根據(jù)微軟官方提供的數(shù)據(jù)，2017年5月Windows 10系統(tǒng)的日活躍用戶超過3億，平均每人每天的用量為3.5個小時。我們也知道目前絕大多數(shù)惡意軟件包括勒索軟件都只針對Windows系統(tǒng)，對于絕大多數(shù)攻擊者而言制作Mac或者是Linux惡意軟件由于目標和受眾面太小可能并不會獲得太多的收益。

但安全企業(yè)Fortinet公司的惡意軟件研究人員們發(fā)現(xiàn)有勒索軟件制作者開始將目標轉向Mac設備發(fā)動攻勢，這款惡意軟件名為MacRansom，這也是有史以來第一種以RaaS服務形式存在的Mac勒索軟件。

任何人都可以使用MacRansom進行攻擊

該惡意軟件通過TOR網(wǎng)絡當中的一項隱藏服務以勒索軟件即服務(簡稱RaaS)的形式實現(xiàn)作用。盡管這一威脅并不像其它類似威脅那樣復雜，但由于會對受害者的文件進行加密，因此同樣可能造成嚴重的后續(xù)影響。MacRansom作為RaaS，也就是說這款勒索軟件的開發(fā)團隊只負責在幕后開發(fā)軟件不參與勒索，下游攻擊者可以購買這款勒索軟件進行傳播。

Fortinet公司在發(fā)布的分析報告當中指出：

“我們剛剛在FortiGuard實驗室當中發(fā)現(xiàn)了一種勒索軟件即服務(簡稱RaaS)，其利用托管于TOR網(wǎng)絡當中的一套門戶網(wǎng)站。盡管這種作法目前已經(jīng)成為新的趨勢，但在本案例中，我們意外地發(fā)現(xiàn)網(wǎng)絡犯罪分子開始以類似的手法針對Windows之外的操作系統(tǒng)發(fā)起攻擊——這確實值得加以關注。事實上，這很可能是歷史上第一例RaaS形式的Mac OS惡意軟件。”

雖然看起來MacRansom并沒有比Windows的勒索軟件厲害多少， 但這款勒索軟件聲稱還能監(jiān)視用戶鍵盤記錄。這意味著這款勒索軟件已經(jīng)不是簡單的勒索功能了， 而是類似完整的木馬病毒可以窺竊用戶電腦里的內容了。當然最麻煩的還是這種勒索軟件即服務的策略， 這可以讓完全不懂開發(fā)的下游攻擊者直接購買軟件進行散播。

目前尚無法直接通過Tor門戶獲得MacRansom的變種版本，有興趣的惡意人士需要聯(lián)系該勒索軟件的作者以獲取更多其它針對性版本。

這份分析報告進一步補充稱：

“MacRansom的變種尚無法通過該門戶獲取。必須聯(lián)系該勒索軟件的開發(fā)者以溝通其它版本獲取事宜。我們起初認為這可能是個騙局，因為開發(fā)者并沒有提供任何演示; 但在隨后的驗證當中，我們向該開發(fā)者發(fā)出了聯(lián)系郵件并意外收到了回復。”

MacRansom如何進行勒索?

這款勒索軟件的開發(fā)者在暗網(wǎng)上發(fā)布廣告稱這款軟件是最復雜的針對Mac平臺的勒索軟件。購買者在支付費用后可以要求開發(fā)團隊設置軟件的觸發(fā)時間并可以選擇是否延遲加密即可以不立即加密文件。

MacRansom利用硬編碼密鑰實現(xiàn)對稱加密，而且該勒索軟件最多只能加密128個文件; 在解密密鑰方面，作者要求受害方支付0.25比特幣(約700美元)。

研究人員發(fā)現(xiàn)了兩組由該勒索軟件使用的對稱密鑰：

ReadmeKey: 0x3127DE5F0F9BA796

TargetFileKey: 0x39A622DDB50B49E9

其中的ReadmeKey用于加密包含有勒索詞與指令的._README_file，而TargetFileKey則用于加密及解密受害者的文件。

比較有意思的是，這款勒索軟件除會加密外還會把原始的文件給加密并修改時間用來防止被恢復工具恢復出來。

通過對惡意代碼的執(zhí)行進行逆向分析，我們發(fā)現(xiàn)該勒索軟件首先會檢查自身是否處于非Mac環(huán)境或者調試環(huán)境當中。

一旦受害者支付贖金，該作者會將30%的金額發(fā)送回客戶的比特幣地址。

而客戶方面則需要傳播該威脅，例如通過電子郵件發(fā)布下載驅動型攻擊。

開發(fā)者并不鼓勵采取下載驅動型攻擊或者其它需要上傳MacRansom定制化版本的傳播方法。

Fortinet公司總結稱：

“我們很少看到新型且專門針對Mac OS平臺的勒索軟件。盡管其實際水平遠遠低于目前Windows系統(tǒng)所面臨的大多數(shù)勒索軟件，但仍然有能力加密受害者的文件或者阻止用戶對重要文件的訪問，因此完全可以造成實質性損害。”

“最后但同樣重要的是，這款MacRansom的變種很可能是由模仿者加工并利用。因為我們從其中發(fā)現(xiàn)了很多提取自過往Mac OSX勒索軟件的類似代碼與設計思路。盡管其與之前的Mac OSX勒索軟件采用不同的反分析技術，但這些技術早已被眾多惡意軟件作者廣泛部署在自己的攻擊工具當中。MacRansom無疑是勒索軟件威脅大規(guī)模盛行的又一大實例，意味著任何一種操作系統(tǒng)平臺都有可能遭受此類危害。”