- ‘트랜스미션 비트토렌트’ 감염시켜 암호화한 후 비트코인 요구
[디지털데일리 이유지기자] 애플 맥용 운영체제 ‘OS X’를 겨냥한 랜섬웨어가 등장했다.
팔로알토네트웍스(지사장 최원식)는 7일 자사의 보안 인텔리전스 센터 유닛24(Unit 24) 블로그를 통해 ‘키레인저(KeRanger)’라고 명명된 랜섬웨어에 의해 맥용 파일 공유 클라이언트 ‘트랜스미션 비트토렌트(Transmission BitTorrent)’의 설치 프로그램이 감염된 것을 확인했다고 밝혔다.
‘키레인저’는 2014년 발견된 유일한 OS X 랜섬웨어로 알려진 파일코더(FileCoder)와 달리 OS X 플랫폼에서 작동하는 최초의 완전한 기능을 갖춘 랜섬웨어로 분석된다.
이번에 감염된 ‘트랜스미션’은 오픈소스 프로젝트로, 트랜스미션의 공식 웹사이트가 손상됐을 가능성과 파일이 재컴파일 된 악성 버전으로 교체되었을 수 있는 가능성 등이 제기되고 있으나 정확한 감염 경로는 현재 확인되지 않은 것으로 나타났다.
‘키레인저’ 애플리케이션은 유효한 인증서를 통해 개발돼 애플의 게이트키퍼(Gatekeeper) 보안을 우회하는 것이 가능하다. 사용자가 감염된 애플리케이션을 설치하면 내장된 실행 파일이 시스템에서 실행되며, 키레인저는 3일간 잠복해 있다가 토르(Tor) 익명 네트워크를 통해 명령·제어(C&C) 서버와 연결된다. 이후 시스템에 있는 특정 유형의 문서와 데이터 파일을 암호화한다. 암호화 과정이 끝나면 피해자에게 파일을 풀기 위해 특정 주소로 비트코인(약 400달러)을 지불하라고 요구하고 있다.
‘키레인저’는 여전히 활성화된 상태로 분석되고 있으며, 피해자가 백업 데이터를 복구하지 못하도록 타임머신(Time Machine) 백업 파일에 대한 암호화도 시도하고 있는 것으로 파악됐다. 
팔로알토네트웍스는 최초 발견 일시인 지난 4일, 트랜스미션 프로젝트와 애플에 랜섬웨어 문제를 고지했다. 이후 애플은 악용된 인증서를 취소하는 한편 엑스프로텍트(XProtect) 안티바이러스 시그니처를 업데이트했다. 트랜스미션 프로젝트는 해당 웹 사이트에서 악성 설치 프로그램을 제거하는 조치를 취했다. 팔로알토네트웍스는 키레인저가 시스템에 미치는 영향을 중단시키기 위해 URL 필터링 및 위협 분석 플랫폼 업데이트를 완료했다.
회사측은 “태평양 표준시 기준으로 지난 4일 오전 11시부터 5일 오후 7시까지 공식 웹사이트에서 트랜스미션 설치 프로그램을 직접 다운로드 한 사용자는 ‘키레인저’에 감염됐을 수 있다”며 “트랜스미션 설치 프로그램을 이 시간 이전에 다운로드 했거나 제3의 웹사이트에서 다운로드 한 사용자는 보안 검사가 권장되며, 이전 버전의 트랜스미션 사용자는 현재까지 영향이 없는 것으로 분석됐다”고 밝혔다.
팔로알토네트웍스가 권장한 보안 검사는 ▲터미널 또는 파인더 사용시 /Applications/Transmission.app/Contents/Resources/ General.rtf 또는 /Volumes/Transmission/Transmission.app/Contents/Resources/ General.rtf가 있는지 확인한다. 이들 중 하나라도 있는 경우, 트랜스미션 애플리케이션이 감염된 것이므로 이 버전의 트랜스미션을 삭제하는 것이 좋다.
▲OS X에 사전 설치된 ‘액티브 모니터(Activity Monitor)’를 사용하는 경우에는 ‘kernel_service’라는 이름의 프로세스가 실행되고 있는지 확인한다. 실행되고 있다면 프로세스를 다시 한 번 확인하고 ‘Open Files and Ports’를 선택해 ‘/Users/<USERNAME>/Library/kernel_service’ 같은 파일이 있는지 확인한다. 파일이 있다면 이 프로세스가 키레인저(KeRanger)의 주요 프로세스이므로 ‘Quit -> Force Quit’로 종료한다.
▲이러한 조치 후에는 ~/Library directory에 ‘.kernel_pid’, ‘.kernel_time’, ‘.kernel_complete’ 또는 ‘kernel_service’ 같은 파일이 있는지 확인하고, 파일이 있으면 이 파일들을 삭제해야 한다.
<이유지 기자>yjlee@ddaily.co.kr
▼▼▼▼▼▼▼▼▼▼▼▼▼▼▼▼▼▼▼▼▼▼▼▼▼▼▼▼▼▼▼▼▼▼▼▼▼▼▼▼▼▼▼▼▼▼▼▼▼▼▼▼▼▼▼▼▼▼▼▼▼▼▼▼▼▼▼▼▼
업계최초 국내 최고 스펙의 서버호스팅 (16Core)
C P U : Intel Xeon 8Core E5-2670 2.60GHz * 2 CPU
메모리: 24GB DDR3 Memory
하 드 : 1TB HDD or 128GB SSD
회 선 : 10 Mbps 기본 제공/1Gigabit Port 연결
Free KVM , Remote Reboot
Network , Resource Monitoring 월비용 : 무약정 160,000원
100% Network Uptime
24x7x365 기술지원
*** 웹취약점 무료 보안 컨설팅 ***
*귀사의 서버에 보안침해를 경험하셨거나, 보안취약점 점검을 받아보시고자 하시는
고객사는(이호스트IDC 고객을 포함한 타사 서버 고객대상)
-
언제든지 전화 및 메일주시면 보안취약성 점검을 통한
보안레포트를 제공해드리겠습니다.
보안취약성 점검을 위한 무상장비는 : 웹방화벽, IPS 무상 지원해드립니다.
서버호스팅 및 보안 컨설팅 : 070-7600-5513 (3095) / request@ehostidc.co.kr
'[IT 알아보기] > 보안 이슈' 카테고리의 다른 글
| 최신 정보보호 트렌드 한눈에! ‘eGISEC 2016’ 16~18일 열려 (0) | 2016.03.14 |
|---|---|
| 서버호스팅, BIND DNS 신규 취약점 보안 업데이트 권고 (0) | 2016.03.14 |
| 홍콩, 일본서버호스팅 보안 가이드. Cisco 보안 업데이트 권고 (0) | 2016.03.10 |
| 홍콩, 일본서버호스팅 보안 가이드. MS 3월 보안 위협에 따른 정기 보안 업데이트 권고 (0) | 2016.03.10 |
| 리눅스서버 취약점, OpenSSL 긴급 보안 업데이트 (0) | 2016.03.07 |