2024-03-29 18:00 (금)
“맥 OS 랜섬웨어 KeRanger, 리눅스 악성코드 변환한 것”
상태바
“맥 OS 랜섬웨어 KeRanger, 리눅스 악성코드 변환한 것”
  • 길민권
  • 승인 2016.03.09 14:10
이 기사를 공유합니다

“악성코드 연구자들, 비윈도 시스템에서도 어떻게든 악성코드 만들어낼 것”
얼마전 발견되었던 Bittorrent 업데이트로 위장하고 있던 첫번째 Mac OS X 랜섬웨어인 KeRanger는 리눅스에 대한 악성코드를 포팅한 것으로 추정된다.
 
빗디펜더(Bitdefender) 랩에 따르면 KeRanger는 사실상 몇 달 전 리눅스 서버를 공격하는 랜섬웨어였던 ‘Linux.Encoder’를 Mac OS X 환경에 맞추어 변환한 것으로 보인다고 밝혔다.
 
빗디펜더의 Catalin Cosoi는 “암호화 함수가 동일하고 같은 이름을 갖고 있다(encrypt_file, recursive_task, currentTimestamp, createDaemon). 암호화 루틴 역시 Linux.Encoder와 동일하다”라고 블로그에서 밝히고 있다.


 
리눅스 악성코드였던 Linux.Encoder은 리눅스 서버를 감염시키는데 일부 성공했으나 키복구가 가능한 결함이 있었다. 키 복구는 곧 대가 지불없이 복호화키를 찾을 수 있다는 의미이다.
 
KeRanger 제작자는 Mac OS X의 방어를 우회하기 위해 애플(Apple)에서 발행된 합법적인 인증서를 사용했다.
 
OS X Mountain Lion에서부터 채택된 보안 정책인 게이트키퍼(Gatekeeper)는 어플리케이션 설치시 소스에 제한을 두는 것으로, 기본정책은 맥 앱스토어(Mac App Store)이나 디지털 서명이 가능한 인증된 개발자로부터의 어플리케이션만 설치할 수 있다는 것이다.
 
공격자는 Gatekeeper 환경에서 토렌트 업데이트 프로그램을 디지털 서명할 수 있었다. KeRanger가 사용한 키는 ID Z7276PX67라는 터키 회사의 소유로 되어있고, 토렌트에 의해 사용되던 것과 같은 것은 아니다.
 
빗디펜터는 KeyRanger가 비윈도우즈 시스템에 대한 악성코드 공격의 신호일 수 있다고 경고하고 있다. 이전에는 공격자들이 자신의 작업을 통해 돈을 벌 수 있다는 것을 고려하지 않았지만, 랜섬웨어 같이 돈을 요구할 수 있는 공격을 위해서라면 악성코드 연구자들이 비윈도우즈 시스템에서도 어떻게든 악성코드를 만들어낼 것이라고 그들은 이야기하고 있다.
 
★정보보안 대표 미디어 데일리시큐!★
 
데일리시큐 페소아(fesoa) 기자 / mkgil@dailysecu.com
■ 보안 사건사고 제보 하기

▷ 이메일 : mkgil@dailysecu.com

▷ 제보 내용 : 보안 관련 어떤 내용이든 제보를 기다립니다!

▷ 광고문의 : jywoo@dailysecu.com

★정보보안 대표 미디어 데일리시큐 / Dailysecu, Korea's leading security media!★