Napadi na Mac OS (Mac OS malware)

<font 14px/Arial,Helvetica,sans-serif;;inherit;;inherit>Mac OS rijetko pati od zlonamjernih softvera ili napada virusa i smatra se manjie ranjivim od Windowsa. Međutim, sve većom rasprostranjenosti Mac OS-a, isti je sve više na meti hakera te je povećan broj pojavljivanja napada često nazivanim Mac malware. Mac malware uključuje viruse, Trojan horse, computer worm i druge vrste zlonamjernih softvera.</font>

<font 14px/Arial,Helvetica,sans-serif;;inherit;;#ffffff>Rani primjeri zlonamjernog softvera macOS uključuju Leap (otkriven 2006., poznat i pod nazivom Oompa-Loompa) i RSPlug (otkriven 2007.).</font>

<font 14px/Arial,Helvetica,sans-serif;;inherit;;#ffffff>Aplikacija pod nazivom MacSweeper(2009) obmanjivala je korisnike zbog prijetnji zlonamjernim softverom kako bi uzeli podatke njihove kreditne kartice.</font>

<font 14px/Arial,Helvetica,sans-serif;;inherit;;#ffffff>Trojanski MacDefender(2011) koristio je sličnu taktiku u kombinaciji s prikazivanjem skočnih prozora.</font>

<font 14px/Arial,Helvetica,sans-serif;;inherit;;#ffffff>2012. godine pojavio se crv poznat kao Flashback. U početku je zarazio računala lažnim uputama za instaliranje Adobe Flash Player-a , ali kasnije je iskoristio ranjivost u Javi kako bi se instalirao bez intervencije korisnika. Zlonamjerni softver prisilio je Oracle i Apple na objavljivanje ispravki programskih pogrešaka za Javu kako bi uklonili ranjivost.</font>

<font 14px/Arial,Helvetica,sans-serif;;inherit;;inherit>Bit9 i Carbon Black izvijestili su krajem 2015. godine da je Mac zlonamjerni softver te godine bio plodonosniji nego ikad prije, uključujuči:</font>

• <font 14px/Arial,Helvetica,sans-serif;;inherit;;#ffffff>Apetit - Trojanski konj ciljan na vladine organizacije</font>
• <font 14px/Arial,Helvetica,sans-serif;;inherit;;#ffffff>Lamadai - ranjivost Jave</font>
• <font 14px/Arial,Helvetica,sans-serif;;inherit;;inherit>Coin Thief - ukrao je vjerodajnice za prijavu bitcoina kroz probijene AngryBird aplikacije</font>

<font 14px/Arial,Helvetica,sans-serif;;inherit;;#ffffff>Trojanski trojac poznat kao Keydnap prvi put se pojavio 2016. godine.</font>

<font 14px/Arial,Helvetica,sans-serif;;inherit;;#ffffff>Adware je problem i na Macu, s softverom poput Genieo, koji je objavljen 2009., umetanjem oglasa u web stranice i promjenom početne stranice i tražilice korisnika.</font>

<font 14px/Arial,Helvetica,sans-serif;;inherit;;#ffffff>Zlonamjerni softver se proširio i na Macove putem makronaredbi Microsoft Word.a.</font>

<font 14px/Arial,Helvetica,sans-serif;;inherit;;inherit>Ključne riječi: Mac OS, malware, virusi, zlonamjerni softveri</font>

Oompa-Loompa malware, koji se nazivaju i OSX / Oomp-A ili Leap.A , je aplikacija zaraziti, LAN-spreading rv za Mac OS X, otkrio je Apple zaštitarske tvrtke Intego 14. veljače 2006. ^[1]</sup> Leap ne može se širiti Internetom i može se širiti samo po lokalnoj mreži koja je dostupna putem Bonjour protokola. U većini mreža to ograničava na jednu IP podmrežu . ^[2]</sup>

Dostava i infekcija

Crv Leap isporučuje se preko iChat programa za razmjenu trenutnih poruka kao gzip- komprimirana tar datoteka pod nazivom lastpics.tgz . Da bi crv stupio na snagu, korisnik ga mora ručno pozvati otvaranjem tar datoteke i zatim pokretanjem prerušenog izvršnog zapisa unutar.

Izvršni program je prerušen u standardnu ikonu slikovne datoteke i tvrdi da prikazuje pregled Appleovog sljedećeg OS-a. Jednom kada se pokrene, crv će pokušati zaraziti sustav.

