KeRanger : ce que l'on sait sur le ransomware de Transmission

Mickaël Bazoge |

Palo Alto Research Center a mis au jour KeRanger (ou Ke.Ranger), un ransomware pour Mac. Sur notre plateforme, c'est le premier du genre même s'il y avait eu FileCoder en 2014, mais ce dernier était incomplet. KeRanger est lui parfaitement fonctionnel, ce qui le rend d'autant plus dangereux. Les chercheurs ont débusqué le malware dès le 4 mars. La version 2.9 de Transmission date du 28 février, après des années sans mise à jour pour ce logiciel BitTorrent.

Transmission 2.9.

Quelle est l'origine de cette infection ?

Il est difficile de dire encore comment le projet open-source Transmission a été infecté. Le malware se niche dans deux installeurs de Transmission, dont le certificat délivré par Apple est au nom d’une société turque possédant l’identifiant Z7276PX673). C'est un identifiant différent de celui utilisé pour signer les précédents logiciels d'installation de Transmission. Ces deux installeurs ont été générés et signés le matin du 4 mars.

Le certificat de l'installeur étant valide, il a donc pu passer sans encombres au travers de la protection Gatekeeper d'Apple. Le paquet de l'installeur inclut un fichier General.rtf, qui sous son allure banale, cache un fichier exécutable au format Mach-O.

Le malware s'installe en même temps que Transmission 2.9. Il copie le fichier General.rtf dans /Library/kernel_service, qui lance ensuite le processus kernel_service, le tout avant même qu'une interface utilisateur apparaisse.

KeRanger attend ensuite, tapi dans l'ombre, pendant trois jours. C'est pourquoi les premières victimes devraient être touchées ce lundi 7 mars, le malware étant présent dans le Transmission depuis le 4 mars.

Quel est le danger de KeRanger ?

Une fois ce délai de grâce achevé, KeRanger contacte un serveur via une connexion anonymisée Tor. Il lance la procédure de chiffrement de certains dossiers et documents contenus dans le disque dur. Une fois l'opération terminée, KeRanger réclame un paiement en Bitcoin d'une valeur équivalente à 400 $ pour déverrouiller les fichiers chiffrés.

Cliquer pour agrandir

D'après les chercheurs du centre Palo Alto, KeRanger est toujours en développement ; il semble qu'il tente aussi de chiffrer les fichiers de sauvegarde Time Machine, empêchant les utilisateurs de restaurer leurs Mac avec une ancienne sauvegarde, ce qui est une des solutions envisagées pour ne pas passer à la caisse. À l'heure actuelle, le chiffrement des sauvegardes Time Machine n'est pas fonctionnel.

Les fichiers chiffrés à l'insu de l'utilisateur sont ceux contenus dans le dossiers Utilisateurs. Il chiffre aussi 300 types de documents du dossier Volumes (notamment les fichiers classiques bureautiques en .rtf, .doc, mais aussi les .jpg, .mp3, .mp4, .zip…).

Comment savoir si on est infecté, et comment réagir ?

Les utilisateurs Mac qui ont téléchargé Transmission 2.9 entre le 4 et le 5 mars sont susceptibles d'avoir aussi installé KeRanger. Et même si vous aviez téléchargé le logiciel avant, ou pour en avoir le cœur net, Palo Alto Research propose le mode d'emploi suivant :

  • Ouvrez un Terminal ou utilisez le Finder pour rechercher les fichiers /Applications/Transmission.app/Contents/Resources/General.rtf ou /Volumes/Transmission/Transmission.app/Contents/Resources/General.rtf. S'ils sont présents, l'application Transmission est infectée et il est chaudement conseillé de la supprimer.
  • Utilisez l'application Moniteur d'activité d'OS X, et recherchez un processus du nom de kernel_service. Si vous le trouvez, cliquez deux fois dessus, et sélectionnez l'onglet Fichiers et ports ouverts ; cherchez ensuite un fichier /Users/Library/kernel_service. Cliquez sur Quitter, puis Forcer à quitter. Voir la capture écran ci-dessous.
  • Dans le dossier /Bibliothèque, recherchez les fichiers .kernel_pid, .kernel_time, .kernel_complete ou .kernel_service. Si vous trouvez un ou plusieurs de ces fichiers, supprimez-les.
Cliquer pour agrandir

Quelles ont été les réactions d'Apple et de Transmission ?

