安全路透社
当前位置:安全路透社 > 网络转载 > 正文

【FreeBuf年终策划】盘点2016年针对苹果Mac系统的恶意软件(附样本下载)

33333.jpg

由于样式和传播途径多样,Windows系统下的恶意软件通常比较常见。当然,在2016年,Mac系统下的一些新型恶意软件也慢慢开始流行起来,大量苹果电脑系统面临安全威胁。在此,我就2016年出现的Mac系统恶意软件作一些盘点分析,并对每个恶意软件的功能特点、感染方式、驻留机制及清除方法作出描述说明。如果你想亲自动手分析研究,在安全风险自负的情况下,请点此下载我们为你提供的样本文件。

KeRanger   2016.3   野生网络中出现的,第一个针对OS X的全功能恶意勒索软件;

Eleanor      2016.7    基于PHP的后门程序,使用Tor隐藏服务端进行远程控制通信;

Keydnap    2016.7    具备窃取OS X系统用户凭据的标准后门程序,使用Tor隐藏服务端进行远程控制通信;

Fake File Opener  2016.8   具有独特驻留机制的一个相当烦人的广告类恶意软件;

Mokes       2016.9     针对OS X系统的一个非常标准非常完美的后门程序;

Komplex    2016.9    伪装成俄罗斯航天计划,可能由俄罗斯黑客团队 Sofacy Group 或 Fancy Bear 开发,主要针对航天领域用户的一款木马程序。

KeRanger

OSX/KeRanger是第一个针对OS X的全功能恶意勒索软件,由Palo Alto Networks发现

01.jpg

感染方式

该恶意软件出于各种原因,非常特别。首先是感染方式特别,为了实现隐秘感染Mac用户,OSX/KeRanger作者先是黑了OS X系统流行BitTorrent客户端Transmission官方网站https://transmissionbt.com/,之后,利用入侵权限,把提供下载的Transmission官方程序替换成包含恶意程序OSX/KeRanger的假冒程序。

transmission.png

该假冒程序安装包在Transmission.app/Contents/Resources目录下带有一个名为General.rtf的文件,它看似像正常的RTF文件,实际上却是一个带有UPX 3.91的Mach-O格式可执行文件。

03.png

当用户点击受感染的Transmission程序之后,将会调用执行General.rtf文件,恶意程序主要执行体为:

04.jpg

另外,OSX/KeRanger作者还为其注册了一个有效的Mac开发应用证书,因此可以绕过苹果的GateKeeper 防护:

05.png

驻留机制

据目前的样本观察来看,OSX/KeRanger不包含任何逻辑性驻留感染代码,只要把恶意程序主体文件kernel_service和其相关进程清除之后,就可以完全避免进一步感染。

感染特征

用户电脑被感染后,KeRanger会通过Tor匿名网络与远程C&2服务器连接,之后开始对系统上某些特定文档和数据进行加密,KeRanger就会要求受害者向一指定的地址支付一个比特币,以赎回文件。以下是对其勒索代码的逆向分析:

06.jpg

以上代码显示,KeRanger将会加密 /Users/目录和/Volumes/根目录下所有文件,而据PaloAlto分析,这些被加密的文件包括300多种格式类型,如.docs, .jpgs, .zips, .cpp等。在每个加密目录下,KeRanger会创建一个readme_for_decrypt.txt文档,其中包含用户如何支付比特币的方法:

07.png

也有分析人员认为KeRanger是勒索软件linux.encoder的变种,这也从另外一个方面说明现代某些恶意软件的移植相对灵活。

清除方式

停止kernel_service进程

删除 ~/Library/kernel_*目录和相关文件

升级Transmission至2.93版本

目前来说,苹果方面已经吊销了KeRanger的注册证书(ID Z7276PX673)并更新了XProtect特征库,暂时能对Mac用户形成安全防护。

xxx.jpg

Keydnap

OSX/Keydnap是具备窃取OS X系统用户凭据的标准后门程序,使用Tor隐藏服务端进行远程控制通信,由ESET发现

07.jpg

感染方式

OSX/Keydnap首先被Eset发现,Eset声称,不清楚OSX/Keydnap以何种方式感染了受害者系统,但很有可能是通过垃圾邮件附件或非受信网站下载等途径。

据分析,Keydnap属下载者类型木马(downloader),由.zip压缩文件方式存在于受害者系统中,.zip压缩文件中包含有可执行的 Mach-O 文件,这些文件看似是.txt或.jpg文件,但其实在这些文件后缀名后被加了个空格隐藏在末尾,这就是木马程序的伪装手段。由于Mac OS 默认这种文件为终端执行文件,这意味着在双击打开图片或文档的同时,恶意程序的payload同时也在终端环境下被运行。

