盘点2016年针对苹果Mac系统的恶意软件。由于样式和传播途径多样,Windows系统下的恶意软件通常比较常见。当然,在2016年,Mac系统下的一些新型恶意软件也慢慢开始流行起来,大量苹果电脑系统面临安全威胁。在此,我就2016年出现的Mac系统恶意软件作一些盘点分析,并对每个恶意软件的功能特点、感染方式、驻留机制及清除方法作出描述说明。如果你想亲自动手分析研究,在安全风险自负的情况下,请点此下载我们为你提供的样本文件。
KeRanger 2016.3 野生网络中出现的,第一个针对OS X的全功能恶意勒索软件;
Eleanor 2016.7 基于PHP的后门程序,使用Tor隐藏服务端进行远程控制通信;
Keydnap 2016.7 具备窃取OS X系统用户凭据的标准后门程序,使用Tor隐藏服务端进行远程控制通信;
Fake File Opener 2016.8 具有独特驻留机制的一个相当烦人的广告类恶意软件;
Mokes 2016.9 针对OS X系统的一个非常标准非常完美的后门程序;
Komplex 2016.9 伪装成俄罗斯航天计划,可能由俄罗斯黑客团队 Sofacy Group 或 Fancy Bear 开发,主要针对航天领域用户的一款木马程序。
KeRanger
OSX/KeRanger是第一个针对OS X的全功能恶意勒索软件,由Palo Alto Networks发现。
感染方式
该恶意软件出于各种原因,非常特别。首先是感染方式特别,为了实现隐秘感染Mac用户,OSX/KeRanger作者先是黑了OS X系统流行BitTorrent客户端Transmission官方网站https://transmissionbt.com/,之后,利用入侵权限,把提供下载的Transmission官方程序替换成包含恶意程序OSX/KeRanger的假冒程序。
该假冒程序安装包在Transmission.app/Contents/Resources目录下带有一个名为General.rtf的文件,它看似像正常的RTF文件,实际上却是一个带有UPX 3.91的Mach-O格式可执行文件。
当用户点击受感染的Transmission程序之后,将会调用执行General.rtf文件,恶意程序主要执行体为:
另外,OSX/KeRanger作者还为其注册了一个有效的Mac开发应用证书,因此可以绕过苹果的GateKeeper 防护:
驻留机制
据目前的样本观察来看,OSX/KeRanger不包含任何逻辑性驻留感染代码,只要把恶意程序主体文件kernel_service和其相关进程清除之后,就可以完全避免进一步感染。
感染特征
用户电脑被感染后,KeRanger会通过Tor匿名网络与远程C&2服务器连接,之后开始对系统上某些特定文档和数据进行加密,KeRanger就会要求受害者向一指定的地址支付一个比特币,以赎回文件。以下是对其勒索代码的逆向分析:
以上代码显示,KeRanger将会加密 /Users/目录和/Volumes/根目录下所有文件,而据PaloAlto分析,这些被加密的文件包括300多种格式类型,如.docs, .jpgs, .zips, .cpp等。在每个加密目录下,KeRanger会创建一个readme_for_decrypt.txt文档,其中包含用户如何支付比特币的方法:
也有分析人员认为KeRanger是勒索软件linux.encoder的变种,这也从另外一个方面说明现代某些恶意软件的移植相对灵活。
清除方式
停止kernel_service进程
删除 ~/Library/kernel_*目录和相关文件
升级Transmission至2.93版本
目前来说,苹果方面已经吊销了KeRanger的注册证书(ID Z7276PX673)并更新了XProtect特征库,暂时能对Mac用户形成安全防护。
Keydnap
OSX/Keydnap是具备窃取OS X系统用户凭据的标准后门程序,使用Tor隐藏服务端进行远程控制通信,由ESET发现。
感染方式
OSX/Keydnap首先被Eset发现,Eset声称,不清楚OSX/Keydnap以何种方式感染了受害者系统,但很有可能是通过垃圾邮件附件或非受信网站下载等途径。
据分析,Keydnap属下载者类型木马(downloader),由.zip压缩文件方式存在于受害者系统中,.zip压缩文件中包含有可执行的 Mach-O 文件,这些文件看似是.txt或.jpg文件,但其实在这些文件后缀名后被加了个空格隐藏在末尾,这就是木马程序的伪装手段。由于Mac OS 默认这种文件为终端执行文件,这意味着在双击打开图片或文档的同时,恶意程序的payload同时也在终端环境下被运行。
在传播后期,攻击者同样通过入侵Transmission官网,利用OSX/KeRanger感染方式,把合法的Transmission程序替换成了Keydnap恶意程序。这一次,假冒Transmission程序包包含了恶意程序主体执行文件License.rtf,并注册了另一个开发者应用证书: Shaderkin Igor (836QJ8VMCQ)
驻留机制
为了实现长期系统驻留,Keydnap创建了两个系统项:com.apple.iCloud.sync.daemon、com.geticloud.icloud.photo
