New Mac Malware-as-a-Service offerings

几周前,Mac的两个新的Malware-as-a-Service(MaaS)产品即将推出。这两个产品 - 一个名为MacSpy的后门和名为MacRansom的ransomware应用程序 - 于5月25日由Bleeping Computer的Catalin Cimpanu 发现

Cimpanu显然抓住了样本的麻烦,但是周五分析MacRansom由Fortinet发布,MacSpy的分析由AlienVault发布。

这两个恶意软件程序都是通过Tor网站做广告的,声称它们是“最先进的Mac间谍软件/ ransomware,免费”。这两个程序都没有直接可用,但只能通过电子邮件发送作者在protonmail [dot] com电子邮件地址。

行为

尽管这些恶意软件程序具有复杂性,但并不是特别先进。提供给Fortinet和AlienSpy的程序是简单的命令行可执行文件,当运行时,将其自身复制到用户的库文件夹中。

MacSpy:

〜/资源库/ .DS_Stores /更新

MacRansom:

〜/库/ .FS_Store

因为.DS_Stores文件夹和.FS_Store文件都具有以句点开头的名称,所以它们被隐藏,除非用户已经做了一些事情来显示不可见的文件。

作为安装的一部分,这些程序还创建了用于持久化的LaunchAgent文件 - 一个不是所有的原始方法。

MacSpy:

〜/资源库/ LaunchAgents / com.apple.webkit.plist

MacRansom:

〜/资源库/ LaunchAgents / com.apple.finder.plist

最近的一些恶意软件有能力自定义安装位置和名称,但在Fortinet和AlienVault的报告中没有迹象表明MacSpy或MacRansom提供了这样的功能,这使得它们非常容易检测。

MacRansom使用自定义的“触发日期”创建,之后恶意软件引爆和加密用户主文件夹以及任何连接的卷(如外部硬盘驱动器)上的文件。正如在加密之前3天延迟的KeRanger发生的那样,这种延迟可能意味着很少有使用安全软件的人将受到影响,因为在加密任何东西之前可能会检测到恶意软件。

此外,加密使用对称密钥 - 这意味着相同的密钥被用于加密和解密 - 长度只有8个字节,使得它相当薄弱且相对容易解密。然而,密钥创建过程涉及一个随机数,并且所得到的密钥显然不会保存到硬盘驱动器或以任何方式传回给作者,这使得除了通过暴力不能解密文件是不可能的。

加密后,恶意软件将显示一个弹出式警报,通知用户解密文件必须做些什么,即使用户点击“Destroy [sic] My Mac”按钮,也会继续重新出现。恶意软件不会将该信息的任何副本保存在硬盘驱动器上的文件中,这是大多数ransomware的典型代码。

MacSpy是相当简单的间谍软件,它将数据收集到临时文件中,并通过未加密的http定期将这些文件发送回Tor命令和控制(C&C)服务器。将会渗透以下数据:

  • 截图(每30秒拍摄一次)
  • 通过麦克风捕获的音频
  • 击键*
  • 剪贴板内容
  • iCloud照片
  • 浏览器数据

在键盘记录的情况下,恶意软件需要管理员密码,可以在电子邮件中提供请求恶意软件的副本。这要求攻击者提前知道目标Mac的密码。

如果攻击者支付恶意软件,他们将获得额外的功能,例如更一般的文件过滤,访问社交媒体,帮助将可执行文件打包成木马表单(如伪影像文件)和代码签名。

分析回避

虽然这些程序都不是特别复杂的,但它们都包括一些合理有效的分析回避功能。这两种方法都包括三种确定是否由研究人员进行分析的方法,在这种情况下,它们关闭并且不显示其恶意行为。

首先,他们将检查它们是否由调试器运行,使用调用ptrace。

他们还将从shell命令sysctl hw.model中解析“Mac”一词的输出,如果没有找到,则会终止。在虚拟机中,此命令不会返回硬件的型号标识符,而是返回特定于正在使用的虚拟化软件的值。因此,如果输出不包含“Mac”,则最有可能在虚拟机中运行,最有可能的原因是它正在由安全研究人员进行分析。

执行的另一个虚拟机检查是检查逻辑和物理CPU的数量。由于在虚拟机中模拟了CPU的数量,这是恶意软件正在分析的另一个相当可靠的指标。

如果任何这些检查失败,恶意软件将终止。

幸运的是,由于恶意软件未签名,可能会将可执行文件破解,以绕过这些反分析检查,然后在虚拟机中进行分析。

关于作者

恶意软件的网站包括“关于我们”部分,作者提供了有关其动机的一些信息:

我们是雅虎和Facebook的工程师。在我们作为安全研究人员的年代,我们发现Mac用户缺乏复杂的恶意软件。随着苹果产品近年来的普及,根据我们的调查数据,越来越多的人转而使用MacOS。我们相信人们在MacOS上需要这样的程序,所以我们免费提供这些工具。与黑社会大多数黑客不同,我们是具有丰富软件开发经验和对监控感兴趣的专业开发人员。您可以依靠我们的软件,因为全球数十亿用户依赖我们的clearnet产品。

我怀疑很多这可能不准确。我很怀疑他们真的会放弃有关他们以前的雇主的资料,这将提供一个可以用来帮助他们追踪的线索,并可以作为审判中的证据。此外,作为安全专业人员,我们相当可笑的是,最好的安全研究人员可以为持久性而做的是发射代理。

另外,在ransomware应用程序中缺少解密文件的方式是非常业余的。这意味着曾经存在的2/3的Mac ransomware没有办法解密文件,所以支付的用户将不会收到他们的数据。希望这将使未来Mac ransomware的受害者不愿意付款,这反过来又会使未来发展恶意软件无利可图。

所有这些因素都意味着这些黑客无疑没有他们声称拥有的资格,实际上是具有犯罪倾向的业余开发商。

消毒

以下任何项目的存在是感染的指标:

〜/资源库/ LaunchAgents / com.apple.webkit.plist
〜/资源库/ LaunchAgents / com.apple.finder.plist
〜/资源库/ .DS_Stores /
〜/库/ .FS_Store

Mac的恶意字符串将会检测到这些为OSX.MacSpy和OSX.MacRansom。

如果您被MacSpy感染,删除它后,您应该确保更改所有的密码,因为它们可能已经被键盘记录,屏幕截图和/或剪贴板渗透所影响。如果您的工作计算机已被盗用,请联系您的IT部门以提醒他们注意该问题;否则,您的帐户或泄漏的其他信息可能会在访问您公司的服务器的情况下给予犯罪。

如果您有MacRansom感染并且没有将您的数据加密,请考虑自己很幸运。如果您还没有定期启动备份计算机,并且始终不要让备用驱动器连接在一起。

如果您确实有使用ransomware加密的数据,则可能由密码学专家进行解密。虽然我们目前没有关于解密这些文件的信息,但如果识别出这样做的方法,我们将来会更新此文章。


为您推荐了相关的技术文章:

  1. unserialize() 实战之 vBulletin 5.x.x 远程代码执行
  2. Kaggle初探--房价预测案例之数据分析
  3. 一篇文章走进Mac逆向的世界
  4. S2-017重现过程
  5. 通过Netflow进行攻击AS溯源

原文链接: blog.malwarebytes.com