[蘋科技] 蘋果講古時間:你知道 Mac 也曾經有過勒索病毒嗎?而且還連 Time Machine 都會中標喔!

by 陳寗
2017.05.14 02:23PM
3354
是[蘋科技] 蘋果講古時間:你知道 Mac 也曾經有過勒索病毒嗎?而且還連 Time Machine 都會中標喔!這篇文章的首圖

昨天說到 macOS 其實也是會中毒,而且中毒機率也不小,像是什麼網頁綁架啦、Mac Keeper 之類的,都是會在你不知不覺中把它給裝進電腦,並且嚴重影響你電腦使用體驗的麻煩玩意。

或許你會覺得這些軟體都只是小打小鬧,比起 Windows 的病毒根本小巫見大巫,那我只能說...事情真的不是那麼簡單啊!其實就在去年,蘋果就曾經出現過勒索病毒,而且還是連你備份都救不了的超可怕勒索病毒。為什麼有備份也救不了?本文標題就說啦,因為他會連你 Time Machine 都鎖定啊!

是什麼病毒那麼可怕?今天的蘋果講古時間,就來談談去年這差點釀起大災禍的 KerRanger 病毒吧!

想認識更多蘋果知識嗎?

看蘋果找「陳寗粉絲團」就對啦!https://www.facebook.com/chenning.wowdigi

--

875aeff02fd962b1c247f6be0748b214

在開始之前,我想先說說蘋果 macOS 系統的一個安全機制:Gatekeeper。

這個機制是從 OS X 10.8 Mountain Lion 開始出現的,是用來避免惡意軟體在蘋果電腦上執行的安全保護機制。此後如果 App 想要在 macOS 上正常執行,必須倚賴兩種方法:第一是直接把 App 上架到 App Store 接受蘋果檢查;第二則是必須取得蘋果發出的數位簽署。前者是最直接的,因為 App Store 的 App 都經過蘋果把關,自然相對安全許多;但如果你不想給蘋果賺 App Store 抽成,也可以自己發行 App 並加上數位簽署來通過 GateKeeper 驗證。

數位簽署要求想在蘋果上發行的 App 必須向蘋果取得唯一的開發人員 ID,利用開發人員 ID 所產生的數位簽署來確保 App 發行後未受到竄改。當 App 在 macOS 上執行時,系統會驗證這個數位簽署,只有確保沒有被竄改且數位簽署正確的 App,才能在 macOS 上順利執行,否則就會跳出下圖這樣的視窗:

d3b5cd677f24f309bf3da3ed1e4a9c0d

當然,如果你覺得數位簽署很麻煩,你也可以選擇偷懶不要這麼幹!這是因為蘋果無法保證所有的 App 都一定有通過數位簽署來發行,有些公司內部所使用的自製 App 也不見得會去申請簽署,因此 macOS 上還是有「即使 App 沒簽署依然強制執行」的機制在,好讓使用者依照自己需要來選擇要不要執行軟體。

367162e09e379bfce408d0697e72c5f6

雖說這是方便使用者使用的作法,而且真要強制執行也是得輸入系統密碼,並不是很容易達成的動作。但有些人卻利用這個漏洞,來做一些節省成本避免麻煩的事情,譬如說誰呢?

譬如說我們政府的國稅局,就幹了這樣的事情:

59019c2259d47645fc99b39ad1c764a8

如果你有看我的 mac 報稅教學,應該還記得這個畫面吧?這個畫面是說由政府提供的程式(下面有 nat.gov.tw 的網址)無法被 macOS 執行,因為不是透過 App Store 也不是來自未識別的開發者!所以你必須強制開啟才能把這 App 打開來用。

政府怎能如此偷懶呢?我也不知道,但至少我們知道這程式是來自政府的啊!