Za korisnike koji nisu “administrator” tražit će se lozinka administratora računala da bi stekla privilegiju za uređivanje konfiguracije sustava. Ne inficira aplikacije na disku, već kad se učitaju pomoću sistemskog sustava nazvanog “apphook”.

Leap inficira samo aplikacije kakaa i ne inficira aplikacije u vlasništvu sustava (uključujući one koje su unaprijed instalirane na novom stroju), već samo aplikacije u vlasništvu korisnika koji je trenutno prijavljen. Obično to znači aplikacije koje trenutni korisnik instalirao je povuci i ispusti, a ne Appleov instalacijski sustav. Kada se pokrene zaražena aplikacija, Leap pokušava zaraziti četiri nedavno korištene aplikacije. Ako ta četvorica ne ispunjavaju gornje kriterije, tada se više ne zarađuje.

Korisni teret

Jednom aktiviran, Leap se pokušava širiti putem iChat Bonjour liste korisnika. Ne širi se putem glavne iChat liste prijatelja, niti preko XMPP . (Prema zadanim postavkama, iChat ne koristi Bonjour i stoga ne može prenijeti ovog crva.)

Leap ne briše podatke, ne špijunira sustav niti preuzima kontrolu nad njim, ali ima jedan štetan učinak: zbog greške u samom crva, zaražena aplikacija se neće pokrenuti. ^{[ citat potreban} // ]</sup> Ovo je korisno jer sprečava ljude da nastave lansirati zaraženi program.

Zaštita i oporavak

Uobičajena metoda zaštite od ove vrste Computer Worma je izbjegavanje pokretanja datoteka iz nepouzdanih izvora. Postojeći administratorski račun može se “odbiti” ako poništite potvrdni okvir “Dopusti ovom korisniku da upravlja ovim računarom.” (Najmanje jedan administrativni račun mora ostati u sustavu kako bi se instalirao softver i promijenili vitalne postavke sustava, čak i ako je račun kreiran isključivo u tu svrhu.)

Oporavak nakon skočne infekcije uključuje brisanje datoteka s crvima i zamjenu zaraženih aplikacija svježim primjercima. ^{[ citat potreban} // ]</sup> Ne zahtijeva ponovnu instalaciju OS-a, budući da su aplikacije u vlasništvu sustava imune. ^[3]</sup>

RSPlug trojanski konj , oblik DNSChanger je malware ciljanje Mac OS X operativni sustav. Prvu inkarnaciju trojanskog izdavača , OSX.RSPlug.A , otkrili su 30. listopada 2007. istraživači Mac sigurnosti u Integu

Varijante [ uredi **]

Nekoliko varijanti RSPlug trojana pronađeno je prije svega na pornografskim web lokacijama prerušenim u video kodeke, a neke varijante uočene su na web lokacijama koje nude preuzimanja igara. Kada je instaliran OSX.RSPlug.A, DNS postavke sustava promijenjene su za preusmjeravanje web pretraživanja na phishing web stranice ili web stranice koje prikazuju oglase za druge pornografske web stranice. ^[2]</sup>

Postoji i verzija OSX.RSPlug Trojan koja cilja Windows platformu, a upravo je ta verzija vodila tehničkog menadžera u F- Secureu koji je sugerirao da je grupa iza Mac Trojan-a koji se mijenja DNS- a ista grupa iza Zloba trojanski . ^[3]</sup> Međutim, Intego je napomenuo da oni koji stoje iza trojanskog konja RSPlug zaustavljaju svoje aktivnosti prije onih koji kontroliraju zlonamjerni softver Windows, te da je vjerojatno da to nisu isti ljudi. ^[4]</sup>

Izolacija [ uredi **]

Kao dio Operacije Ghost Click// , u studenom 2009. godine FBI je srušio “sofisticirani prsten za internetske prijevare koji je virusom zarazio milijune računala širom svijeta i omogućio lopovima manipulaciju s više milijardi dolara vrijednom industrijom internetskog oglašavanja.” ^[4]</sup> FBI je procijenio da je više od četiri milijuna računala u preko 100 zemalja zaraženo DNSChanger-om. Jedna varijanta DNSChanger-a bio je trojanski konj RSPlug, koji je rađao brojne druge varijante ^{[ kvantificirao} // ]</sup> i zarazio mnoge ^{[ kvantificirao} // ]</sup> Macu.

