맥용 트랜스미션에서 발견된 'KeRanger' 랜섬웨어 감염여부 진단과 해결방법

2016.03.07 16:09    작성자: ONE™

맥 사용자를 노린 첫 랜섬웨어가 등장했다는 소식이 전해지면서 혹시 자신의 컴퓨터도 감염된 것이 아닌가 하는 공포가 확산되고 있습니다.

랜섬웨어의 유포 경로가 된 '트랜스미션(Transmission)' 개발팀의 관리 소홀은 비난 받아 마땅하지만, 다행스럽게도 개발팀과 보안 업체, 애플이 공조하면서 필요한 대응조치를 취해나가고 있습니다. 일단 앞서 전해드린 소식에 랜섬웨어 감염 유부와 대응책에 대해 보충할 만한 사항이 있어 따로 정리해 봤습니다.

랜섬웨어 감염 경로

'KeRanger'로 명명된 이번 랜섬웨어는 맥용 토렌트 클라이언트 앱으로 유명한 트랜스미션(Transmission)을 통해 최초로 발견됐습니다.

그런데 랜섬웨어를 최초로 발견한 팔로알토 네트웍스에 따르면, 트랜스미션 모든 버전에 랜섬웨어가 심어져 있는 것은 아니며 (미국 태평양 표준시) 3월 4일 오전 11시부터 3월 5일 오후 7시 사이에 트랜스미션 공식 웹사이트를 통해 배포된 2.90 버전에서 발견됐습니다. 안심하기는 이르지만, 이 기간 이전이나 이후에 공식 웹사이트에서 트랜스미션을 내려받은 경우, 또는 앱 내 업데이트를 통해 2.90 버전을 설치한 경우는 랜섬웨어의 영향을 받지 않는 것으로 알려져 있습니다.

"미국 PST 기준 3월 4일 오전 11시부터 3월 5일 오후 7시 사이에 공식 웹사이트를 통해 트랜스미션 인스톨러를 직접 내려받은 사용자는 KeRanger 랜섬웨어에 감염되어 있을 수 있다."

- Palo Alto Networks

다만, 랜섬웨어가 어떤 경로로 트랜스미션 개발팀 컴퓨터에 유입되었는지에 관해선 언급이 없었습니다. 외신들은 오픈소스 소프트웨어의 특성상 트랜스미션이 차용한 외부 소스코드에 악성코드가 심어져 있었을 것으로 추측하고 있습니다.

"KeRanger는 유효한 개발자 인증서에 함께 서명되어 유포된다; 덕분에 맥 OS의 게이트키퍼 보호 기능을 우회할 수 있다. 만약 사용자가 감염된 앱을 설치하면, 임베딩 된 파일이 시스템에서 실행된다. 

그 후, KeRanger는 3일을 기다렸다가 익명의 토르 네트워크를 통해 C&C 서버에 접속해 암호화 키를 내려받는다. 그리고 시스템에 있는 특정 타입의 문서와 데이터 파일을 암호화하기 시작한다. 암호화 과정이 끝나고 나서 KeRanger는, 피해자에게 파일을 되살리고 싶으면, 1비트코인(약 400달러)을 특정 주소로 지불하라고 요구한다. 

KeRanger는 여전히 활발하게 개발되는 중으로 보이며, 피해자가 백업 데이터로 복원하는 걸 막기 위해서 타임머신 백업 파일까지 암호화시키려고 하는 것으로 보인다."

Palo Alto Networks

랜섬웨어 감염 여부 진단

이 기간에 트랜스미션을 설치한 분은 다음 과정을 참고하여 랜섬웨어 감염 여부를 진단할 수 있습니다.

1. 응용 프로그램 > 유틸리티 폴더에 위치한 '활성 상태 보기(Activity Monitor)' 앱을 실행합니다.

2. 활성 상태 보기 오른쪽 위에 위치한 검색 필드에 'kernel'을 입력합니다. 만약 아래 사진과 같이 'kernel_service'라는 프로세스가 실행 중이면 랜섬웨어에 감염된 것입니다. 참고로 'kernel_task' 'KernelEventAgent'는 이번 랜섬웨어와 무관하니 안심해도 됩니다. ▼

3. 해당 프로세스를 중지하기 위해 목록에서 'kernel_service'를 선택한 뒤 윈도우 왼쪽 위에 있는 x 버튼을 누르고 '강제 종료' 버튼을 클릭합니다. ▼

4. 응용 프로그램 > 유틸리티 폴더에 있는 '터미널(Terminal)'을 실행한 뒤 아래 명령어를 입력해 랜섬웨어 관련 파일을 삭제합니다. ▼

rm -rf ~/Library/.kernel_time ~/Library/.kernel_complete ~/Library/kernel_service ~/Library/.kernel_pid

애플도 대응 나서

팔로알토 네트웍스에 따르면 랜섬웨어를 발견하자 마자 애플에 이 사실을 통보한 것으로 알려졌습니다.

