由于样式和传播途径多样,Windows系统下的恶意软件通常比较常见。当然,在2016年,Mac系统下的一些新型恶意软件也慢慢开始流行起来,大量苹果电脑系统面临安全威胁。
在此,我就2016年出现的Mac系统恶意软件作一些盘点分析,并对每个恶意软件的功能特点、感染方式、驻留机制及清除方法作出描述说明。
如果你想亲自动手分析研究,在安全风险自负的情况下,请点击阅读原文查看我们为你提供的样本文件。
KeRanger 2016.3 野生网络中出现的,第一个针对OS X的全功能恶意勒索软件;
Eleanor 2016.7 基于PHP的后门程序,使用Tor隐藏服务端进行远程控制通信;
Keydnap 2016.7 具备窃取OS X系统用户凭据的标准后门程序,使用Tor隐藏服务端进行远程控制通信;
Fake File Opener 2016.8 具有独特驻留机制的一个相当烦人的广告类恶意软件;
Mokes 2016.9 针对OS X系统的一个非常标准非常完美的后门程序;
Komplex 2016.9 伪装成俄罗斯航天计划,可能由俄罗斯黑客团队 Sofacy Group 或 Fancy Bear 开发,主要针对航天领域用户的一款木马程序。
KeRanger
OSX/KeRanger是第一个针对OS X的全功能恶意勒索软件,由Palo Alto Networks发现。
感染方式
该恶意软件出于各种原因,非常特别。首先是感染方式特别,为了实现隐秘感染Mac用户,OSX/KeRanger作者先是黑了OS X系统流行BitTorrent客户端Transmission官方网站https://transmissionbt.com/。
之后,利用入侵权限,把提供下载的Transmission官方程序替换成包含恶意程序OSX/KeRanger的假冒程序。
该假冒程序安装包在Transmission.app/Contents/Resources目录下带有一个名为General.rtf的文件,它看似像正常的RTF文件,实际上却是一个带有UPX 3.91的Mach-O格式可执行文件。
当用户点击受感染的Transmission程序之后,将会调用执行General.rtf文件,恶意程序主要执行体为:
另外,OSX/KeRanger作者还为其注册了一个有效的Mac开发应用证书,因此可以绕过苹果的GateKeeper 防护:
驻留机制
据目前的样本观察来看,OSX/KeRanger不包含任何逻辑性驻留感染代码,只要把恶意程序主体文件kernel_service和其相关进程清除之后,就可以完全避免进一步感染。
感染特征
用户电脑被感染后,KeRanger会通过Tor匿名网络与远程C&2服务器连接,之后开始对系统上某些特定文档和数据进行加密,KeRanger就会要求受害者向一指定的地址支付一个比特币,以赎回文件。
以下是对其勒索代码的逆向分析:
以上代码显示,KeRanger将会加密 /Users/目录和/Volumes/根目录下所有文件,而据PaloAlto分析,这些被加密的文件包括300多种格式类型,如.docs, .jpgs, .zips, .cpp等。
在每个加密目录下,KeRanger会创建一个readme_for_decrypt.txt文档,其中包含用户如何支付比特币的方法:
也有分析人员认为KeRanger是勒索软件linux.encoder的变种,这也从另外一个方面说明现代某些恶意软件的移植相对灵活。
清除方式
停止kernel_service进程
删除 ~/Library/kernel_*目录和相关文件
升级Transmission至2.93版本
目前来说,苹果方面已经吊销了KeRanger的注册证书(ID Z7276PX673)并更新了XProtect特征库,暂时能对Mac用户形成安全防护。
Keydnap
OSX/Keydnap是具备窃取OS X系统用户凭据的标准后门程序,使用Tor隐藏服务端进行远程控制通信,由ESET发现。
感染方式
OSX/Keydnap首先被Eset发现,Eset声称,不清楚OSX/Keydnap以何种方式感染了受害者系统,但很有可能是通过垃圾邮件附件或非受信网站下载等途径。
据分析,Keydnap属下载者类型木马(downloader),由.zip压缩文件方式存在于受害者系统中,.zip压缩文件中包含有可执行的 Mach-O 文件,这些文件看似是.txt或.jpg文件,但其实在这些文件后缀名后被加了个空格隐藏在末尾,这就是木马程序的伪装手段。
由于Mac OS 默认这种文件为终端执行文件,这意味着在双击打开图片或文档的同时,恶意程序的payload同时也在终端环境下被运行。
在传播后期,攻击者同样通过入侵Transmission官网,利用OSX/KeRanger感染方式,把合法的Transmission程序替换成了Keydnap恶意程序。
这一次,假冒Transmission程序包包含了恶意程序主体执行文件License.rtf,并注册了另一个开发者应用证书: Shaderkin Igor (836QJ8VMCQ)
驻留机制