MacSweeper je loša aplikacija koja korisnike obmanjuje pretjeranim izvještajima o špijunskom softveru , adveru ili virusima na njihovom računalu. ^[1]</sup> To je prva poznata „lopovska“ aplikacija za Mac OS X operativni sustav. Softver je otkrila tvrtka F-Secure , tvrtka sa softverom za računalnu sigurnost sa sjedištem u Finskoj , 17. siječnja 2008. ^[2]</sup>

Od 2009 , službeno web mjesto za aplikaciju macsweeper.com je zatvoreno, kao i web stranica za KiVVi Software nedugo zatim.

Problemi uzrokovani MacSweeper-om [ uredi **]

MacSweeper bi se mogao preuzeti putem softverske web stranice KiVVi (tvrtka koja tvori “skitnicu”), kao “ drive-by" preuzimanje ili nečujno preuzeti s drugom aplikacijom. Jednom automatski instaliran, MacSweeper pregledava računalo i obavještava korisnika da su brojne aplikacije na njihovom računalu (poput iCal-a ili nadzorne ploče , sigurne unaprijed instalirane Apple-ove aplikacije) “masne kopije ili smeće” i da ih je potrebno odmah smanjiti. Kad korisnik koji ne sumnja pokuša “ukloni objekte”, kaže im se da preuzeta probna inačica ne može izbrisati navodni otpad. Tada korisnik mora tvrtki dostaviti podatke o kreditnoj kartici za serijski ključ doživotne pretplate za 39,99 USD ”.

Klonovi [ uredi **]

Grafičko korisničko sučelje i ponašanje MacSweerea gotovo su identični drugom programu koji objavljuje KiVVi Software, Cleanator . Cleanator je, međutim, dizajniran za Windows operativne sustave. To je također vrlo slična SpySheriff i SpyAxe aplikacija, sramotno za typosquatting Google . Odlomak iz softvera koji potiče korisnike na kupnju pune verzije identičan je onome u SpySheriff. ^[4]</sup>

Uklanjanje [ uredi **]

Tvrtke uključujući McAfee , Symantec i Sunbelt Software prepoznale su prijetnju i na svojim web stranicama objavile upute za uklanjanje. Intego VirusBarrier i iAntivirus su sposobni ukloniti ga previše. SiteAdvisor , podjela McAfeeja kontroverzno je mjestu dala zelenu ocjenu. Međutim, SiteAdvisor testovi provode se na računalima koja ne mogu prepoznati .dmg , format datoteke MacSweeper.

Pažnja medija [ uredi **]

MacSweeper je privukao veliku pozornost medija s web stranica uključujući CNET ^[5]</sup> i druge, ^[6]</sup> jer se smatra jednim od prvih slučajeva zlonamjernog softvera namijenjenog operacijskom sustavu Mac OS X.

MacSweeper odgovara [ uredi **]

Nakon što je F-Secure upozorio Macintosh korisnike na skitnicu, MacSweeper je odgovorio na web mjestu F-Secure rekavši

Želio bih objasniti svu situaciju, oko MacSweepera.

Mi se stvarno trudimo napraviti dobar softver, a vi nećete pronaći bilo koji virus / špijunski softver / trojanski / zlonamjerni softver u MacSweeperu (testirajte ga sami, ako mi ne vjerujete, možete koristiti bilo koju vrstu firewall-a, dissemblera ili drugo alata).

Problem je što koristimo prodajne partnere koji nas prisiljavaju na upotrebu ove vrste marketinga. Željeli bismo ih napustiti, ne želimo potpuno uništiti Good Name MacSweeper aplikaciju.

Osobno obožavam Mac platformu, a boli me kad čujem da je program koji ste napisali neka vrsta “Rogue aplikacije”, ne bih želio uništiti dobre načine softvera napisanog za to: ((

Želio bih vam ispričati sve neugodnosti koje bismo vam mogli pružiti, ali vjerujte da je MacSweeper korisna aplikacija. Možete postaviti pitanja, a ja ću pokušati odgovoriti na njih!

Hvala vam! support@macsweeper.com

^[7]</sup>

Mac Defender (poznat i kao Mac Protector , Mac Security , ^[1]</sup> Mac Guard , ^[2]</sup> Mac Shield , ^[3]</sup> i FakeMacDef ) ^[4]</sup> je internetski sigurnosni program koji cilja računala koja rade na macOS-u . Mac-ova zaštitna tvrtka Intego otkrila je lažni antivirusni softver 2. svibnja 2011., a zakrpa je Apple nije dala do 31. svibnja. ^[5]</sup> Softver je opisan kao prva velika prijetnja od zlonamjernog softvera na Macintosh platformi (iako ne pridružuje niti oštećuje nijedan dio OS X). ^[6] [7] </sup> [8] </sup> [9] </sup> [10] </sup> [11]</sup></sup> Međutim, to nije prvi trojanski specifičan za Mac i ne širi se samo.

