原标题:macOS 恶意软件分析过程
本文轉自公众号:信安之路
Hacker 取得了我们系统软件怎么卸载权限后通常会做那些事情植入 shell、恶意软件、留持久化的后门。在当下的 APT 事件中远控木马扮演着一个重要的角色,这些木马通常具备着如下功能:远程桌面、键盘记录器、下载和运行程序、文件和注册表等的各种操作通过远控木马上线记录 Hacker 甚至能知道你什么时间段在做什么事情,听起来是有那么一点不可思议但事实就是如此。
在诸多远控木马中针對 macOS 的 RAT 还是比较少见,今天看到了卡巴斯基实验室的一篇关于 Calisto 恶意软件(远程访问木马 RAT)分析的研究性文章学习了下分析思路并将其进行叻翻译,作者英语水平及理解能力有限如有不适之处,请斧正:)
来自卡巴斯基实验室的恶意软件研究人员发现了一种名为 Calisto 的恶意软件它似乎是 Proton macOS 恶意软件的前身。
该恶意软件早在 2016 年就被上传到 VirusTotal很可能是在创建它的同一年。但是整整两年直到 2018 年 5 月,Calisto 仍然不受反病毒解決方案的影响最近才发现 VT 的第一次检测。
卡巴斯基没有关于威胁传播方式的信息他们立即注意到 Calisto 实施的一些功能仍处于开发阶段。
Calisto 传播及感染模块分析传播
Calisto 安装文件是一个以 Intego 的 Mac 安全解决方案为幌子的未签名的 DMG 图像有趣的是,Calisto 的作者选择该程序的第九版作为封面
为了便于说明,我们将恶意软件文件与从官方网站下载的 Mac Internet Security X9 版本进行比较
它看起来相当有诱惑力。如果他之前没有使用过该应用程序 用户不太鈳能注意到差异
一旦启动,该应用程序就会向我们提供虚假许可协议
该文本与 Intego 的文本略有不同
也许网络犯罪分子从早期版本的产品中獲取了它。
接下来“防病毒”会询问用户的登录名和密码,这种安装保证了在 macOS 上对系统软件怎么卸载进行更改的程序时完全正常
在收箌凭据后,程序会在报告发生错误之前稍微挂起并建议用户从防病毒开发人员的官方站点下载新的安装包。
该程序的正式版本安装可能沒有问题很快就会忘记错误。同时Calisto 将平静地继续运行。
基于 SIP 的木马分析
Calisto 在启用 SIP(系统软件怎么卸载完整性保护)的计算机上的活动相當有限Apple 于 2015 年宣布推出 OSX El Capitan,SIP 旨在保护关键系统软件怎么卸载文件不被修改 - 即使具有 root 权限的用户也是如此 Calisto 是在 2016 年或更早开发的,似乎它的创慥者根本没有考虑到当时的新技术 但是,许多用户仍因各种原因禁用SIP; 我们明确建议不要这样做
可以使用其子进程日志和反编译代码来調查 Calisto 的活动,木马在其运行期间执行的命令记录如下:
Calisto 样本中的硬编码命令
我们可以看到该木马使用名为 .calisto 的隐藏目录来存储
接下来如果啟用了 SIP,则当木马尝试修改系统软件怎么卸载文件时会发生错误 这违反了木马的操作逻辑,导致它停止
SIP 禁用状态下分析
使用 SIP 禁用观察 Calisto 哽有趣。 首先Calisto 执行上一章中的步骤,但由于木马不会被 SIP 中断因此它会:
- 将自身设置为在启动时自动启动
- 卸载并卸载其 DMG 映像
- 收集有关系統软件怎么卸载的其他信息
- 将收集的数据转发到 C&C 服务器
让我们仔细看看恶意软件的实现机制。将自己添加到启动是 macOS 的一种经典技术可鉯通过在/Library/LaunchAgents/folder中创建一个带有恶意软件链接的.plist文件来完成:
通过以下命令卸载 DMG 映像:
合天公众号开启原创投稿啦!!!
大家有好的技术原创文嶂。
点击了解投稿详情重金悬赏 | 合天原创投稿等你来!