當然,只要你強制開啟該 App,那麼就算是病毒你也只能把苦果自己吞下去了,因為人家系統也警告過你,你也自己一意孤行地強制開啟了 App,還輸入了系統密碼...那麼說起來就跟鑰匙交給小偷沒啥兩樣,實在也怨不得人。

因此如果是要強制開啟才能執行,那也就沒什麼大不了,那實在稱不上是「病毒」,只能算是惡意程式而已。因此如果要真正讓人不自覺中招,那就得有更高招的方法才行。

04f5b4263e87c92b3fe002ead1946d16

就在去年三月的時候,有個高招的傢伙出現了!因為他成功地讓勒索病毒無聲無息地在蘋果電腦上執行了!

但這人是怎麼辦到的?他是如何繞過 GateKeeper 的檢查?

原來這位駭客先生他並不是直接攻破 macOS,而是先跑去攻破知名老牌 BT 下載軟體 Transmission 的後門,並且偷偷置換了 Transmission 最新版本(當時為 2.90 版)的官方更新檔案,在裡面塞入會自動執行的勒索病毒 KeyRanger。

由於 Transmission 擁有蘋果發行的數位簽署,因此可以直接在 macOS 上執行而不被系統察覺,也不會被系統視為惡意軟體。這就好像你弄了跟總統蔡英文一樣的人皮面具、假髮、服裝、指紋手套、虹膜辨識隱形眼鏡,然後全部穿上之後就可以大方走進總統府而不被攔截一樣,甚至跑去指揮所說要發射飛彈也不見得有人會阻止你!

KeyRanger 就這樣靠著偷來的數位簽署大大方方地走進 macOS 中並潛伏下來。不過為什麼後來這事情並沒有釀成軒然大波?

原來就在 Transmission 被置入病毒之後沒多久,就被軟體安全公司發現而東窗事發。該公司在通報蘋果與 Transmission 之後,蘋果立即撤銷 Transmission 現行的數位簽署,Transmission 也立即撤掉更新檔,並隨後放上能自動移除 Keyranger 的新版 Transmission 更新檔。終於在 24 小時內解決這個問題且沒有釀成巨禍。

不過這事情也要感謝 Keyranger 的奇妙設定:潛伏三天後才會發作,所以讓蘋果與 Transmission 還有時間可以解決問題,否則那就真的變成國際大新聞囉!

但是 Keyranger 的威力並沒有因為沒發作而被忽略,因為它不僅是蘋果上首次見到,且成功繞過 Gatekeeper 的勒索軟體,經過檢查後發現他還同時具備「加密 Time Machine」讓你無法透過時光機還原來避免繳贖金的機制,無疑是對一向認為只要有 Time Machine 就萬事 OK 的蘋果使用者大大地打了一個耳光。

當初 Keyranger 的贖金為 10 個比特幣,不過當時也不過四百多美金,一萬三千多台幣就能解決。如今比特幣漲了近十倍... 要是 Keyranger 捲土重來,那四分之一的上班族年薪就飛掉囉~真是幸好當初有即時防堵啊!

1243dd47da81b9672ef301a73e3613bd

不過呢...不得不說 Transmission 真的是個很鳥的團隊,因為就在他家被人攻破偷放病毒之後的五個月,又再次被人放上另一支意義不明的木馬 Keydnap,是一個會偷偷在你電腦裡留下後門的神秘木馬。好在這次又是立刻被人發現,所以最後又不了了之的一隻病毒。

所以你以為蘋果就不會中毒嗎?正所謂道高一尺魔高一丈,沒有所謂的安全系統,只有不安全的使用者罷了!

另外,也請不要以為是因為蘋果市占低所以就沒人想攻擊!蘋果雖然市佔低,但使用者中不乏權貴顯要的名人,攻破蘋果的效益甚至可以影響美國總統大選!不相信嗎?去看看當初希拉蕊競選總監被攻破信箱的事件吧~

想認識更多蘋果知識嗎?

看蘋果找「陳寗粉絲團」就對啦!https://www.facebook.com/chenning.wowdigi

--

作者:陳寗@癮科技

 

回應 0