Prijavljena je varijanta programa poznata kao Mac Guard koja ne zahtijeva da korisnik unese lozinku za instaliranje programa ^[12],</sup> iako instalacijski program i dalje mora pokretati. ^[13]</sup>

Simptomi

Korisnici obično nailaze na program prilikom otvaranja slike pronađene na tražilici. Pojavljuje se kao skočni prozor koji pokazuje da su virusi otkriveni na računalu korisnika i sugerira im da preuzmu program koji, ako je instaliran, pruža osobne podatke korisnika neovlaštenim trećim stranama.

Program se pojavljuje u zlonamjernim vezama koje se trovanjem optimiziraju tražilice na web lokacijama kao što su Google Image Search . ^[14]</sup> Kad korisnik pristupi takvoj zlonamjernoj vezi, pojavljuje se lažni prozor za skeniranje, izvorno u stilu Windows XP aplikacije, ^[14]</sup> ali kasnije u obliku “sučelja tipa Apple”. ^[15]</sup> Program se lažno pojavljuje za skeniranje tvrdog diska sustava. ^[14]</sup> Korisniku se zatim traži da preuzme datoteku na kojoj je instaliran Mac Defender i od njega se traži da plati 59,95 do 79,95 dolara za licencu za softver. ^{[14] [14]}</sup> Umjesto da štiti od virusa, Mac Defender otima korisnikov internetski preglednik kako bi prikazivao web-lokacije povezane sa pornografijom , a korisniku također otkriva krađu identiteta (prosljeđivanjem podataka s kreditne kartice kranji). ^[14] [16]</sup></sup> Novija varijanta instalira se bez potrebe za korisnikom da unese lozinku. ^[17]</sup> Sve inačice zahtijevaju od korisnika da aktivno klikne preko instalatora za dovršavanje instalacije čak i ako lozinka nije potrebna. ^[18]</sup>

Podrijetlo

Softver je praćen putem zatvorenih njemačkih web stranica, do ruskog internetskog plaćanja ChronoPay . Mac Defender je do ChronoPay-a praćen putem adrese e-pošte financijskog kontrolera ChronoPay Alexandra Volkova. ^[19]</sup> Adresa e-pošte pojavila se u registraciji domena za mac-defence.com i macbookprotection.com, dvije web stranice Mac korisnika usmjerene su kako bi kupili sigurnosni softver. ChronoPay je najveći ruski procesor internetskih plaćanja. Web stranice su bile hostirane u Njemačkoj, a suspendirao ih je češki matičar Webpoint.name. ChronoPay je ranije bio povezan s drugom prevarom u kojoj su korisnici koji su uključeni u dijeljenje datoteka tražili da plate kaznu. ^[20] [21]</sup></sup>

Appleov odgovor

Prema Sophosu, do 24. svibnja 2011. bilo je šezdeset tisuća poziva tehničkoj podršci AppleCare o pitanjima vezanim uz Mac Defender ^[22],</sup> a Ed Bott iz ZDNet-a izvijestio je da je broj poziva AppleCareu povećan u količini zbog Mac Defendera i da se većina tadašnjih poziva odnosi na Mac Defender. ^[23]</sup> AppleCareovim zaposlenicima rečeno je da ne pomažu pozivaocima u uklanjanju softvera. ^[24]</sup> Konkretno, službenicima za podršku rečeno je da ne upućuju pozivatelje kako da koriste Force Quit i Monitor Monitor kako bi zaustavili Mac Defender, kao i da ne usmjeravaju pozivatelje u bilo kakve rasprave koje se tiču problema koje uzrokuje Mac Defender. ^[22]</sup> Anonimni zaposlenik službe za podršku AppleCare rekao je da je Apple pokrenuo politiku kako bi spriječio korisnike da se oslanjaju na tehničku podršku umjesto na antivirusne programe. ^[24]</sup>