Dès le 4 mars, Apple a été mise au courant de l'existence de KeRanger. Le constructeur a révoqué le certificat du développeur, ce qui signifie que Gatekeeper bloque toute tentative d'installation. Apple a aussi mis à jour la base de données de signatures de virus Xprotect — intégrée à même le système d'exploitation et mise à jour automatiquement.

Si jamais vous tentiez d'installer une version infectée de Transmission, OS X affiche une boîte de dialogue le prévenant de la dangerosité du logiciel. Évidemment, il faudra obéir au système et supprimer l'image disque. Par défaut, Gatekeeper autorise uniquement l'installation d'applications provenant du Mac App Store et des développeurs identifiés (dans les préférences OS X, Sécurité et confidentialité > Général).

Pour modifier le réglage, il faut cliquer sur le cadenas puis entrer le mot de passe admin — Cliquer pour agrandir

De son côté, Transmission a supprimé les installeurs infectés de son site web. L'équipe a mis en ligne en urgence une version 2.91 de son logiciel dimanche 6 mars, puis quelques heures plus tard, une version 2.92. Une mise à jour qui est évidemment à effectuer toutes affaires cessantes.

Peut-on être sûr que KeRanger ne fera aucun mal ?

Malgré les précautions d'Apple et de Transmission, et des conseils de Palo Alto Research Center, on se gardera de crier victoire immédiatement. Dans ce domaine, la prudence est de mise et les prochaines heures devraient nous éclairer davantage sur le sujet.

Illustration du bandeau : Christiaan Colen, CC BY-SA

avatar nayals | 

Le dernier paragraphe est assez flippant...

avatar Mickaël Bazoge | 

@nayals :
J'ai préféré jouer la prudence plutôt que de claironner que tout va bien aller...

avatar C1rc3@0rc | 

@nayals

Flippant? non realiste.

Il s'agit d'un logiciel qui doit etre installé avec des droits d'administrateur et qui donc a acces a un haut niveau sur le Mac.

Le malware a passé la vigilance des gestionnaires du projet et d'Apple.

Le malware n'exploite pas une faille de l'OS.

Le malware semble relativement simple et de niveau bas par rapport a ce que l'on trouve sur Windows ou ce genre pullule.

Il pourrait etre l'oeuvre de hacker debutant ou meme pas tres doué, voire de scriptkiddies (vu le cynisme du developper ID (franchement, "ANONIM": mais comment ils ont pu laisser passer ça)...
Et passer par TOR pour se faire payer en bitcoins, c'est ridicule! Les auteurs voudraient se faire prendre qu'ils auraient pas fait pire!

Mais si on regarde bien les cibles et les moyens, il peut y avoir d'autres origines que des scriptkiddies: le malware cible un soft des plus utilisés comme client bittorrent par les particuliers et il utilise TOR et Bitcoin, deux moyens permettant de masquer son IP (bitcoin pour acheter un acces VPN) tres utilisés par les particuliers.

Donc en fait on est sur un malware qui cible principalement des amateurs de téléchargements entre particuliers (sharing).
Y a de quoi penser que la RIAA pourrait etre derriere ce qui ressemble a un coup de com "antipiratage", ils n'en serait pas a leur coup d'essai dans la domaine...
Ce qui laisserait presager que d'autres attaques de ce genre sont en cours: fichiers video et audio infectés, pdf et fichiers MS Office piégés (relativement facile a faire et difficile a eviter), keygen malicieux, ...

Dans tous les cas c'est tres grave, vraiment tres grave.
Ce n'est pas encore un virus, mais c'est une demonstration de failles majeures dans le processus de sécurisation de la distribution de softs sur la plateforme Apple.

Pourquoi les installateurs de ces softs a destination du grand public ne demandent pas d'entrer une signature SHA a recuperer sur le site? C'est efficace!

avatar BeePotato | 

@ C1rc3@0rc : « Il s'agit d'un logiciel qui doit etre installé avec des droits d’administrateur »

Non.
Un fan de l’usage d’un compte utilisateur non administrateur se fera tout autant avoir par ce logiciel, vu son mode d’action.

