애플 맥 OS 노리는 신종 랜섬웨어 출현

2016-03-07 18:40
  • 카카오톡
  • 네이버 블로그
  • url
맥용 파일 공유 클라이언트 설치 프로그램 감염시켜 데이터 암호화

[보안뉴스 김태형] 애플 맥 OS를 노리는 신종 랜섬웨어 ‘키레인저(KeRanger)’가 등장해 주의가 필요하다. 이는 맥용 파일 공유 클라이언트 ‘트랜스미션 비트토렌트(Transmission BitTorrent)’의 설치 프로그램을 감염시켜 데이터 파일을 암호화한 후 비트코인을 요구한다.

팔로알토 네트웍스는 자사의 보안 인텔리전스 센터 유닛24(Unit 24) 블로그를 통해 ‘키레인저(KeRanger)’라고 명명된 랜섬웨어에 의해 맥용 파일 공유 클라이언트 ‘트랜스미션 비트토렌트(Transmission BitTorrent)’의 설치 프로그램이 감염된 것을 확인했다고 밝혔다. ‘키레인저’는 지난 2014년 발견되었던 유일한 OS X 랜섬웨어로 알려진 파일코더(FileCoder)와 달리 OS X 플랫폼에서 작동하는 최초의 완전한 기능을 갖춘 랜섬웨어로 분석된다.


▲ 맥용 파일공유 프로그램 ‘트랜스미션’

이번에 감염된 ‘트랜스미션’은 오픈 소스 프로젝트로, 트랜스미션의 공식 웹사이트가 손상되었을 가능성과 파일이 재컴파일 된 악성 버전으로 교체되었을 수 있는 가능성 등이 제기되고 있으나 정확한 감염 경로는 현재 확인되지 않은 것으로 나타났다.

키레인저(KeRanger) 애플리케이션은 유효한 인증서를 통해 개발되어 애플(Apple)의 게이트키퍼(Gatekeeper) 보안을 우회하는 것이 가능하다. 사용자가 감염된 애플리케이션을 설치하면 내장된 실행 파일이 시스템에서 실행되며, 키레인저는 3일간 잠복해 있다가 토르(Tor) 익명 네트워크를 통해 명령 및 컨트롤과 연결된다. 이후 시스템에 있는 특정 유형의 문서와 데이터 파일을 암호화해, 암호화 과정이 끝나면 피해자에게 파일을 풀기 위해 특정 주소로 비트코인(약 400달러)을 지불하라고 요구하고 있다. 키레인저(KeRanger)는 여전히 활성화된 상태로 분석되고 있으며, 피해자가 백업 데이터를 복구하지 못하도록 타임머신(Time Machine) 백업 파일에 대한 암호화도 시도하고 있는 것으로 파악됐다.

팔로알토 네트웍스는 최초 발견 일시인 지난 4일, 트랜스미션 프로젝트(Transmission Project)와 애플(Apple)에 랜섬웨어 문제를 고지했다. 이후 애플은 악용된 인증서를 취소하는 한편 XProtect 안티바이러스 시그니처를 업데이트했으며, 트랜스미션 프로젝트는 해당 웹 사이트에서 악성 설치 프로그램을 제거하는 조치를 취했다. 또한 팔로알토 네트웍스는 키레인저가 시스템에 미치는 영향을 중단시키기 위해 URL 필터링 및 위협 분석 플랫폼 업데이트를 완료했다.

태평양 표준시 기준으로 2016년 3월 4일 오전 11시부터 3월 5일 오후 7시까지 공식 웹 사이트에서 트랜스미션 설치 프로그램을 직접 다운로드 한 사용자는 키레인저(KeRanger)에 감염되었을 수 있다. 트랜스미션 설치 프로그램을 이 시간 이전에 다운로드 했거나 제3의 웹 사이트에서 다운로드 한 사용자는 다음과 같은 보안 검사가 권장되며, 이전 버전의 트랜스미션 사용자는 현재까지 영향이 없는 것으로 분석됐다.