Djelatnicima AppleCarea rečeno je da ne pomažu pozivaocima u uklanjanju softvera, ali Apple je kasnije obećao softversku zakrpu. ^[25]</sup> 24. svibnja 2011. Apple je izdao upute o sprječavanju i uklanjanju zlonamjernog softvera. ^[26]</sup> Mac OS X sigurnosno ažuriranje 2011-003 objavljeno je 31. svibnja 2011. i uključuje ne samo automatsko uklanjanje trojana i drugih sigurnosnih ažuriranja, već i novu značajku koja automatski ažurira Appleove definicije zlonamjernog softvera . ^[1]</sup>

OSX.FlashBack ^[1]</sup> , također poznat kao Flashback Trojan, Fakeflash ili trojanski BackDoor.Flashback je trojanski konj koji utječu na osobnim računalima sa sustavom Mac OS X . ^[2] [3]</sup></sup> Prvu varijantu Flashback-a otkrila je antivirusna tvrtka Intego u rujnu 2011. godine. ^[4]</sup>

Infekcija

Prema ruskoj antivirusnoj tvrtki Dr. Web , modificirana verzija varijante “BackDoor.Flashback.39” Flashback Trojan zarazila je preko 600.000 Mac računala, tvoreći botnet koji je uključivao 274 robota koji se nalaze u Cupertinu, u Kaliforniji . ^[5] [6]</sup></sup> Otkriće je dan kasnije potvrdila i druga tvrtka za računalno osiguranje, Kaspersky Lab . ^[7]</sup> Ovu je varijantu zlonamjernog softvera prvi put otkrila tvrtka F-Secure u sjedištu tvrtke za računalno osiguranje sa sjedištem u Finskoj, u travnju 2012 ^[8]</sup> . ^[9] [10]</sup></sup> Dr. Web procjenjuje da je početkom travnja 2012. 56,6% zaraženih računala locirano u Sjedinjenim Državama , 19,8% u Kanadi , 12,8% u Velikoj Britaniji i 6,1% u Australiji . ^[6]</sup>

Pojedinosti

U originalnoj varijanti upotrijebljen je lažni instalacijski program Adobe Flash Player za instaliranje zlonamjernog softvera, otuda i naziv “Flashback”. ^[4]</sup>

Kasnija varijanta usmjerena je na ranjivost Jave na Mac OS X. Sustav se zarazio nakon što je korisnik preusmjeren na kompromitirano lažno mjesto, gdje je JavaScript kod uzrokovao da se applet sadrži eksploata za učitavanje. Izvršna datoteka spremljena je na lokalnom stroju, koji je korišten za preuzimanje i pokretanje zlonamjernog koda s udaljene lokacije. Zlonamjerni softver se također prebacivao između različitih poslužitelja radi optimiziranog uravnoteženja opterećenja. Svaki je bot dobio jedinstveni ID koji je poslan na kontrolni poslužitelj. ^[6]</sup> Međutim, trojanac bi zarazio samo korisnika koji posjećuje zaraženu web stranicu, što znači da drugi korisnici na računalu nisu bili zaraženi, osim ako njihovi korisnički računi nisu bili zaraženi zasebno. ^[11]</sup>

Rezolucija

Oracle , tvrtka koja razvija Java, riješila je ranjivost iskorištenu za instaliranje Flashback-a 14. veljače 2012. ^[8]</sup> Međutim, Apple održava Mac OS X verziju Java i nije objavio ažuriranje koje sadrži ispravku do 3. travnja 2012, ^[12]</sup> nakon što je kvar već iskorišten za instaliranje Flashback-a na 600.000 Mac-a. ^[13]</sup> Dana 12. travnja 2015. tvrtka je izdala daljnje ažuriranje za uklanjanje najčešćih Flashback inačica. ^[14]</sup> Ažurirano Java izdanje dostupno je samo za Mac OS X Lion i Mac OS X Snow Leopard ; izdan je uslužni program za uklanjanje za Intelove verzije Mac OS X Leopardapored dva novija operativna sustava. Korisnicima starijih operativnih sustava savjetovano je da onemoguće Javu. ^[12]</sup> Postoje i neki programi treće strane za otkrivanje i uklanjanje Flashback trojanskog softvera. ^[13]</sup> Apple je radio na novom procesu koji bi na kraju doveo do puštanja Java Runtime Environment-a (JRE) za Mac OS X u isto vrijeme kada bi bio dostupan za korisnike Windows, Linuxa i Solarisa. ^[15]</sup> Od 9. siječnja 2014. oko 22.000 Mac-a još je bilo zaraženo Flashback trojancem. ^[16]</sup>

