Palo Alto Networks威脅情報小組Unit 42資深研究員Vicky Ray表示,此次的KeRanger勒索軟體,顯示即使是OS X也面臨著許多威脅。

圖片來源: 

iThome

近年勒索軟體事件頻傳,而多半事件都是發生在Windows作業系統平臺上。然而在近日,連Mac OS X也出現了第一個功能完整,並且可以對系統造成實際傷害的勒索軟體KeRanger,雖然事後僅有約6,000名Mac用戶受到影響。但此事的爆發,對於長久被視為資安淨土的OS X,無非不是個警訊。

資安公司Palo Alto Networks威脅情報小組Unit 42資深研究員Vicky Ray來臺參與2016資訊安全大會時也表示,勒索軟體造成的影響甚鉅,但是「許多人過去討論勒索軟體時,範圍都僅限定於安裝Windows的機器。」

當Unit 42發現這個藏身於BT下載軟體Transmission中的勒索軟體後,除了將自家資安解決方案進行更新外,也馬上通知蘋果及Transmission撤回KeRanger所使用的憑證,而Transmission也緊急把應用程式撤下,讓災情並沒有繼續擴大。

勒索軟體KeyRanger用簽署憑證繞過OS X安全機制,打破蘋果安全神話

Vicky Ray表示,此次透過三方的快速合作,才得以讓傷害降到最低。而Keranger之所以能造成傷害,其中的關鍵是「使用了通過蘋果簽署的憑證,才能讓惡意軟體成功繞過OS X的安全防禦機制。」

而Unit 42分析此勒索軟體後發現,一旦它成功安裝在OS X上後,KeRanger會在作業系統中蟄伏3天,之後便開始加密使用者的文件,並且索取1比特的贖金。甚至,目前仍持續開發中的KeRanger,也企圖加密Time Machine中的備份檔案,避免使用者藉由回復備份資料,躲避勒索軟體的威脅。

過去Mac OS X經常被視為最安全的作業系統,但是歷經這一次爆出勒索軟體的消息,「此事件相當重要,因為它喚起了眾人的警覺。」Vicky Ray認為,多年以來,大眾都認為Mac OS X是完全安全,與日常發生的威脅事件都擦不上邊。在過去,雖然Windows平臺所遭受威脅數目比確實OS X高的很多,但是「這一次的案例顯示,即使是Mac OS X也是面臨著許多威脅。」

除了打破蘋果的安全神話外,KeRanger是具備了經過簽署的Mac程式開發憑證,因此可以成功繞過蘋果的Gatekeeper,「蘋果有相當嚴格的審核機制,而KeRanger取得經合法認證的憑證」。因此Vicky Ray也認為,過去對經簽署憑證的信賴關係,事件受到破壞。

重視資安事件的情境,而非視為單一個案

在分析資安威脅同時,Vicky Ray更提醒「資安事件的情境 (context)也非常重要。」Unit 42的研究小組除了持續尋找外部威脅外,同時也必須確認資安攻擊者握有的資源、攻擊動機及策略。

他表示,資安分析師每天都在檢視不同的威脅,並且經常將各種威脅視為單一案例,「但是這些攻擊事件的情境,常常是遺失的重點。」他舉例,像是組織是否已經被同樣的攻擊者鎖定一段時間,或是某些惡意軟體經常被使用於攻擊特定對象。

Vicky Ray表示,過去分析這些情境都必須花上數周時間。但是在使用Palo Alto Networks推出的大資料智慧威脅解決方案AutoFocus,集結了Unit 42的研究結果、第三方的回饋及每天成千上萬的病毒樣本,可以將分析時間縮短至數秒鐘。他呼籲,企業必須主動預防威脅,而不是偵測威脅。「等到偵測至威脅時,通常都已經為時已晚。」

建立預防風險、察覺風險的概念,才是治本之道

現代勒索軟體可以追溯至2005年的Trojan.Gpcoder,其將受害者資料加密後同時刪除原始的文件。Vicky Ray表示,勒索軟體已經對使用者造成風險許久年,而在過去5年或10年,針對資安的防護,重點往往都放在威脅偵測。「在過去偵測威脅或許是有效的防治作法,但是到了現今卻不適用了。」如果等到系統偵測到威脅,通常已經為時已晚。因此他認為,只有做好事前預防才是更根本的做法。

而蘋果電腦的使用者怎麼防範來自勒索軟體的威脅?「察覺(awareness)是關鍵。」他表示,察覺風險是保障自我安全的關鍵,而這也是Unit 42將資安研究成果公開的關鍵原因。

雖然過去蘋果電腦帶給使用者安全的印象,不過Vicy Ray認為,使用者必須了解自己正在下載的應用程式,以及這些應用程式的來源。他表示,有許多提供應用程式下載的地方其實並不安全,或許甚至並沒有通過蘋果的認證,「使用者必須察覺到,這些應用程式的來源並不安全,很可能下載到不安全的東西。」

除了個人使用者外,政府機關或是大型企業由於組織龐大,面臨到資安事件爆發時往往無法快速反應。曾經任職於金融產業的Vicky Ray也表示,當今金融產業的面臨的資安風險仍然持續在成長,並且同時面臨來自內外的威脅。例如,企業旗下客戶會特別遭到外部駭客鎖定,而組織內部團隊的高層人員同樣可能會竊取機密資料。

Vicky Ray也建議,使用者除了建立察覺風險的意識外,「我們必須利用更全面(holistic)的角度檢視威脅。」

他解釋,面對不同種的惡意軟體,使用者可能都有各自的解決方案,「但是這些解決方案,各自間並不互相溝通、連結」,對於資安事件的反應時間就會變得比較遲鈍。因此Vicky Ray認為,建立一個首重預防的資安全面平臺相當重要。

 3步驟對抗OS X勒索軟體 KeRanger 

1. 搜尋磁碟中的惡意程式

使用終端機或是Finder,搜尋/Applications/Transmission.app/Contents/Resources/ General.rtf或是/Volumes/Transmission/Transmission.app/Contents/Resources/ General.rtf路徑是否存在。如果存在,代表使用者已經遭受到感染,必須將此些檔案刪除。

2. 搜尋背景執行的惡意程式

利用Mac OS X中預設的活動監視器(Activity Monitor),檢查kernel_service此程序是否正在運行。如果在運行的話,確認/Users/<用戶名稱>/Library/kernel_service的檔案是否存在。如果存在,將此程序強制結束。

3. 確認惡意軟體存在後,將可疑檔案徹底移除

完成上述步驟後,在 ~/Library目錄夾中,檢查是否存在以下4個可疑檔案:kernel_pid、 kernel_time、 kernel_complete及 kernel_service。如果有,也一併刪除。

資料來源:Palo Alto Networks Unit 42,iThome整理,2016年3月

更正啟事:原文提及Palo Alto公司名稱有誤,正確應為Palo Alto Networks,內文已更正。


Advertisement

更多 iThome相關內容