年中盤點:詳細分析2019年上半年爆發的macOS惡意軟體

2019-07-25     雲霧風景

概述

自從我們在去年12月對2018年的macOS惡意軟體進行年終盤點以來,我們發現新型macOS惡意軟體的爆發數量有所增加。一些舊惡意軟體家族產生了新的變種,一些惡意軟體使用了新的技巧,同時還產生了一些前所未有的新型惡意軟體。民族國家支持的APT組織和犯罪團伙,開始逐漸針對更多的macOS用戶發起攻擊。在這篇文章中,我們將詳細分析在2019年上半年監測到的惡意軟體爆發情況。

1. OSX.Dok重回視野

2019年1月9日,我們在VirusTotal上進行常規樣本搜尋時,發現了OSX.Dok的新變種。根據對樣本的調查,我們發現了攻擊者的伺服器,伺服器中包含受感染受害者的日誌,每天都有新的受害者出現在日誌中。

OSX.Dok安裝自製軟體、Tor的隱藏版本以及其他幾個實用程序,從而實現隱蔽通信。惡意軟體會將多個Apple域名寫入到本地Host文件之中,以便將用戶與這些域名的連接重定向到127.0.0.1。一旦惡意軟體開始捕獲用戶的流量,它就會連接到暗網上的伺服器ltro3fxssy7xsqgz.onion,並開始獲取用戶的數據。

風險分析

OSX.Dok惡意軟體通過網絡釣魚活動實現分發,並且能夠獲取受害者所有的網際網路流量,也包括SSL加密後的流量。但遺憾的是,有許多macOS用戶都認為MAC不會受到惡意軟體的影響。

樣本:c9841ae4a6edfdfb451aee1f2f078a7eacfd7e5e26fb3b2298f55255cb0b56a3

更多細節:macOS惡意軟體OSX.Dok重回視野

2. CookieMiner:兼具挖礦和後門功能的惡意軟體

2019年1月,CookieMiner惡意軟體被發現竊取與加密貨幣交易和Google Chrome密碼相關的Cookie。可能是受到2018年12月出現的OSX.DarthMiner惡意軟體的啟發,或這一惡意軟體就是由相同的開發者編寫,CookieMiner安裝了其自身的門羅幣挖礦工具和Empyre後門,並利用了Automator、Curl和Python等多種技術實現方式。

研究人員發現,CookieMiner可能會竊取足夠多的憑據,從而突破雙因素或多因素的身份驗證。

風險分析

在感染CookieMiner惡意軟體之後,可能會暴露受害者的大量憑據,以允許攻擊者完全訪問其加密貨幣交易帳戶和錢包,可能會對受害者的資金產生影響。

樣本:91b3f5e5d3b4e669a49d9c4fc044d0025cabb8ebb08f8d1839b887156ae0d6dd

更多細節:macOS惡意軟體竊取加密貨幣交易的Cookie

3. Lazarus惡意軟體持續運行

近期,對於加密貨幣交易所來說,無疑是一個危險的時刻,因為CookieMiner不是針對它們的唯一的威脅。與朝鮮相關的APT組織Lazarus在2018年將目標瞄準加密貨幣交易所,這種趨勢一直延續到2019年。3月,研究人員發現一個武器化的Word文檔被用作macOS後門的投放工具。該文檔以韓文撰寫,是針對韓國企業和加密貨幣交易所的惡意活動中使用的文件之一。PHP大馬

該文檔包含一個可以在Windows或macOS上運行的VBA宏。如果受害者使用Mac,它會提供帶有定製後門的Payload。我們觀察到Payload中的特定符號,從而將其歸類到一個長期運行的以軟體,稱為Operation Troy。

風險分析

macOS用戶一旦被Lazarus APT的這一惡意軟體感染,可能會啟用命令和控制伺服器的後門,從而使得攻擊者完全控制該設備。

樣本:761bcff9401bed2ace80b85c43b230294f41fc4d1c0dd1ff454650b624cf239d

更多細節:Lazarus APT以Mac用戶為目標投放病毒文檔

4. 潛伏在野外未被發現的Pirrit惡意軟體

4月份,我們在野外發現了一個惡意軟體,似乎是OSX.Pirrit的變種,隨後我們發現了一小部分相關樣本,這些樣本在兩年中不斷被上傳到VirusTotal上,但目前仍然未被任何聲譽引擎告警。奇熱影視