OSX.Keydnap je MacOS X temelji trojanski konj koji krade lozinke od iCloud Keychain ^[1]</sup> na zaraženo računalo. Koristi kapaljku za uspostavljanje stalnog stražnjeg prostora za vrijeme korištenja MacOS-ovih ranjivosti i sigurnosnih značajki kao što su Gatekeeper , iCloud Keychain i sustav imenovanja datoteka. Prvi su ga put otkrili početkom srpnja 2016. istraživači ESET-a, koji su i otkrili da se distribuira putem kompromitirane verzije Torrent klijenta za prijenos. ^[2]</sup>

Preuzimanje i instalacija

OSX.Keydnap se u početku preuzima u obliku Zip arhive . Ova arhiva sadrži jednu Mach-O datoteku i viljušku Resource koja sadrži ikonu za izvršnu datoteku, koja je obično JPEG ili slika tekstualne datoteke. Dodatno, kapaljka koristi prednost načina na koji OS X rukuje s datotekama dodavanjem razmaka iza proširenja naziva datoteke, na primjer - kao “keydnap.jpg” umjesto “keydnap.jpg”. Obično često viđene slike i imena koriste se za iskorištavanje spremnosti korisnika da kliknu na benigne datoteke. Kada se datoteka otvori, izvršni Mach-O pokreće se u Terminalu prema zadanim postavkama umjesto preglednika slika kao što bi to korisnik očekivao.

Ovo početno izvršenje čini tri stvari. Prvo, preuzima i izvršava stražnju komponentu. Drugo, preuzima i otvara dokument s ukrašenim listovima da bi se podudarao s onim što se datoteka dropper pretvara. Konačno, napušta Terminal kako bi se prikrio da je ikada otvoren. Terminal se otvara samo na trenutak.

Uspostavljanje stražnje veze

Budući da preuzimač nije uporan, preuzeta backdoor komponenta pokreće postupak nazvan “icloudsyncd” koji se izvodi u svakom trenutku. Također dodaje unos u LaunchAgents direktorij za preživljavanje ponovnih pokretanja. Proces icloudsyncd koristi se za komunikaciju s naredbom i poslužiteljem za upravljanje putem onion.to adrese, uspostavljajući stražnju vrata. ^[3]</sup>

Zatim pokušava uhvatiti lozinke iz iCloud Keychain, pomoću provjere Keychaindump-a, ^[4]</sup> i vraća ih na poslužitelj. Keychaindump čita sigurnosnu memoriju i traži ključ za dešifriranje korisničkog ključeva kao što je opisano u „Analizi Keychaina s Mac OS X Forensics Memory“ K. Lee i H. Koo. ^[5]</sup>

Gatekeeper potpisuje zaobilazno rješenje

Mac OS koristi Gatekeeper za provjeru je li aplikacija potpisana s važećim certifikatom Apple Developer ID koji sprečava pokretanje OSX.Keydnap. Nadalje, čak i ako korisnik ima Gatekeeper isključen, vidjet će upozorenje da je datoteka aplikacija preuzeta s Interneta, a korisniku je data mogućnost da je ne izvrši. No, spakiranjem OSX.Keydnap s legitimnim ključem za potpis kao u slučaju kompromitirane aplikacije Prijenos, on uspješno zaobilazi zaštitu Gatekera. ^[2] [3]</sup></sup>

Otkrivanje i uklanjanje

Aktiviranje Gatekera jednostavan je način za sprječavanje slučajne instalacije OSX.Keydnap. Ako je Mac Mac korisniku aktiviran Gatekeeper, zlonamjerna datoteka neće se izvršiti i korisniku će se prikazati upozorenje. To je zato što je zlonamjerna Mach-O datoteka nepodpisana, što automatski aktivira upozorenje u programu Gatekeeper. ^[3]</sup>

Ransomware je vrsta zlonamjernog softvera iz kriptovirologije koji prijeti da će objaviti podatke žrtve ili neprestano blokirati pristup istim, osim ako se ne otkupi . Dok neki jednostavni ručni softver može zaključati sustav na način koji znalačkoj osobi nije teško preokrenuti, napredniji zlonamjerni softver koristi tehniku koja se naziva kriptovaluta iznuđivanje, kojom šifrira dosjee žrtve, čineći ih nedostupnim i zahtijeva plaćanje otkupnine za dešifrirajte ih. ^[1] [2] </sup> [3] </sup> [4]</sup></sup> U pravilno izvedenom kriptovalutalnom napadu iznuđivanja, oporavak datoteka bez ključa za dešifriranje je neizrecivproblem - a teško je ući u trag digitalnim valutama poput Ukash-a ili Bitcoina i druge kripto valute , koristi se za otkupninu, što otežava pronalaženje i procesuiranje počinitelja.

