信息來源:FreeBuf
最近,安全研究人員發(fā)現(xiàn)朝鮮黑客團伙在利用Mac惡意軟件加強其攻擊活動�����,該惡意軟件使用內(nèi)存中執(zhí)行來保持隱身��。
內(nèi)存中執(zhí)行(也稱為無文件感染)�,不是向計算機硬盤驅(qū)動器寫入任何內(nèi)容�����,相反���,它是將惡意代碼直接加載到內(nèi)存中執(zhí)行�����。因為沒有文件可分析或標記可疑�����,使得該技術(shù)成為逃避防病毒檢測的有效方法�。
在過去,無文件感染曾是政府背景黑客的專用手段�����,但到了2017年�,出于經(jīng)濟動機的黑客采用了這種技術(shù),此后��,這種手段越來越普遍��。
UnionCryptoTrader.dmg
無文件感染并非完全沒有文件。只不過它們在大部分時間里會通過進駐內(nèi)存來保持隱身����。比如在上周首次曝光的一個名為UnionCryptoTrader.dmg的加密貨幣應(yīng)用程序,57款殺毒產(chǎn)品中只有兩款檢測出其可疑���。到了周五���,根據(jù)VirusTotal的數(shù)據(jù),檢測結(jié)果略有改善���,但57種產(chǎn)品中也只有17款產(chǎn)品對其做了標記。
根據(jù)企業(yè)Mac軟件提供商Jamf的Mac安全專家Patrick Wardle 的分析��,該惡意軟件具有一個“后安裝”腳本�,一旦啟動,會執(zhí)行以下操作:
1�、將隱藏的plist(.vip.unioncrypto.plist)從應(yīng)用程序的Resources目錄移至/ Library / LaunchDaemons
2����、將其設(shè)置為由根擁有
3、創(chuàng)建一個/ Library / UnionCrypto目錄
4��、將隱藏的二進制文件(.unioncryptoupdater)從應(yīng)用程序的Resources目錄移至/ Library / UnionCrypto /
5��、執(zhí)行此二進制文件(/ Library / UnionCrypto / unioncryptoupdater)
這個UnionCryptoTrader.dmg�����,以根身份運行并具有“持久性”��,這意味著它在重新啟動后仍然可以持續(xù)運行�。
Wardle表示,安裝啟動守護程序(其plist和二進制文件隱藏在應(yīng)用程序的資源目錄中)是朝鮮黑客組織Lazarus常用的技術(shù)���。此外����,朝鮮黑客組織活動的另一個特征是對加密貨幣的興趣���。比如美國財政部在9月份的報道�,指出行業(yè)組織已經(jīng)發(fā)現(xiàn)證據(jù)表明���,朝鮮黑客從交易所那里竊取了價值數(shù)億美元的加密貨幣��,試圖為該國的核武器開發(fā)計劃提供資金��。
這些都佐證了該惡意軟件與Lazarus的關(guān)聯(lián)�。
內(nèi)存感染開始
在感染鏈上,無文件執(zhí)行開始����。受感染的Mac開始聯(lián)系位于hxxps://unioncrypto[.]vip/update的服務(wù)器,以檢查第二階段的負載�。如果有可用的惡意軟件,則該惡意軟件將其下載并解密��,然后使用macOS編程界面創(chuàng)建所謂的目標文件映像��。該映像允許惡意有效載荷在內(nèi)存中運行�,而無需接觸被感染Mac的硬盤��。
Wardle寫道:“由于內(nèi)存中過程映像的布局與磁盤上映像的布局不同���,因此無法簡單地將文件復(fù)制到內(nèi)存中并直接執(zhí)行它��,相反��,必須調(diào)用諸如NSCreateObjectFileImageFromMemory和NSLinkModule之類的API(它們負責(zé)準備內(nèi)存中的映射和鏈接)���?���!?
由于無法獲得第二階段有效載荷的副本���,因此尚不清楚它的作用���。考慮到文件和域名中的加密貨幣主題���,以及朝鮮黑客對數(shù)字貨幣的關(guān)注��,后續(xù)感染可以在訪問錢包或類似資產(chǎn)上�����。
上周�����,位于hxxps:// unioncrypto [.] vip /的控制服務(wù)器仍處于聯(lián)機狀態(tài),但響應(yīng)為0���,這表明受感染的計算機沒有可用的其他有效負載����。
盡管無文件感染進一步表明Lazarus越來越擅長于開發(fā)隱形惡意軟件���,但Wardle稱其為最近發(fā)現(xiàn)的惡意軟件����,AppleJeus.c仍警告用戶檢測����,這都是因為它不是由Apple信任的開發(fā)人員簽名的,該漏洞導(dǎo)致macOS在右側(cè)顯示一個警告��。與安裝應(yīng)用程序時一樣����,macOS也要求用戶輸入其Mac密碼�����,不過這也確實阻止了第一階段通過偷渡或其他秘密方法進行安裝�����。
最后���,這種惡意軟件不太可能針對加密貨幣交易所以外的任何人�����。但如果想要檢測�����,可以查找:
(1)/Library/LaunchDaemons/vip.unioncrypto.plist
(2)正在運行的進程或二進制文件/ Library / UnionCrypto / unioncryptoupdater的存在����。