이에 애플도 일요일인 6일에 랜섬웨어 실행을 억제하는 XProtect 업데이트를 배포하고 있습니다. 이번 업데이트로 'XProtect' 정의 데이터베이스가 v2076 버전으로 판올림되는데요. 중요한 보안 업데이트으므로 별도의 안내 없이 배경에서 자동으로 설치가 완료됩니다. 


그런데 지난 주에 불거진 '이더넷 작동 불능' 문제 보안 업데이트를 꺼두신 분이 적지 않을 텐데요. 이런 분은  > 시스템 환경설정 > App Store에 들어가 '자동으로 업데이트' 항목의 '시스템 데이터 파일 및 보안 업데이트 설치'를 다시 체크하시기 바랍니다. 그러면 24시간 이내 보안 업데이트가 설치됩니다. ▼

만약 지금 당장 보안 업데이트를 진행하고 싶은 분은 아래 방법을 참고하시기 바랍니다.

1. 응용 프로그램 > 유틸리티 폴더에 있는 '터미널(Terminal)'을 실행한 뒤 아래 명령어를 입력합니다. ▼

2. 보안 업데이트가 제대로 설치되었는지 확인하려면, 우선 Finder에서 command + shift + G 키를 사용해 아래 경로로 이동합니다. OS X 버전에 따라 보안 업데이트 설치 경로가 다르니 이점 유념하시기 바랍니다. ▼

OS X 10.11 El Capitan

/System/Library/CoreServices/XProtect.bundle/Contents/Resources/

OS X 10.10 Yosemite

/System/Library/CoreServices/CoreTypes.bundle/Contents/Resources/

3. 폴더에 있는 XProtect.plist를 텍스트 편집기나 Xcode로 열었을 때 'OSX.KeRanger.A'라는 키가 포함돼 있으면 보안 업데이트가 잘 설치된 것입니다. ▼

Transmission 2.92 버전 설치

트랜스미션 개발팀도 문제가 해결된 2.92 버전을 긴급히 배포하며 결자해지 하는 모습을 보여주고 있습니다. 물론 랜섬웨어 유포 창구가 된 앱을 다시 설치해야 하는 게 어딘가 껄끄러운 것도 사실입니다. 아무튼 가장 최근에 나온 트랜스미션 2.92 버전은 랜섬웨어 감염유무를 체크하고, 만약 랜섬웨어에 감염되었으면 이를 제거해 주는 기능이 포함되어 있다고 합니다.

테스트 삼아 OS X 가상머신에 트랜스미션 2.90 버전을 먼저 설치했습니다. 그리고 랜섬웨어 프로세스가 백그라운드에서 돌아가는 것을 확인한 뒤, 트랜스미션 2.92 버전을 실행했는데 데몬 프로세스(kernel_service)가 강제 종료되는 것은 물론, 'KeRanger' 랜섬웨어와 관련된 모든 파일이 자동으로 삭제되는 것을 확인할 수 있었습니다.



참조
• Palo Alto Networks - New OS X Ransomware KeRanger Infected Transmission BitTorrent Client

관련 글
• 애플 맥 사용자 목표로 한 첫 랜섬웨어 등장... 맥용 토렌트 클라이언트 '트랜스미션(Transmission)' 통해 유포
• 맥용 애드웨어 제거 도구 'Malwarebytes Anti-Malware'
• 맥용 안티바이러스 제품 13종 2015 AV-Test 결과
• 잘 알려지지 않은 OS X 보안 체계의 한 기둥 'XProtect'


저작자 표시 비영리 변경 금지
신고
    
  1. Blog Icon
    sf49ers

    App Store app이 먹통이네요.
    자주 이런 현상이 일어나는데 해결할 방법 없을까요? ㅜㅜ

  2. Blog Icon
    쓰랜스미션

    2.92 버전 실행 후 랜섬웨어가 제거 된 상태라면 바로 트랜스미션 2.92 버전을, 트랜스미션을 영구 삭제 해도 괜찮겠죠?

  3. 데몬 프로세스와 관련 파일이 모두 삭제되기 때문에 트랜스미션을 쓸 필요가 없다면 지우셔도 괜찮습니다.

