安全動態(tài)

新發(fā)現(xiàn)的Mac惡意軟件使用“無文件”感染保持隱身狀態(tài)

來源:聚銘網(wǎng)絡    發(fā)布時間:2019-12-11    瀏覽次數(shù):
 

信息來源:FreeBuf

最近,安全研究人員發(fā)現(xiàn)朝鮮黑客團伙在利用Mac惡意軟件加強其攻擊活動,該惡意軟件使用內(nèi)存中執(zhí)行來保持隱身。

內(nèi)存中執(zhí)行(也稱為無文件感染),不是向計算機硬盤驅(qū)動器寫入任何內(nèi)容,相反,它是將惡意代碼直接加載到內(nèi)存中執(zhí)行。因為沒有文件可分析或標記可疑,使得該技術(shù)成為逃避防病毒檢測的有效方法。

在過去,無文件感染曾是政府背景黑客的專用手段,但到了2017年,出于經(jīng)濟動機的黑客采用了這種技術(shù),此后,這種手段越來越普遍。

UnionCryptoTrader.dmg

無文件感染并非完全沒有文件。只不過它們在大部分時間里會通過進駐內(nèi)存來保持隱身。比如在上周首次曝光的一個名為UnionCryptoTrader.dmg的加密貨幣應用程序,57款殺毒產(chǎn)品中只有兩款檢測出其可疑。到了周五,根據(jù)VirusTotal的數(shù)據(jù),檢測結(jié)果略有改善,但57種產(chǎn)品中也只有17款產(chǎn)品對其做了標記。

根據(jù)企業(yè)Mac軟件提供商Jamf的Mac安全專家Patrick Wardle 的分析,該惡意軟件具有一個“后安裝”腳本,一旦啟動,會執(zhí)行以下操作:

1、將隱藏的plist(.vip.unioncrypto.plist)從應用程序的Resources目錄移至/ Library / LaunchDaemons

2、將其設置為由根擁有

3、創(chuàng)建一個/ Library / UnionCrypto目錄

4、將隱藏的二進制文件(.unioncryptoupdater)從應用程序的Resources目錄移至/ Library / UnionCrypto /

5、執(zhí)行此二進制文件(/ Library / UnionCrypto / unioncryptoupdater)

這個UnionCryptoTrader.dmg,以根身份運行并具有“持久性”,這意味著它在重新啟動后仍然可以持續(xù)運行。

Wardle表示,安裝啟動守護程序(其plist和二進制文件隱藏在應用程序的資源目錄中)是朝鮮黑客組織Lazarus常用的技術(shù)。此外,朝鮮黑客組織活動的另一個特征是對加密貨幣的興趣。比如美國財政部在9月份的報道,指出行業(yè)組織已經(jīng)發(fā)現(xiàn)證據(jù)表明,朝鮮黑客從交易所那里竊取了價值數(shù)億美元的加密貨幣,試圖為該國的核武器開發(fā)計劃提供資金。

這些都佐證了該惡意軟件與Lazarus的關(guān)聯(lián)。

內(nèi)存感染開始

在感染鏈上,無文件執(zhí)行開始。受感染的Mac開始聯(lián)系位于hxxps://unioncrypto[.]vip/update的服務器,以檢查第二階段的負載。如果有可用的惡意軟件,則該惡意軟件將其下載并解密,然后使用macOS編程界面創(chuàng)建所謂的目標文件映像。該映像允許惡意有效載荷在內(nèi)存中運行,而無需接觸被感染Mac的硬盤。

Wardle寫道:“由于內(nèi)存中過程映像的布局與磁盤上映像的布局不同,因此無法簡單地將文件復制到內(nèi)存中并直接執(zhí)行它,相反,必須調(diào)用諸如NSCreateObjectFileImageFromMemory和NSLinkModule之類的API(它們負責準備內(nèi)存中的映射和鏈接)。”

由于無法獲得第二階段有效載荷的副本,因此尚不清楚它的作用??紤]到文件和域名中的加密貨幣主題,以及朝鮮黑客對數(shù)字貨幣的關(guān)注,后續(xù)感染可以在訪問錢包或類似資產(chǎn)上。

上周,位于hxxps:// unioncrypto [.] vip /的控制服務器仍處于聯(lián)機狀態(tài),但響應為0,這表明受感染的計算機沒有可用的其他有效負載。

盡管無文件感染進一步表明Lazarus越來越擅長于開發(fā)隱形惡意軟件,但Wardle稱其為最近發(fā)現(xiàn)的惡意軟件,AppleJeus.c仍警告用戶檢測,這都是因為它不是由Apple信任的開發(fā)人員簽名的,該漏洞導致macOS在右側(cè)顯示一個警告。與安裝應用程序時一樣,macOS也要求用戶輸入其Mac密碼,不過這也確實阻止了第一階段通過偷渡或其他秘密方法進行安裝。

最后,這種惡意軟件不太可能針對加密貨幣交易所以外的任何人。但如果想要檢測,可以查找:

(1)/Library/LaunchDaemons/vip.unioncrypto.plist

(2)正在運行的進程或二進制文件/ Library / UnionCrypto / unioncryptoupdater的存在。

 
 

上一篇:2019年12月10日 聚銘安全速遞

下一篇:Reddit:美英貿(mào)易文檔泄露背后的“影響力活動”