1. Terminal 또는 Finder 사용 시 /Applications/Transmission.app/Contents/Resources/ General.rtf 또는 /Volumes/Transmission/Transmission.app/Contents/Resources/ General.rtf가 있는지 확인한다. 이들 중 하나라도 있는 경우, 트랜스미션 애플리케이션이 감염된 것이므로 이 버전의 트랜스미션을 삭제하는 것이 좋다.

2. OS X에 사전 설치된 ‘Activity Monitor’를 사용하는 경우에는 ‘kernel_service’라는 이름의 프로세스가 실행되고 있는지 확인한다. 실행되고 있다면 프로세스를 다시 한 번 확인하고 ‘Open Files and Ports’를 선택하여 ‘/Users//Library/kernel_service’ 같은 파일이 있는지 확인한다(아래 그림 참고). 파일이 있다면 이 프로세스가 키레인저(KeRanger)의 주요 프로세스이므로 ‘Quit -> Force Quit’로 종료한다.


▲ 키레인저의 주요 프로세스가 실행되고 있는지 확인해 삭제해야 한다.

3. 이러한 조치 후에는 ~/Library directory에 ‘.kernel_pid’, ‘.kernel_time’, ‘.kernel_complete’ 또는 ‘kernel_service’ 같은 파일이 있는지 확인하고 파일이 있으면 이 파일들을 삭제해야 한다.
[김태형 기자(boan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

헤드라인 뉴스

TOP 뉴스

이전 스크랩하기


과월호 eBook List 정기구독 신청하기

    • 다후아테크놀로지코리아

    • 인콘

    • 엔텍디바이스코리아

    • 이노뎁

    • 다후아테크놀로지코리아

    • 아이디스

    • 씨프로

    • 웹게이트

    • 씨게이트

    • 하이크비전

    • 한화비전

    • ZKTeco

    • 비엔에스테크

    • 비엔비상사

    • 원우이엔지

    • 지인테크

    • 지오멕스소프트

    • 이화트론

    • 다누시스

    • 테크스피어

    • 렉스젠

    • 슈프리마

    • 인텔리빅스

    • 시큐인포

    • 미래정보기술(주)

    • 동양유니텍

    • 비전정보통신

    • 경인씨엔에스

    • 트루엔

    • 성현시스템

    • 한결피아이에프

    • 프로브디지털

    • 디비시스

    • 세연테크

    • 스피어AX

    • 투윈스컴

    • 위트콘

    • 유에치디프로

    • 구네보코리아주식회사

    • 주식회사 에스카

    • 넥스트림

    • 포엠아이텍

    • 세렉스

    • 탈레스

    • 에스지에이솔루션즈

    • 로그프레소

    • 윈스

    • 포티넷코리아

    • 신우테크
      팬틸드 / 하우징

    • 에프에스네트워크

    • 유투에스알

    • 케이제이테크

    • 알에프코리아

    • 창성에이스산업

    • 아이엔아이

    • 미래시그널

    • 새눈

    • 에스에스티랩

    • 현대틸스
      팬틸트 / 카메라

    • 이스트컨트롤

    • 네티마시스템

    • 태정이엔지

    • (주)일산정밀

    • 넥스텝

    • 한국씨텍

    • 두레옵트로닉스

    • 에이티앤넷

    • 지에스티엔지니어링
      게이트 / 스피드게이트

    • 에이앤티글로벌

    • 포커스에이치앤에스

    • 신화시스템

    • 휴젠

    • 메트로게이트
      시큐리티 게이트

    • 글로넥스

    • 엘림광통신

    • 세환엠에스(주)

    • 유진시스템코리아

    • 카티스

    • 유니온커뮤니티

Copyright thebn Co., Ltd. All Rights Reserved.

MENU

회원가입

Passwordless 설정

PC버전

닫기