为了实现长期系统驻留,Keydnap创建了两个系统项:com.apple.iCloud.sync.daemon、com.geticloud.icloud.photo
com.apple.iCloud.sync.daemon负责让系统执行恶意程序的二进制进程icloudsyncd,com.geticloud.icloud.photo负责恶意程序与远程C&2服务器的Tor隐藏服务通信进程icloudproc,而icloudproc则是Tor2Web代理程序的一个复本。
感染特征
前述的icloudsyncd进程是Keydnap的主要执行体,它具备标准后门程序功能,可以实现远程控制、下载、执行文件等操作,其中还包括一个远程python脚本文件下载执行:
另外,Keydnap还包括逻辑提权操作,它将会产生一个要求用户输入用户名密码的窗口,看上去就像OS X系统中某个程序需要系统执行权限一样。
如果受害者被此迷惑并输入用户名密码之后,后门程序将以root权限运行,并且keychain中的密码信息将会被盗取。
这部分的功能实现,Keydnap的作者可能参考了github上的开源项目keychaindump。
Keydnap使用Tor2Web代理程序进行C&2通信,进程icloudproc持续对127.0.0.1:9050地址进行监听, 用Tor隐藏服务利用https与远程C&C服务器进行通信:
清除方式
使用launchctl unload命令暂停恶意程序或Tor进程
删除启动项plist文件/Library/LaunchAgents 或 ~/Library/LaunchAgentscom.apple.iCloud.sync.daemon.plistcom.geticloud.icloud.photo.plist
删除启动项二进制文件:
a) ~/Library/Application Support/com.apple.iCloud.sync.daemon/?
b) ~/Library/Application Support/com.geticloud/
目前,苹果公司已经注销了相关感染了Keydnap的Transmission开发者账号:
Eleanor
OSX/Eleanor是一个基于php的全功能简单后门程序,由Bitdenfender发现。
感染方式
与其它恶意软件传播方式不同,OSX/Eleanor通过伪装成应用程序EasyDoc Convertor,在很多流行的程序分享和下载网站提供下载,如Mac Update。
驻留机制
感染Mac系统后,OSX/Eleanor会安装三个自启动项,显然,隐蔽性不是其作者所着重关心的部分,这三个启动项分别是:
com.getdropbox.dropbox.integritycheck.plist → conn
com.getdropbox.dropbox.timegrabber.plist → check_hostname
com.getdropbox.dropbox.usercontent.plist → dbd
其中,启动项com.getdropbox.dropbox.integritycheck.plist负责执行名为conn的二进制程序,该程序为开启隐藏Tor服务;
com.getdropbox.dropbox.timegrabber.plist负责执行名为check_hostname的脚本,该脚本把恶意程序使用的C&C远程Tor地址发布到Pastebin网站保存;com.getdropbox.dropbox.usercontent.plist负责执行PHP主要程序dbd:
感染特征
Eleanor比较独特的功能之一是把受害主机通过Tor进行进程控制管理,conn程序负责与远程C&C服务器进行连接通信,利用进程管理工具TaskExplorer可以观察到其对9060和9061端口的网络监听行为:
Eleanor从以下Tor配置文件~/Library/.dropbox/sync/storage中读取网络监听端口:
另外,启动项执行脚本check_hostname还具备加密恶意软件使用的远程C&C Tor地址,并把其发布到文件分享网站Pastebin,通过这种中转方式,攻击者能与受害主机保持联系:
OSX/Eleanor的核心后门程序为PHP结构,其中包含一个来源于github的开源网页后门程序b374k:github.com/b374k
该PHP shell提供了大部份远程控制管理功能:
可怕的一点是,OSX/Eleanor还具有类似软件Wacaw的视频画面捕捉功能,可以通过简单的命令行实现对受害者系统摄像头的拍照或录像功能。
清除方式
删除OSX/Eleanor的三个自启动项;
删除隐藏文件目录~/Library/.dropbox下的相关恶意文件和假冒EasyDoc Convertor程序。
为了阻止Eleanor的传播感染,苹果方面已经更新了XProtect特征库。
Fake File Opener
OSX/FakeFileOpener是一种广告类恶意软件,由MalwareBytes发现。
感染方式
OSX/FakeFileOpener通过假冒安全网站AdvancedMacCleaner.com弹出的安全警告进行传播感染。