« c'est une demonstration de failles majeures dans le processus de sécurisation de la distribution de softs sur la plateforme Apple. »

Non plus, car ça exploite un mode de distribution de logiciels (téléchargement depuis un site web) qui n’a rien de spécifique à la plateforme Apple, et qui n’a pas besoin d’une nouvelle démonstration de sa faiblesse connue depuis toujours.
En revanche, ça a fait la démonstration qu’un système comme GateKeeper peut aider (un peu) à limiter les dégâts.

Et évidemment, ça conforte certains fans du modèle App Store dans l’idée que ce devrait être le seul mode de distribution de logiciels autorisé (alors que rien ne leur interdit, eux, de se limiter à ça sans venir l’imporser aux autres). D’ailleurs, comment se fait-il qu’il n’y ait pas eu de commentaire de foufous pour nous expliquer ça ? L’aurais-je raté ? :-)

avatar C1rc3@0rc | 

"Un fan de l’usage d’un compte utilisateur non administrateur se fera tout autant avoir par ce logiciel, vu son mode d’action."

Ben, si un soft demande a etre installé en mode administrateur, il a un pouvoir de nuisance tres etendu, beaucoup plus qu'un soft qui s'installe sans droits administrateurs...

"Non plus, car ça exploite un mode de distribution de logiciels (téléchargement depuis un site web) qui n’a rien de spécifique à la plateforme Apple"

Ce n'est pas ce que j'ai ecrit.
Il y a deux failles dans la distribution:
-la signature d'Apple ne garantit pas qu'un malware ne puisse s'introduire dans l'installateur
-le distributeur peut etre piraté, comme dans le cas present et rien ne protege l'utilisateur.

On a un exemple moins grave avec Macupdate...

Une piste est la verification de signature SHA. Elle peut se faire par 2 voies:
- au niveau de l'utilisateur: il doit entrer une cle SHA dans l'installateur, clé récupérée sur le site
- au niveau de l'OS: Apple pourrait inclure la signature SHA, fourni par l'éditeur directement, qui valide le soft chargé.
Ca éviterait les MiM, au moins.
Si le site est hacké, la premiere solution est invalide, mais la responsabilité revient a l'editeur de securiser son site.
Il faudrait qu'il y ait aussi une correspondance entre la signature Developer ID de l'editeur et celle du soft. En l'occurence la faille ici c'est que la version vérolée de transmission avait une signature valide, mais pas celle de l'editeur...

Pour le modele App Store, je ne pense pas qu'il soit étanche a ce type de problème non plus. Le processus pernicieux s'est mis en veille pendant 3 jours. Les validateurs pourraient évidemment changer la date, mais d'autres biais sont possibles pour déclencher le processus. Certes la quarantaine est une sécurisation de plus, mais les éditeurs aiment pas...

La seule chose que la certification, comme la signature developer ID, permet c'est d'identifier le dévelopeur et bloquer le soft a posteriori.

avatar BeePotato | 

@ C1rc3@0rc : « Ben, si un soft demande a etre installé en mode administrateur, il a un pouvoir de nuisance tres etendu, beaucoup plus qu'un soft qui s'installe sans droits administrateurs... »

Pour te paraphraser : ce n’est pas ce que j’ai écrit. ;-)

Tu confonds encore une fois « être installé en mode administrateur » (j’imagine que tu parles là de demander un mot de passe administrateur pour obtenir des droits exceptionnels) et « être installé par un utilisateur administrateur ». Comme je l’ai dit, un usager d’un compte utilisateur non administrateur se fera avoir exactement autant par ce logiciel qu’un usager d’un compte administrateur.
Ce malware va juste s’attaquer à tous les fichiers auxquels l’utilisateur a accès. Ses données, quoi. Tu sais, le truc qui est vraiment important aux yeux d’un utilisateur normal, bien plus que les fichiers du système. :-)
Le truc qu’on peut foutre en l’air sans avoir besoin d’un quelconque mot de passe administrateur.