Napadi Ransomwarea obično se izvode pomoću Trojanca koji je prerušen u zakonitu datoteku koju korisnik natera da preuzme ili otvori kad stigne kao privitak e-pošti. Međutim, jedan odvažni primjer, “ crv WannaCry ”, putovao je automatski između računala bez interakcije korisnika. ^[5]</sup>

Počevši od otprilike 2012. godine upotreba prijevara za otkupninu postala je u svijetu. ^[6] [7] </sup> [8]</sup></sup> Bilo je 181,5 milijuna napada ransomwarea u prvih šest mjeseci 2018. To predstavlja porast od 229% u odnosu na isti vremenski okvir u 2017. ^[9]</sup> U lipnju 2014., prodavač McAfee objavio je podatke koji pokazuju da prikupio je više nego dvostruko više uzoraka ransomwarea tog tromjesečja nego u istom tromjesečju prethodne godine. ^[10]</sup> CryptoLocker je bio posebno uspješan, nabavljajući procijenjene tri milijuna američkih dolara prije nego što su ga vlasti srušile , ^[11]</sup> a CryptoWall je procijenio Federalni istražni ured.(FBI) je do lipnja 2015. prikupio preko 18 milijuna američkih dolara. ^[12]</sup>

KeRanger (poznat i kao OSX.KeRanger.A ) je ransomware trojanski konj koji cilja računala na kojima se radi macOS . Otkriveno Palo Alto Networks 4. ožujka 2016., utjecalo je na više od 7000 Mac korisnika.

KeRanger se na računalu žrtve izvršava na daljinu od kompromitiranog instalatora za Transmission , popularnog BitTorrent klijenta, preuzeto sa službene web stranice. Sakriven je u .dmg datoteci pod General.rtf. .Rtf je zapravo izvršna datoteka formata Mach-O upakirana s UPX 3,91. Kada korisnici kliknu ove zaražene aplikacije, njihov paket za izvršavanje skupa Transmission.app/Content/MacOS/Transmission će kopirati ovu datoteku General.rtf u ~ / Library / kernel_service i izvršiti ovu “kernel_service” prije pojavljivanja bilo kojeg korisničkog sučelja. ^[1]</sup> Šifrira datoteke kriptografijom javnog ključa RSA i RSA, s ključem za dešifriranje pohranjenim samo na napadačevim poslužiteljima. Zlonamjeran softver stvara datoteku pod nazivom “readme_to_decrypt.txt” u svakoj mapi. Kada se upute upute, žrtvi daju upute kako dešifrirati datoteke, obično zahtijeva plaćanje jednog bitcoina . Ransomware se smatra varijantom Linux-ovog ransomwarea Linux.Encoder.1 . ^[2]</sup>

Dana 4. ožujka 2016., Palo Alto Networks dodao je Ransomeware.KeRanger.OSX svojoj bazu podataka o virusima. Dva dana nakon toga objavili su opis i proboj koda.

Širenje

Prema istraživačkom centru Palo Alto , KeRanger je najčešće bio zaražen u Transmisiji s službene web stranice koja je ugrožena, zatim je zaraženo .dmg preneseno da bi izgledalo kao “pravi” Prijenos . Nakon što je objavljeno, proizvođači Transmisije objavili su novo preuzimanje na web mjestu i izbacili softversko ažuriranje.

Jedini način na koji je zlonamjerni softver inficirao računalo žrtve bio je pomoću važećeg potpisa programera koji je izdao Apple, što mu je omogućilo zaobići Appleovu ugrađenu sigurnost.

KeRanger šifrira svaku datoteku (tj. Test.docx) tako što prvo kreira šifriranu verziju koja koristi .enkriptirano proširenje (tj. Test.docx.encrypted.) Za šifriranje svake datoteke, KeRanger započinje generiranjem slučajnog broja (RN) i šifrira RN s RSA ključem dohvaćenom s C2 poslužitelja pomoću RSA algoritma. Potom pohranjuje šifrirani RN na početak rezultirajuće datoteke. Zatim će generirati vektor inicijalizacije (IV) koristeći originalni sadržaj datoteke i pohraniti IV unutar rezultirajuće datoteke. Nakon toga miješat će RN i IV kako bi se generirao AES ključ za šifriranje. Na kraju, pomoću ove AES tipke za šifriranje sadržaja izvorne datoteke i upisivanje svih šifriranih podataka u rezultirajuću datoteku.