08.png

在传播后期,攻击者同样通过入侵Transmission官网,利用OSX/KeRanger感染方式,把合法的Transmission程序替换成了Keydnap恶意程序。这一次,假冒Transmission程序包包含了恶意程序主体执行文件License.rtf,并注册了另一个开发者应用证书: Shaderkin Igor (836QJ8VMCQ)

09.png

驻留机制

为了实现长期系统驻留,Keydnap创建了两个系统项:com.apple.iCloud.sync.daemon、com.geticloud.icloud.photo

10.png

com.apple.iCloud.sync.daemon负责让系统执行恶意程序的二进制进程icloudsyncd,com.geticloud.icloud.photo负责恶意程序与远程C&2服务器的Tor隐藏服务通信进程icloudproc,而icloudproc则是Tor2Web代理程序的一个复本。

感染特征

前述的icloudsyncd进程是Keydnap的主要执行体,它具备标准后门程序功能,可以实现远程控制、下载、执行文件等操作,其中还包括一个远程python脚本文件下载执行:

11.jpg

另外,Keydnap还包括逻辑提权操作,它将会产生一个要求用户输入用户名密码的窗口,看上去就像OS X系统中某个程序需要系统执行权限一样,如果受害者被此迷惑并输入用户名密码之后,后门程序将以root权限运行,并且keychain中的密码信息将会被盗取。

12.png

这部分的功能实现,Keydnap的作者可能参考了github上的开源项目keychaindump

13.png

Keydnap使用Tor2Web代理程序进行C&2通信,进程icloudproc持续对127.0.0.1:9050地址进行监听, 用Tor隐藏服务利用https与远程C&C服务器进行通信:

13.jpg

清除方式

使用launchctl unload命令暂停恶意程序或Tor进程

删除启动项plist文件/Library/LaunchAgents 或  ~/Library/LaunchAgents\com.apple.iCloud.sync.daemon.plist\com.geticloud.icloud.photo.plist

删除启动项二进制文件:

a) ~/Library/Application Support/com.apple.iCloud.sync.daemon/?

b) ~/Library/Application Support/com.geticloud/

目前,苹果公司已经注销了相关感染了Keydnap的Transmission开发者账号:

14.jpg

Eleanor

OSX/Eleanor是一个基于php的全功能简单后门程序,由Bitdenfender发现

15.jpg

感染方式

与其它恶意软件传播方式不同,OSX/Eleanor通过伪装成应用程序EasyDoc Convertor,在很多流行的程序分享和下载网站提供下载,如Mac Update。

16.png

驻留机制

感染Mac系统后,OSX/Eleanor会安装三个自启动项,显然,隐蔽性不是其作者所着重关心的部分,这三个启动项分别是:

com.getdropbox.dropbox.integritycheck.plist → conn

com.getdropbox.dropbox.timegrabber.plist → check_hostname

com.getdropbox.dropbox.usercontent.plist → dbd

17.jpg

其中,启动项com.getdropbox.dropbox.integritycheck.plist负责执行名为conn的二进制程序,该程序为开启隐藏Tor服务;com.getdropbox.dropbox.timegrabber.plist负责执行名为check_hostname的脚本,该脚本把恶意程序使用的C&C远程Tor地址发布到Pastebin网站保存;com.getdropbox.dropbox.usercontent.plist负责执行PHP主要程序dbd:

18.jpg

感染特征

Eleanor比较独特的功能之一是把受害主机通过Tor进行进程控制管理,conn程序负责与远程C&C服务器进行连接通信,利用进程管理工具TaskExplorer可以观察到其对9060和9061端口的网络监听行为:

eleanorTor.png

Eleanor从以下Tor配置文件~/Library/.dropbox/sync/storage中读取网络监听端口:

19.jpg

另外,启动项执行脚本check_hostname还具备加密恶意软件使用的远程C&C Tor地址,并把其发布到文件分享网站Pastebin,通过这种中转方式,攻击者能与受害主机保持联系:

20.jpg

OSX/Eleanor的核心后门程序为PHP结构,其中包含一个来源于github的开源网页后门程序b374k:github.com/b374k

21.jpg

该PHP shell提供了大部份远程控制管理功能:

eleanorPHPTerminal.png

eleanorPHPEval.png

可怕的一点是,OSX/Eleanor还具有类似软件Wacaw的视频画面捕捉功能,可以通过简单的命令行实现对受害者系统摄像头的拍照或录像功能。

清除方式

删除OSX/Eleanor的三个自启动项;

删除隐藏文件目录~/Library/.dropbox下的相关恶意文件和假冒EasyDoc Convertor程序。

为了阻止Eleanor的传播感染,苹果方面已经更新了XProtect特征库。

22.jpg

Fake File Opener

OSX/FakeFileOpener是一种广告类恶意软件,由MalwareBytes发现

23.jpg

感染方式

OSX/FakeFileOpener通过假冒安全网站AdvancedMacCleaner.com弹出的安全警告进行传播感染

fakeFileOpenerInfection.png

一旦用户点击了“立即安装安全更新”之后就会中招,OSX/FakeFileOpener将会产生一个文档处理程序 Mac File Opener,该程序附带注该册证书,可以绕过Gatekeeper执行。

