신종 랜섬웨어 Transmission 클라이언트 감염 위험

원문: New OS X Ransomware KeRanger Infected Transmission BitTorrent Client Installer

3월 4일 Paloalto 연구소에서 Transmission BitTorrent 클라이언트가 랜섬웨어에 감염된 것을 확인했습니다. 이전에 Mac OSX에서 랜섬웨어가 발견된 것은 2014년 FileCoder였으며, 당시 랜섬웨어는 온전히 작동하지 않은 반면 이번 랜섬웨어는 온전히 작동한다는 점에서 최초의 OSX 랜섬웨어라 평가됩니다. Paloalto 연구소는 이 랜섬웨어를 KeRanger라 명명했습니다.

3월 4일 오전 기준으로 두 종류의 2.90버전 클라이언트 설치파일 감염된 것으로 확인되었으며, Transmission은 오픈소스 프로젝트이므로 사이트가 전부 해킹되어 감염된 패키지로 교체되었을 가능성이 있으나 정확한 감염 루트는 확인되지 않았습니다.

KeRanger 어플리케이션은 유효한 앱스토어 인증서로 서명되었습니다. 즉, 애플의 GateKeeper를 통과할 수 있었습니다. 감염된 경우 3일의 잠복기를 지나 명령 및 제어 서버에 연결하여 특정 유형의 파일을 암호화하기 시작합니다. 그 후, 피해자에게 1 비트코인(약 $400)을 지불할 것을 요구합니다. 추가적으로 KeRanger는 아직까지 발전단계에 있는 것으로 보이며 타임머신 백업도 잠가 타임머신 백업에서 복원하는 것도 제한됩니다.

해당 이슈는 Transmission 프로젝트에 보고되었으며 애플은 즉시 해당 랜섬웨어에 사용된 인증서를 폐기하였고, GateKeeper는 해당 악성 설치파일을 차단합니다. 또한 애플에서 XProtect 서명을 업데이트하였고 업데이트 사항은 모든 맥 컴퓨터에 적용되었습니다. 3월 5일 Transmission 프로젝트는 웹사이트에서 감염된 설치파일을 제거하였습니다.

어떻게 해야 하나요

태평양 표준시 2016년 3월 4일 오전 11시부터 같은 해 3월 5일 오후 7시 사이에 공식 웹사이트에서 설치파일을 내려받은 사용자는 감염의 우려가 있습니다. 이전에 내려받은 사용자가 서드파티 서버에서 내려받은 사용자 역시 이하 사항을 점검할 것을 권장합니다. 현재까지는 이전 버전의 Transmission 사용자의 감염사례는 보이지 않습니다.

  1. 터미널이나 파인더로

/Applications/Transmission.app/Contents/Resources/ General.rtf 또는 /Volumes/Transmission/Transmission.app/Contents/Resources/ General.rtf

가 존재하는지 확인하십시오. 확인 결과 존재한다면 감염된 Transmission을 사용중이니 즉시 삭제하실 것을 권장합니다.

  1. 활성 상태 보기.app(Activity Monitor.app)을 이용하여 “Kernel_service”라는 프로세스가 활성중인지 확인합니다. 있다면 해당 프로세스를 더블클릭하여 Open Files and Ports 탭을 열고 /Users/<사용자명>/Library/kernel_service와 같은 파일 명이 있는지 확인합니다. 있다면, KeRanger의 메인 프로세스이니 강제 종료를 통해 종료하여야 합니다.

Image from Paloalto Research Center Article

  1. 위의 절차를 종료하신 후에 .kernel_pid , .kernel_time, .kernel_complete, 또는 Kernel_service의 파일이 ~/Library 디렉터리에 존재하는지 확인하십시오. 있다면 삭제하여야 합니다.

애플에서 사용된 인증서를 폐기하였고 XProtect 서명을 업데이트하였기 때문에 알려진 감염 버전을 열려고 하면 아래와 같이 경고 팝업이 뜨게 됩니다. 알려지지 않은 버전은 그렇지 않을 수도 있습니다. 해당 팝업을 마주하면 그 버전의 어플리케이션은 열지 않는 것이 좋습니다.

Image from Paloalto Research Center Article