Šifrirane datoteke

Nakon povezivanja s C2 poslužiteljem, dohvatit će ključ za šifriranje, a zatim pokrenuti postupak. Prvo će šifrirati mapu “/ Korisnici”, a nakon toga “/ sveske” Šifrirano je i 300 proširenja datoteka, kao što su:

• Dokumenti: .doc, .docx, .docm, .dot, .dotm, .ppt, .pptx, .pptm, .pot, .potx, .potm, .pps, .ppsm, .ppsx, .xls, .xlsx, .xlsm, .xlt, .xltm, .xltx, .txt, .csv, .rtf, .te
• Slike: .jpg, .jpeg
• Audio i video: .mp3, .mp4, .avi, .mpg, .wav, .flac
• Arhiva: .zip, .rar., .Tar, .gzip
• Izvorni kod: .cpp, .asp, .csh, .class, .java, .lua
• Baza podataka: .db, .sql
• E-adresa: .eml
• Certifikat: .pem

Windows Registry je hijerarhijska baza podataka koja pohranjuje postavke konfiguracije u operacijskim sustavima Microsoft Windows. Sadrži postavke za komponente operativnog sustava i za programe koji rade na platformi. Kod Mac OS ne postoji Mac Registry kao kod Windows operacijskih sustava, ali ako je Windows Registry mjesto na kojem se pohranjuju postavke sustava i aplikacija, tada bi Mac ekvivalent Windows Registry bio niz .plist datoteka u nekoliko mapa na Mac-u.

.plist datoteka je konfiguracijska datoteka koja sadrži popis nekretnina u običnog teksta ili binarnom formatu. Postoje dvije lokacije na kojima se nalaze zajedničke .plist datoteke sustava i aplikacija. Prva je specifična za korisnika i nalazi se na sljedećem mjestu:

''/Users/Library/Preferences
''

Druga lokacija se nalazi u korijenu sustava:

''/Library/Preferences/''

U ovim mapama može se uočiti velik broj datoteka s popisima koji slijede obrnutu konvenciju o nazivu domene (npr. com.apple.sample). Pojedini primjeri plist datoteka za konfiguraciju sustava izgledaju ovako:

''com.apple.ActivityMonitor.plist
com.apple.AddressBook.plist
com.apple.finder.plist
com.apple.preference.general.plist
com.apple.TextEdit.plist
com.apple.Safari.plist''

U istoj mapi nalaze se plist datoteke povezane s instaliranim aplikacijama u sustavu.

''com.apple.dt.Xcode.plist
com.google.Chrome.plist
org.herf.Flux.plist
com.skype.skype.plist''

Ukoliko se konfiguracijske plist datoteke sustava i aplikacija otvore u programu za uređivanje teksta (Notepad, Text Editor), primjetit ćemo da su mnoge od njih u binarnom formatu što je izazov za čitanje i razumijevanje, a kamoli za uređivanje. Ove datoteke se čitaju tako da se u OS X Terminal upiše sljedeće (za primjer gore navedenih plist datoteka):

''defaults read com.apple.finder''

Primjer naredbe za čitanje svih ekstenzija:

''defaults read com.apple.finder AppleShowAllExtensions''

Baš kao što izmjena Windows Registry-a može poremetiti sustav, tako treba biti oprezan kod izmjene plist postavki sustava ili aplikacija. Većina postavki se može mijenjati navigacijom do korisničkog sučelja aplikacije ili sustava i ručnom promjenom postavki.

Ažuriranje Finder-a za prikaz proširenja datoteka u OS X Terminalu:

''defaults write com.apple.finder AppleShowAllExtensions -boolean true''

zaključak.

[1] Plass, Jan L., Roxana Moreno, and Roland Brünken. Cognitive Load Theory. Cambridge University Press, 2010.

[2] Mayer, Richard E. The Cambridge handbook of multimedia learning. Cambridge University Press, 2005.

[3] Kirschner, P. A, Sweller, J. and Clark, R. E. Why minimal guidance during instruction does not work: An analysis of the failure of constructivist, discovery, problem-based, experiential, and inquiry-based teaching. Educational psychologist 41, no. 2, pp 75-86, 2006