Mais bon, si tu restes convaincu que ça ferait une différence, installe donc ce truc sur ton compte utilisateur standard. ;-)

« Ce n'est pas ce que j'ai ecrit. »

En effet, puisque c’était ce que j’ai écrit moi. Pour expliquer que ce que tu avais écrit était incorrect. :-)

« Il y a deux failles dans la distribution:
-la signature d'Apple ne garantit pas qu'un malware ne puisse s'introduire dans l’installateur »

Il n’y a pas de signature d’Apple. Juste la signature d’un développeur.
Comme ce que tu proposes de vérifier plus loin, en somme.

« -le distributeur peut etre piraté, comme dans le cas present et rien ne protege l’utilisateur. »

En effet. Mais comme je le soulignais, ce problème a toujours existé et n’a rien de spécifique à la distribution des logiciels sur plateforme Apple (bien qu’il y existe tout autant qu’ailleurs).

avatar BeePotato | 

@ C1rc3@0rc : « Une piste est la verification de signature SHA. Elle peut se faire par 2 voies:
- au niveau de l'utilisateur: il doit entrer une cle SHA dans l'installateur, clé récupérée sur le site »

Sauf que, comme tu l’as dit, ça ne changerait rien dans ce cas précis, puisqu’un site piraté pour distribuer une version frelatée d’un logiciel fournira aussi, de toute évidence, une signature modifiée.

C’était d’ailleurs le cas : GateKeeper a bien vérifié la signature du logiciel, malheureusement fournie par l’indésirable qui avait modifié ledit logiciel.

« - au niveau de l'OS: Apple pourrait inclure la signature SHA, fourni par l'éditeur directement, qui valide le soft chargé. »

Ce qui ne changerait rien non plus dans le cas présent, le pirate fournissant alors à Apple la signature correspondant à sa version.

« Pour le modele App Store, je ne pense pas qu'il soit étanche a ce type de problème non plus. »

Sans doute pas totalement étanche, mais bien plus protégé.

« Le processus pernicieux s'est mis en veille pendant 3 jours. »

Là, Apple a trouvé la parade : avec des validations qui ne prennent jamais moins d’une semaine, le malware est grillé ! ;-)

« La seule chose que la certification, comme la signature developer ID, permet c'est d'identifier le dévelopeur et bloquer le soft a posteriori. »

La certification (façon App Store, car j’imagine que c’est de ça que tu parles) permet tout de même bien plus que ça. Ce n’est pas magiquement à toute épreuve, mais ça peut filtrer beaucoup de choses.
La simple signature pour GateKeeper, elle, permet le blocage a posteriori, mais permet aussi de détecter une éventuelle altération ultérieure du logiciel, une fois qu’il est installé sur la machine, par un autre malware. Elle n’est évidemment pas là pour permettre de détecter une altération faite avant même la signature, comme dans le cas présent (enfin, passé, maintenant).

avatar iPoivre | 

J'ai vérifié mes deux Macs, mais du coup j'ai peur pour ceux du boulot... On verra demain si on doit en réinstaller la moitié :/

avatar bibyfok | 

La 2.92 vient de sortir !

avatar jackhal | 

Effectivement. C'est un peu inquiétant de voir arriver une seconde mise à jour aussi rapprochée, ça laisse penser qu'il y a encore un lien avec le malware qui s'active demain.
Ça craint un peu, là :-/

avatar nova313 | 

Bien content de pas avoir fait la mise à jour de Transmission, j'en suis toujours à la 2.84. Mais bon, par souci de sécurité, j'ai bien vérifié si ce ransonware n'était pas installé.

avatar C1rc3@0rc | 

Transmission a ete piraté avec ce qui ressemble a du MiM. Ce veut dire que tres probablement le hacker a eu un acces au site du distributeur soit par une faille technique, soit plus probablement par ingénierie sociale.

Ce malware ne va donc pas se retrouver sur ce soft de sitot... enfin des que les auteurs auront trouvé qui et quand a reussi a avoir accés au site!