這些樣本是使用Platypus構建的,Platypus是一個用於將命令行腳本轉換為macOS捆綁應用程式的開發工具。MacOS文件夾中包含一個二進位文件,用於執行包含在Resources文件夾中的腳本,以及在150秒延遲後運行特權命令的Shell腳本。

Resources文件夾中的Updater Shell腳本將連接到硬編碼的C2伺服器。

http[://]aab94f698f36684c5a852a2ef272e031bb[.]com/pd/pi

儘管Pirrit投放工具的一些其他版本使用了Bundle Identifier org.nn.updater,但我們發現的這些樣本使用了org.Administrator.updater。

儘管在VirusTotal上無法識別其父級應用程式,但有些廠商確實檢測到該URL與惡意攻擊相關。

自2016年以來,OSX.Pirrit已經出現了多個變種,該惡意軟體的開發與一家名為「TargetingEdge」的公司有關。

風險分析

OSX.Pirrit是一個廣告惡意軟體,並且具有瀏覽器劫持功能,旨在通過將搜索結果重定向到特定網頁來獲取收入。與此同時,有研究人員分析Pirrit也可以監視用戶並泄漏數據。

樣本:f6ec36688f0b8cf18152e0a8ea02e7349a1504339cedb5aa33c6e6acab83313b

更多細節:OSX.Pirrit Mac廣告惡意軟體

5. OSX.Siggen:偽裝成WhatsApp的木馬

同樣在4月份,OSX.Siggen是一個部署在惡意域名message-whatsapp.com上的惡意軟體,提供虛假的移動版和電腦版WhatsApp軟體。具體在macOS上,將會下載名為WhatsAppService.app的惡意軟體。

在惡意軟體的info.plist中,包含Bundle Identifier inc.dropbox.com,並指定惡意軟體應該在macOS 10.8(Mountain Lion,2012年發布)後的任何版本的macOS上運行。該惡意軟體將LSUIElement值設置為TRUE,這意味著應用程式的運行過程中不會在Dock中顯示圖標。這個值通常會被位於macOS螢幕頂部狀態欄中的應用程式合法使用,但對於惡意軟體作者來說,這無疑是一種隱藏用戶正在運行的應用程式的簡單方式。

應用程式的Resources文件夾中,包含一個純文本的ASCII文件,其中包含部分模糊後、經過Base64編碼的Shell腳本,該腳本安裝了一個用於持久性的LaunchAgent,並將惡意Payload投放到/Users/Shared文件夾中。

LaunchAgent通過URL的方式下載,並且帶有com.enzo標籤。

同時,c.sh腳本也僅僅使用Base64進行編碼:

我們可以對其進行Base64解碼,將該內容通過管道的方式傳遞到base64 –decode,這一過程中使用的解碼腳本方式與惡意軟體作者所使用的方法完全相同。於是,Shell腳本就神奇地變成了Python腳本。通過使用print命令來替換最終命令中的exec,我們可以檢查惡意軟體的輸出內容。

進一步的分析表明,該腳本利用公開發布的後期漏洞利用工具寶Evil.OSX來安裝後門程序。

風險分析

OSX.Siggen通過提供虛假的社交媒體應用程式,瞄準所有macOS用戶,而不針對特定的用戶群體。惡意軟體中存在的後門,將允許攻擊者控制設備,可能會將這些設備作為殭屍網絡進一步利用。

樣本:437a6eb61be177eb6c6652049f41d0bc4460b6743bc9222db95b947bfe68f08f

更多細節:Mac.BackDoor.Siggen和妥協指標

6. 跨平台的挖礦惡意軟體將目標指向音頻製作者

在今年6月,達到2.5GB的龐然大物OSX.Loudminer偽裝成流行音頻軟體(例如Ableton Live)的破解版本,提供給用戶下載。根據ESET研究人員的說法,多達137個虛擬工作室技術相關的應用程式,可能都已經被OSX.Loudminer木馬化。