一旦用户点击了“立即安装安全更新”之后就会中招,OSX/FakeFileOpener将会产生一个文档处理程序 Mac File Opener,该程序附带注该册证书,可以绕过Gatekeeper执行。
驻留机制
据恶意软件专家Thomas Reed分析认为,该恶意程序无明显的启动机制,不产生任何启动项或驻留进程,就跟不存在一样。
深入分析之后发现,Fake File Opener把自身注册成了一个可以打开大多数文档的处理程序(Document handler),危险的情况是,如果某个特定文件没有其他的应用程序可以打开,那么Fake File Opener就是其默认打开程序,而这正是该恶意程序需要达到的效果。
由于这种驻留方式需要受害用户打开一个未知类型的文档才能触发,稍微有点不常见或不通用,但这种方法的好处是可以绕过一些安全防护工具,非常独特。
感染特征
OSX/FakeFileOpener是标准的广告类恶意软件,它的目的很简单,就是让感染系统安装更多广告类恶意程序。
具体来说,每当受害系统的File Opener启动打开某些未知类型文档后,OSX/FakeFileOpener将会跳出一个提示弹窗(如下),声明“没有应用程序可以打开该文档”。
而当用户点击“在线查找应用”’Search Web之后,浏览器将会跳转到恶意程序网站www.macfileopener.org,该网站又会继续跳出其它恶意程序安装窗口,如Mac Adware Remover或Mac Space Reviver,进一步迷惑受害用户,达到欺骗安装目的。
清除方式
删除Mac File Opener相关目录文档,重新设置系统文档打开程序。
Mokes
OSX/Mokes是一个具备大多数功能的完美的OS X后门程序,由卡巴斯基发现。
感染方式
目前,其感染方式未知,卡巴斯基也只能作出一些猜测:漏洞利用、不受信网站的程序安装或社工攻击都有可能。
驻留机制
自启动是OS X恶意软件的首选方法,OSX/Mokes也是这样,它在~/Library/LaunchAgents/目录下生成启动项storeuserd.plist,以下分析可以清楚看出其启动方法:
感染特征
除了下载和执行操作之外,OSX/Mokes还具备其它多数功能,据卡巴斯基描述,Mokes可以对受害系统的多种类型文档的窃取,包括音视频文件、办公文件和键盘记录等:
该恶意程序还能监控U盘等其它插入系统的可移动载体,并利用QT编程方法集成了一个针对OS X系统的摄像头录像功能:
清除方式
取消其自启动项:launchctl unload ~/Library/LaunchAgents/storeuserd.plist,并删除其对应程序,如storeuserd
除了名为storeuserd的程序外,Mokes还可能在以下目录生成相关程序,可以对照删除:
~/Library/com.apple.spotlight/SpotlightHelper
~/Library/Dock/com.apple.dock.cache
~/Library/Skype/SkypeHelper
~/Library/Dropbox/DropboxCache
~/Library/Google/Chrome/nacld
~/Library/Firefox/Profiles/profiled
Komplex
俄罗斯网络间谍是2016年的一个热门话题,而OSX/Komplex据说就是俄罗斯相关黑客团体APT 28/Fancy Bear使用的木马植入程序。由Palo Alto Networks发现。
感染方式
OSX/Komplex通过钓鱼邮件传播,其中内置了恶意程序的PDF附件伪装成俄罗斯联邦太空计划文档roskosmos_2015-2025.pdf,当目标用户点开之后就会触发恶意程序:
驻留机制
Komplex在系统内生成自启动项:~/Library/LaunchAgents/com.apple.updates.plist,该启动项对应恶意程序/Users/Shared/.local/kextd,通过该程序体远程下载并执行攻击者有有效载荷。
感染特征
Komplex执行后,会检测受害系统的网络联通性,并判断自身是否处于调试分析状态:
Komplex虽然只具备以下几个简单的木马功能,但足以让攻击者实现远程入侵控制:
下载文件
删除文件
配置后门程序
执行程序
运行后门命令
除了俄罗斯相关的线索外,Palo Alto公司声称Komplex其实早已经被发现。
2015年,BAE systems公司就发布了名为”New Mac OS Malware Exploits Mackeeper“的分析报告,报告指出,某未知恶意程序利用MacKeeper杀毒软件漏洞感染Mac系统,而Palo Alto也发现了大量类似的恶意代码。
清除方式
取消启动项~/Library/LaunchAgents/com.apple.updates.plist
删除其对应程序
**参考来源:objective-see,FB小编clouds编译,转载请注明来自FreeBuf.COM。
