O format executable file packed with UPX 3.91. When users click these infected apps, their bundle executable Transmission.app/Content/MacOS/Transmission will copy this General.rtf file to ~/Library/kernel_service and execute this “kernel_service” before any user interface appearing.

New OS X Ransomware KeRanger Infected Transmission BitTorrent Client Installer – Palo Alto Networks Blog

 その後3日間スリープ状態になった上でCommand&Controlサーバーへの通信を開始したそうです。Command&Controlサーバーとの通信を開始した「KeRanger」はサーバーから暗号キーを受け取り、

KeRanger-Execute-encrypt

After connecting to the C2 server and retrieving an encryption key, the executable will traverse the “/Users” and “/Volumes” directories, encrypt all files under “/Users”, and encrypt all files under “/Volumes” which have certain file extensions.

New OS X Ransomware KeRanger Infected Transmission BitTorrent Client Installer – Palo Alto Networks Blog

 ”/Users”, “/Volumes”ディレクトリ以下をドキュメントや画像、動画ファイルなどを全て暗号化し、復号化のためにユーザーに400ドルのBitcoinを要求するとPalo Alto Networksは伝えています。

Apple&Transmissionの対応

 Palo Alto Networksはこの情報をAppleおよびTransmission側に伝え、インストーラーが改ざんされたTransmissionは現地時間3月5日このインストーラーをWebサイト上から削除し、「KeRanger」を削除するアップデートを配布。

Transmission-KeRanger-Hero

 報告を受けたAppleも昨日「OSX.KeRanger.A」をブロックしたウィルス定義データベース「XProtect」 v2076をリリースし、Gatekeeperでこの開発者をブロックするなどして対策しています。

OSX_KeRanger_A-Hero

ユーザーがチェックすべきこと

 ランサムウェア「KeRanger」が同梱されたインストーラーはPST 2016年3月4日 午前11時 ~ 3月5日 午後7時までTransmissionのサイト上に公開されており。このインストーラーによってインストールされたTransmissionは以下のディレクトリに実行ファイル(General.rtf)を作成しているため、

Transmission-General-rtf

  • /Applications/Transmission.app/Contents/Resources/General.rtf
  • /Volumes/Transmission/Transmission.app/Contents/Resources/General.rtf

 このアプリケーションを削除し、次にアクティビティモニターを起動し”kernel_service”を検索。このプロセスが実行されている場合は、プロセス名をダブルクリックし強制終了。

kernel_service-activity-monitor

 その後“/Users//Library/kernel_service”ディレクトリに移動し不可視ファイル”.kernel_pid”などを削除するように進めています。

After these steps, we also recommend users check whether the files “.kernel_pid”, “.kernel_time”, “.kernel_complete” or “kernel_service” existing in ~/Library directory. If so, you should delete them.

New OS X Ransomware KeRanger Infected Transmission BitTorrent Client Installer – Palo Alto Networks Blog

追記

 公式Webサイトが改ざんされ、KeRangerの媒介となってしまったTransmissionはこのランサムウェアを削除するルーチンをTransmission v2.92以降で導入したそうです。(関連記事

関連リンク

コメント

  1. Apple7743 より:

    公式が改竄されちゃユーザーはどうしようも無いわな
    まあ割れに使ってるやつは自業自得だがな

  2. Apple7743 より:

    タイムマシンで戻せば回復。
    Windows にもタイムマシンがほしい…

  3. Apple7743 より:

    この前ここでも紹介されてたやつじゃん
    二年ぶりのアップデートだったんだっけ?
    配布元くそ怪しすぎる

  4. >>3です より:

    ごめんよく読んでなかった、公式サイトが改ざんされたのね

  5. Apple7743 より:

    *3
    TransmissionはUbuntuのデフォルトBitTorrentクライアントとしても採用されている最も信頼のあるクライアント。
    ttps://help.ubuntu.com/community/TransmissionHowTo
    上にも書いてあるがオープンソースだから誰でもモディファイ可能で、Webサイトに脆弱性があったから犯人はそこを突いたんだろうね。

  6. Apple7743 より:

    たまにUbuntuのISOを落とすとき直にダウンロードするよりも早いから使ってるな。
    だけどCLIかWebUIのデーモンしか使ってない。しかもソースからビルドしてるなら大丈夫か?

  7. Apple7743 より:

    だからMacKeeper入れとけ

  8. Apple7743 より:

    MacKeeper なんの役に立つんだ?
    今回の場合なんの役にも立たないと思うんだけど。

  9. Apple7743 より:

    Linux入れてみようとした途端にこれだよ
    なぜかrtfとかkernel_serviceとかなかったから胸を撫で下ろしたけどもう二度とBitTorrentは使わない

  10. Apple7743 より:

    MacKeeprそのものがマルウェアだろ

  11. Apple7743 より:

    どう見ても※7は釣り