24.png

驻留机制

据恶意软件专家Thomas Reed分析认为,该恶意程序无明显的启动机制,不产生任何启动项或驻留进程,就跟不存在一样。深入分析之后发现,Fake File Opener把自身注册成了一个可以打开大多数文档的处理程序(Document handler),危险的情况是,如果某个特定文件没有其他的应用程序可以打开,那么Fake File Opener就是其默认打开程序,而这正是该恶意程序需要达到的效果。

25.png

由于这种驻留方式需要受害用户打开一个未知类型的文档才能触发,稍微有点不常见或不通用,但这种方法的好处是可以绕过一些安全防护工具,非常独特。

感染特征

OSX/FakeFileOpener是标准的广告类恶意软件,它的目的很简单,就是让感染系统安装更多广告类恶意程序。具体来说,每当受害系统的File Opener启动打开某些未知类型文档后,OSX/FakeFileOpener将会跳出一个提示弹窗(如下),声明“没有应用程序可以打开该文档”,而当用户点击“在线查找应用”’Search Web之后,浏览器将会跳转到恶意程序网站www.macfileopener.org,该网站又会继续跳出其它恶意程序安装窗口,如Mac Adware Remover或Mac Space Reviver,进一步迷惑受害用户,达到欺骗安装目的。

26.png

清除方式

删除Mac File Opener相关目录文档,重新设置系统文档打开程序。

27.jpg

Mokes

OSX/Mokes是一个具备大多数功能的完美的OS X后门程序,由卡巴斯基发现

28.jpg

感染方式

目前,其感染方式未知,卡巴斯基也只能作出一些猜测:漏洞利用、不受信网站的程序安装或社工攻击都有可能。

驻留机制

自启动是OS X恶意软件的首选方法,OSX/Mokes也是这样,它在~/Library/LaunchAgents/目录下生成启动项storeuserd.plist,以下分析可以清楚看出其启动方法:

29.jpg30.png

感染特征

除了下载和执行操作之外,OSX/Mokes还具备其它多数功能,据卡巴斯基描述,Mokes可以对受害系统的多种类型文档的窃取,包括音视频文件、办公文件和键盘记录等:

31.jpg

该恶意程序还能监控U盘等其它插入系统的可移动载体,并利用QT编程方法集成了一个针对OS X系统的摄像头录像功能:

32.jpg

清除方式

取消其自启动项:launchctl unload ~/Library/LaunchAgents/storeuserd.plist,并删除其对应程序,如storeuserd

除了名为storeuserd的程序外,Mokes还可能在以下目录生成相关程序,可以对照删除:

~/Library/com.apple.spotlight/SpotlightHelper

~/Library/Dock/com.apple.dock.cache

~/Library/Skype/SkypeHelper

~/Library/Dropbox/DropboxCache

~/Library/Google/Chrome/nacld

~/Library/Firefox/Profiles/profiled

Komplex

俄罗斯网络间谍是2016年的一个热门话题,而OSX/Komplex据说就是俄罗斯相关黑客团体APT 28/Fancy Bear使用的木马植入程序。由Palo Alto Networks发现

33.jpg

感染方式

OSX/Komplex通过钓鱼邮件传播,其中内置了恶意程序的PDF附件伪装成俄罗斯联邦太空计划文档roskosmos_2015-2025.pdf,当目标用户点开之后就会触发恶意程序:

34.png

驻留机制

Komplex在系统内生成自启动项:~/Library/LaunchAgents/com.apple.updates.plist,该启动项对应恶意程序/Users/Shared/.local/kextd,通过该程序体远程下载并执行攻击者有有效载荷。

35.jpg

感染特征

Komplex执行后,会检测受害系统的网络联通性,并判断自身是否处于调试分析状态:

36.jpg

Komplex虽然只具备以下几个简单的木马功能,但足以让攻击者实现远程入侵控制:

下载文件

删除文件

配置后门程序

执行程序

运行后门命令

37.jpg

除了俄罗斯相关的线索外,Palo Alto公司声称Komplex其实早已经被发现。2015年,BAE systems公司就发布了名为”New Mac OS Malware Exploits Mackeeper“的分析报告,报告指出,某未知恶意程序利用MacKeeper杀毒软件漏洞感染Mac系统,而Palo Alto也发现了大量类似的恶意代码。

清除方式

取消启动项~/Library/LaunchAgents/com.apple.updates.plist

删除其对应程序

**参考来源:objective-see,FB小编clouds编译。

未经允许不得转载:安全路透社 » 【FreeBuf年终策划】盘点2016年针对苹果Mac系统的恶意软件(附样本下载)

赞 (0)
分享到:更多 ()

评论 0

评论前必须登录!

登陆 注册