  4. Blog Icon
    쓰랜스미션

    답변 감사합니다.

    빠른 포스팅으로 예방 및 문제 해결에 도움을 주셔서 감사합니다.

  5. Blog Icon
    Zenith73

    트랜스미션을 2.90 으로 업데이트 해서 사용중이었는데, kernel_service 가 실행되고 있지는 않더군요. 알려 주신대로 2.92로 업데이트 하였고, 보안업데이트 된 것도 확인 하였습니다. 감사합니다.

  6. Blog Icon
    MOJ

    트랜스미션을 2.90버전 다운받아 사용해본 후
    별 필요 없을 듯 하여 바로 제거하였는데
    이런경우는 상관 없나요?
    랜섬웨어도 같이 제거되는지 궁금하네요;

  7. 3월 4일~5일 사이에 받은 게 아니라면 2.90 버전이라도 랜섬웨어가 심어져 있지 않다고 합니다. 상기 프로세스나 파일이 발견되지 않았다면 크게 걱정하지 않으셔도 될 것 같습니다.

  8. Blog Icon
    Dowon

    이 정도까지 정리하시고 직접 테스트까지 하시려면 상당한 시간과 노력을 들이셨을텐데... 항상 감사하게 생각합니다.

  9. Blog Icon
    gu

    윈도우에서 랜썸웨어걸린 지인피씨를 봤는데..장난아니더군요.. 정말무섭습니다;;;
    사진파일 및 회사에서 사용하는 엑셀 파워포인트 메모장 다 접근불가됩니다..

    근데 구글드라이브나 엔드라이브등등과 피씨랑 동기화 되어있을땐
    구글드라이브에 올라가있는것도 다 막히나요??
    동기화하기 전에 차단을 해야만 하는건지.. 구글에 올라가있는 것도 다 막혀버리는지..궁금하네요

  10. Blog Icon
    spark

    저는 파일볼트를 활성화 해둔 상태로 사용을 하는데, 이런 경우에도 랜섬웨어 공격에는 방어가 안돼나요?? 궁금하네요.

  11. 파일볼트를 사용하더라도 일단 사용자 계정에 로그인하면 데이터 변조에 무방비 상태가 되기 때문에 파일볼트를 사용하지 않을 때와 마찬가지로 주의를 기울이셔야 합니다.

  12. Blog Icon
    mac

    이상무 감사합니다.

  13. Blog Icon
    명수명수

    검색해봤더니 kernel_task 가 떠서 깜놀...;; 원님 위에 보면 kernel_task 는 이번 랜섬웨어와 무관하다고 하셨는데 이 프로세스는 뭔가용?

  14. Blog Icon
    seonguki

    OS X 운영체제에서 핵심이 되는 부분이에요.
    사람으로 치면 두뇌에 해당합니다.

  15. 맥에도..내일 출근해서 바로 확인해 봐야겠네요

  16. Blog Icon
    me664kh

    원님 항상 감사합니다.
    'kernelEverntAgent' > KernelEventAgent 오타인 것 같아서요~!

    좋은 밤 되세요!

  17. Blog Icon
    이슬

    토렌트를 안쓰는 사람들은 괜찮은거겟죠? ㅜㅜ

  18. 네. 트랜스미션을 전혀 안 쓰시는 분은 감염 여부를 전혀 걱정하실 필요가 없습니다.

  19. Blog Icon
    AJ

    확인해보니 감염이 안된건지 아니면 치료가 된건지 아무튼 정상입니다.
    트랜스미션 2.92 실행도 해보고 애플 업데이트 되었나 확인도 해보구요.
    트랜스미션은 바로 삭제했습니다.
    그런데 kernel로 검색했을때
    kernel_service가 안뜨는건 좋은데 그 외 나머지 두개도 안뜹니다.
    KernelEventAgent, kernel_task. 이 두가지요.
    보아하니 정상적인 파일이고 심지어 중요한 파일인 것 같은데
    저는 왜 아무 것도 안뜰까요.

  20. 검색 대상이 '나의 프로세스'로 되어 있는 것 같습니다.
    활성 상태 보기 메뉴 막대 > 보기 > '모든 프로세스'를 선택하면 목록에 해당 프로세스가 보이실 거에요.

  21. Blog Icon
    jangwj

    다행히 업데이트를 해서 우려했던 상황은 발생하지 않았어요. We're still alive! 이 문구가 이젠 예사롭지 않네요.

  22. Blog Icon

    비밀댓글입니다

  23. Blog Icon

    비밀댓글입니다

티스토리 툴바