转载

Mac勒索软件KeRanger其实是Linux.Encoder的一个变种

根据Bitdefender的研究，这个Transmission 的BT更新客户端木马又叫做KeRanger。 KeRanger 开创了多个先例——首例影响Mac OS X的勒索软件，首列通过合法开发者签署的更新软件来扩散以及首例跨平台的勒索软件。

深入分析 KeRanger 显示该木马实际上是Mac其中一个版本的 Linux.Encoder木马。

被感染的Mac OS XBT更新客户端经过 Bitdefender 的分析和版本4的 Linux.Encoder 木马非常相似，这个木马自2016年以来已经感染了数以千计的Linux服务器。

Fig. 1 – Linux.Encoder.4 反汇编

Mac勒索软件KeRanger其实是Linux.Encoder的一个变种

Fig. 2 – KeRanger 反汇编

攻破Mac OS X的防御

由于 Mountain Lion ， Mac OS X 自带一个叫做 Gatekeeper 的安全工具。它允许用户限制安装程序来源，从而可以最大限度的减少部署的应用程序被污染的可能性。默认的设置是安装 Mac App 商店或者可信任开发者的应用程序（也就是开发者数字签名过的应用程序）。

为了绕过 Gatekeeper ，攻击者必须对 Transmission 的更新包进行数字签名。苹果公司会使用一个合法的证书。列出这个证书的开发人员是一家土耳其公司， ID Z7276PX673 ，这个 ID 和开发者在之前的 Transmission 安装版本中所使用的 ID 不同。这已经不是首次通过滥用合法证书来绕过 Gatekeeper 的网络犯罪行为。在 2013 年，一个伪数字签名证书的后门 (MAC.OSX.Backdoor.KitM.A) 在安哥拉的人权斗争所使用的电脑中被发现。

一旦被感染的安装文件被执行，木马就会通过 TOR 连接到 C&C 服务器，随即恢复加密密钥。加密完成后， KeRanger毁创建一个叫做 README_FOR_DECRYPT.txt 文件，这个文件告诉受害人如何付款来取得原始文件。

这些加密的函数基本都差不多并且还有相同的名字： encrypt_file, recursive_task, currentTimestamp 以及仅仅涉及到一点的 createDaemon 。 ” 加密过程和 Linux.Encoder 是一样的 ” 在 Bitdefender 工作的 Catalin Cosoi, Chief Security Strategist 这样解释到。

总结

在 6 个月前，勒索软件仅仅对 Windows 和 Android 端具有威胁。在去年 12 月，首例基于 Linux 的勒索软件便出现了，并且加密了数以千计的 web 服务器。幸运的是， Bitdefender 的研究人员可以绕过加密算法对 4 个变种的加密算法进行解密。现在看来， Linux.Encoder 恶意软件背后的开发者要么已经投入到 Mac OS X 平台要么将代码授权给专业的 Mac OS X 网络犯罪集团。