Les versions precedentes peuvent contenir d'autres malwares (enfin depuis le temps on le saurait)
Donc pour le moment, passer a la 2.92 peut eviter ce malware, mais tant que la faille n'a pas ete trouvé, et si c'est la RIAA ou similaire qui est derriere ça va pas etre simple: le risque que transmission soit verolé persiste.

Pour rappel sur les sites ou l'on telecharge les softs il doit toujours y avoir une signature SHA ou MD5. Elle permet de verifier l'integrité de la copie.
Ça permet d'eviter d'installer un soft qui a ete modifié par une attaque MiM.
Par contre si le site a ete piraté la signature SHA a des probabilités d'etre elle aussi altérée

Dans le cas present, sur la page de telechargement de transmission y a une signature SHA256 pour le Transmission-2.92.dmg (celui qu'on recupere)
Pour verifier, telecharger transmission et laisser le dans le dossier Telechargement
Ensuite copier et coller dans le terminal la ligne suivante:

signature=$(openssl dgst -sha256 "$HOME/Downloads/Transmission-2.92.dmg"); [[ "${signature##*= }" == "926a878cac007e591cfcea987048abc0689d77e7729a28255b9ea7b73f22d693" ]] && echo "valide"

Si ça affiche "valide" c'est que c'est bon

L'alternative c'est Deluge: http://download.deluge-torrent.org/mac_osx/deluge-1.3.12-osx-x64-inst.dmg

signature=$(openssl dgst -sha1 "$HOME/Downloads/deluge-1.3.12-osx-x64-inst.dmg"); [[ "${signature##*= }" == "1a32d14004c1dc7a070e7e83e4ad38aad58867b2" ]] && echo "valide"

avatar BeePotato | 

@ C1rc3@0rc : « Transmission a ete piraté avec ce qui ressemble a du MiM. »

Pour ma part, je trouve que ça ressemble bien plus à un piratage de site (ce que tu dis d’ailleurs dès ta phrase suivante). Et dans ce cas, comme tu l’as souligné, aucune signature ne permet de se rendre compte du problème.

avatar Yoco | 

Je suis en 2.84 et pas de malware installé, je dois quand même passer sous 2.92 ou plus prudent de ne rien mettre à jour pour l'instant ?

avatar jackhal | 

A ta place je ne ferais pas la mise à jour tout de suite.
Laisser passer une semaine me semble une bonne idée. De toute façon, cette 2.9x ne change vraiment pas grand chose.

avatar lll | 

Très rassurant, tout ça ! Bon, un petit Time Machine ce soir !
Quant à mettre à jour l'application par le même moyen, ça ne me rassure pas des masses... Autant supprimer l'appli en attendant des jours meilleurs, non ?

avatar Nicolas R. | 

C'est pour ça qu'en plus d'une sauvegarde incrémentale Time Machine il est recommandé de faire un clone hebdomadaire chiffré sur un disque dur à part qui n'est branché que pour cela.

avatar cham | 

Merci MacG pour l'alerte !
Donc si on ne trouve pas de processus ou fichier nommé kernel, c'est ok, c'est bien ça ? On croise les doigts mais c'est parti pour une sauvegarde Time machine en plus.

avatar jyo21 | 

À priori rien sur mon Mac. Je vais aussi jouer la prudence, pour le moment c'est poubelle...

avatar Ragondin | 

Si je comprends bien, l'auto update n'est pas concerné ? seul le téléchargement sur le site de l'éditeur est vérolé ?

avatar sangoke | 

@Ragondin :
Je veux pas dire de bêtise mais je crois bien que si car j'ai eut le message de mise à jour y'a quelques jour et j'ai tenté la mise à jour, j'ai eu un message disant que l'application n'était pas signé etc et j'ai arrêté l'installation. Je crois que j'ai été inspiré ^^

avatar i@nY | 

Et si on a effectué la mise a jour via l'application y-a-t-il aussi un risque ? Je n'ai pas de trace de ce kernel service mais ça fait flipper...

avatar Vaudan | 

Encore un coup des russes

avatar IRONMAN65 | 

@Vaudan :
C'est le FBI ou la NSA

avatar macaronboy | 

[modéré] FI

Pages

CONNEXION UTILISATEUR