在macOS系統上,該惡意軟體使用兩個Linux虛擬機進行挖礦,並且最多會安裝三個持久性屬性列表。

所有項目的名稱在安裝時會被隨機化。但是,用於控制挖礦工具的Shell腳本有一些容易識別的字符串,例如:pgrep "Activity Monitor"。

Shell腳本將查看受害者是否已經打開活動監視器(Activity Monitor),可能是為了防止用戶觀察到資源使用的迅速增長,一旦發現啟用,就會立即讓挖礦工具休眠15分鐘,然後再次恢復操作。

OSX.Loudminer是一個占用資源的惡意軟體,似乎通過消耗受害者計算機的資源進行挖礦,從而為攻擊者帶來收入。作為防範措施,我們需要認真調查任何不尋常的資源占用情況,並且不要僅僅依賴於活動監視器(Activity Monitor)。

風險分析

威脅參與者的目標是虛擬工作室軟體,以及其他處理器密集型應用程式,從而掩蓋他們的加密貨幣挖礦導致的資源消耗。

樣本:ecf6919232ef3a47cc98736c6ecf196942bd8f25939ba344eb5c33ad0e878ba8

更多細節:LoudMiner:在破解版VST軟體中實現挖礦

7. KeyStealDaemon:macOS 0-Day密碼竊取惡意軟體

該惡意軟體在6月中旬提交至VirusTotal,利用macOS的0-Day漏洞CVE-2019-8526,該漏洞在2019年2月被披露,並在3月被修復。這一漏洞出現在Sierra 10.12.6版本的作業系統中,允許惡意應用程式獲得提升後的權限。在PoC視頻中,Linuz Heinze展示了如何利用這一漏洞來竊取用戶的密碼。

只有未更新到當前macOS的最新版本,或運行macOS 10.11 El Capitan及更早版本的用戶容易受到該密碼竊取惡意軟體的攻擊。對於那些尚未更新的用戶,KeyStealDaemon會向攻擊者提供存儲在macOS Keychain中的全部憑據的訪問權限。

風險分析

未修復版本的macOS作業系統如果感染KeyStealDaemon惡意軟體,可能會泄露用戶的密碼,因此需要確保將Mac更新至當前安裝作業系統的最新版本,無論是Mojave、High Sierra還是Sierra。

樣本:496bde91a9ea1cf577989212146e7e4bcdd6c812995087c16b016065b0d11ab1

更多細節:KeySteal – 在macOS Mojave上竊取用戶的Keychain密碼

8. OSX/Linker – 另一個0-Day的高效漏洞利用

在5月底,一位研究人員發表了Gatekeeper繞過的0-Day漏洞,該繞過漏洞已經在2019年2月報告給Apple,但至今仍然沒有安裝補丁。根據行業標準,在通知廠商超過90天後,研究人員詳細描述了這一繞過漏洞。

當受害者安裝特製的磁碟映像卷時,該繞過漏洞允許攻擊者在受害者的計算機上執行遠程程序。繞過漏洞在執行不受Gatekeeper檢查的代碼時非常有效,並且對於任何人來說,漏洞利用過程都非常簡單。

在6月中旬,Bundlore廣告惡意軟體的開發者首次嘗試在野外利用這個漏洞。分發虛假的Adobe Flash Player安裝程序是商業廣告惡意軟體最喜歡的技巧之一。根據研究人員的說法,他們分析的3個OSX/Linker惡意樣本是未經簽名的,但其中一個樣本包含簽名,且簽名與Bundlore廣告惡意軟體的簽名相同。

我們進行分析的Play.dmg樣本沒有包含簽名:

這是合理的,因為這一漏洞就是允許惡意軟體在受害者的主機上執行遠程代碼,而無需驗證簽名。此外,我們發現惡意樣本進行通信的IP位址,與其他研究者發現的IP位址相同,都是108[.]168.175[.]167。

風險分析

macOS用戶一旦被欺騙安裝惡意磁碟映像,可能就會在不知情的情況下實現惡意代碼執行,而不會受到Apple內置Gatekeeper安全檢查機制的任何警告。

樣本:9356ef24e81ae6c4c38839383156a2a00c3f183a31860b7bc566f92f1f1a3f9c

更多細節:OSX/Linker:新的Mac惡意軟體嘗試通過0-Day繞過Gatekeeper

9. 利用Firefox 0-Day和Mokes、Netwire惡意軟體發動攻擊

我們在6月26日發現,一個網絡犯罪集團正針對某個加密貨幣交換所發動攻擊,該組織使用兩個Firefox 0-Day漏洞,以及此前沒有見到過的OSX.Mokes和OSX.Netwire/Wirenet後門惡意軟體變種發動攻擊。

Mokes.B使用熟悉的名稱來安裝持久性代理,以避免用戶產生懷疑,其使用的名稱包括「App Store」、「Chrome」、「Dropbox」、「Firefox」、「Spotlightd」和「Skype」。

在我們的分析中,我們注意到,隨著惡意軟體被投放,有一個零位元組的跟蹤文件也會被投放在~/Library/Application Support文件夾中。跟蹤文件的名稱是MD5字符串,該字符串將根據已經投放的6組惡意軟體名稱而定。Mokes.B是一個後門程序,具有記錄用戶數據、記錄鍵盤輸入、從受害者設備捕獲螢幕截圖的功能。

風險分析

對於運行未修補版本的Firefox,或受到Mokes.B或Netwire.A感染的macOS用戶來說,該後門具有較高風險,可能將導致螢幕截圖、鍵盤輸入和用戶數據的泄露。

樣本:97200b2b005e60a1c6077eea56fc4bb3e08196f14ed692b9422c96686fbfc3ad

更多細節:兩個Firefox 0-Day漏洞是如何導致macOS後門的

10. OSX/CrescentCore廣告惡意軟體改變套路

OSX/CrescentCore是一個廣告惡意軟體的變種,近期我們發現,該惡意軟體部署了一些新的策略,從而逃避分析軟體和反病毒產品。

在軟體包的Resources文件夾中,包含了兩個json文件,用於指定要檢查的虛擬機軟體,以及惡意軟體需要逃避的傳統反病毒解決方案。

惡意軟體作者的目標是試圖防止被安全解決方案捕獲,並且避免在研究人員使用的沙箱環境中運行。但實際上,研究人員只需要編輯文件,並刪除惡意軟體的代碼簽名,即可輕鬆阻止虛擬機檢測機制。

OSX/CrescentCore是PPI/Adware的一種新型投放工具,試圖在用戶的主機上通過下載和瀏覽器搜索來獲得收入。這些PUP和廣告軟體安裝程序的問題在於,它們會在用戶的主機上運行不必要的任務,並且會導致彈出用戶不需要的瀏覽器頁面、彈出窗口和虛假病毒警報,分散用戶注意力,並影響工作效率。

風險分析

macOS用戶在感染OSX/CrescentCore後,會發現計算機的可用性越來越差,因為惡意軟體會使用英國媒體報道、虛假反病毒提示和搜索劫持來干擾用戶的正常使用。

樣本:b5d896885b44f96bd1cda3c798e7758e001e3664e800497d7880f21fbeea4f79

更多細節:OSX/CrescentCore:Mac惡意軟體旨在逃避反病毒檢測

總結

在2019年上半年,我們看到macOS惡意軟體的數量有所上升,這表明,儘管許多macOS用戶普遍認為他們不會受到網絡威脅的應向,但威脅者以macOS作為目標的頻率越來越高。由於現在macOS在企業中更加常見,並且考慮到macOS作業系統提供的安全性保護相對較弱,因此惡意軟體作者認為這一作業系統平台是一個有利可圖的目標。

由於網絡犯罪分子一直在尋找企業中最薄弱的環節,因此應該確保所有macOS用戶,包括高管、開發人員或其他關鍵的用戶都具有足夠的安全意識。與此同時,還可以部署專門的macOS解決方案,從而具備自動檢測惡意代碼執行的能力。

文章來源: https://twgreatdaily.com/zh/QPqKKmwBmyVoG_1Z2JXt.html