com.apple.iCloud.sync.daemon负责让系统执行恶意程序的二进制进程icloudsyncd,com.geticloud.icloud.photo负责恶意程序与远程C&2服务器的Tor隐藏服务通信进程icloudproc,而icloudproc则是Tor2Web代理程序的一个复本。
黑客技术官网地址:http://www.hackdig.com/
乌克兰电站两次扑街,专家详解攻击凶器。有一种痛只有乌克兰才懂。
2015年12月23日,乌克兰首都基辅部分地区和乌克兰西部的 140 万名居民突然遭遇了一次大停电,这次停电的罪魁祸首是黑客。
没想到,时隔一年,今年12月17日,乌克兰的国家电力部门又遭遇了一次黑客袭击,这次停电了 30 分钟。
据外媒CBS报道,黑客向电力公司的员工发送了一封带附件的邮件,将登录证书偷到手后,又夺取了电站系统的控制权,切断了近 60 个变电站的断路器。
为了处理停电问题,发电站的工程师必须将发电站的设备切换到手动模式。相关技术人员花了 30 分钟左右的时间让发电设备的功率恢复正常,彻底解决所有问题则用了 75 分钟。
元凶是 BlackEnergy 的马甲
雷锋网曾对此次断电事件进行过报道,并发现同款恶意软件已经流入美国,引起了美国主流媒体的恐慌。
在2015年对乌克兰电站的攻击中,黑客利用欺骗手段让电力公司员工下载了一款恶意软件“ BlackEnergy ”。1月10日,绿盟科技安全团队告诉雷锋网,通过对2016年乌克兰电站第二次被黑的恶意代码进行分析,发现本次事件的攻击者是 Telebots 组织,该组织与 BlackEnergy 组织有关,而电脑安全软件公司的博客文章提到,攻击乌克兰电网并致其停运的 BlackEnergy 组织现如今似已更名TeleBots,目前该黑客组织已经将目标转移到了乌克兰银行。
也就是, Telebots 组织和 BlackEnergy 组织“换汤不换药”。 几乎被同一元凶黑完一次又一次,这种乌克兰的忧伤你可懂?
一气呵成地入侵
虽然,绿盟科技的专家 W 在接受雷锋网的采访时称,Telebots 组织攻击乌克兰电站的目的暂时并不明确,但攻击手法却被摸得一清二楚,同时尚未在我国发现同款恶意软件。
电力系统是由发电、输电、变电、配电和用电连接成的统一整体,在整个电力系统中,几乎每个环节都依赖计算机技术的支撑,比如各级电网调度控制中心的计算机系统、变电站的计算机监控系统等。
国内变电站是完全隔离的局域网,不与公网连接,将变电站内的区域通过防火墙分隔成了安全I区和安全II区,即实时生产控制区,可以直接控制电力一次设备的运行,非实时控制区,如电能量计量系统,故障录波管理系统等;而国外的变电站可以通过办公区以 VPN 等形式接入变电站的内部网络。
这意味着,国外变电站的内部网络可以通过办公区域入侵,虽然,W 告诉雷锋网,并不清楚 2016 年12月下旬乌克兰电站被黑最初是通过哪一级员工的电脑,但是作案凶器已经找到,并分析了入侵路径。
【作案凶器——恶意软件详细样本】
【入侵路径】
W告诉雷锋网 (公众号:雷锋网) ,与一般 APT 攻击类似的是,攻击者先通过给电站员工发送带有恶意附件的的邮件,员工下载后,释放了相关文件,从电站网络的服务器下载了后门文件。
狡诈的是,这个被下载了的xls文件通过运行文档中的宏代码,将可执行文件释放到临时目录“C:UserxxxAppDataLocalTemp”,并命名为“explorer.exe”, 假装自己是一个无害文件来隐藏自身。
实际上,这个文件是一个下载器,可以从电站网络从服务器下载文件并执行。同时,值得注意的是, 这个域名是一个允许任何人下载和上传文件的托管网站 ——也要怪电站安全做得不好,把大门敞开面向了黑客!
上述步骤创建了一个 lsass.exe 文件,这个文件就是用来接收服务器的指令,执行不同的功能。 此刻,攻击者进“门”后只有一个目标,获取管理员权限,控制电站系统。
于是,随后如上图所示,恶意软件进行了一系列操作,部署额外后门防止被网络发现,收集浏览器和网络数据中的关键账号和密码信息……,并不断将窃取到的信息发送到自己的邮箱。
在一步步提升自己的权限后,KillDisk 组件具备了关机和修改系统目录文件的权限,最后成功地清除系统扇区,删除重要的系统文件,对特定类型的文件内容进行覆盖,结束系统进程,致使系统崩溃,无法修复。
绿盟科技研究团队指出,通过代码跟踪分析,发现了最后关键一步的 KillDisk 组件的一个变种,可以运行在多种平台上。
这意味着,攻击者利用该变种文件不仅可以攻击 Windows 上位机控制的 SCADA/ICS 系统,也可以攻击Linux上位机控制的SCADA/ICS系统。 目前该变种文件已经被作为 Linux 系统的勒索软件,勒索赎金为222个比特币,折合人民币1729875元(现在比特币涨价了,可能会更多吧!)。
绿盟科技研究团队还分析出,发现该恶意软件样本会连接两个 IP 地址:荷兰和俄罗斯。这意味着俄罗斯黑客的罪名要坐实了?
攻击者的攻击路径会被反推获取攻击者的信息吗?W认为,攻击者一般都是通过暗网,经过了跳转,当然,如果追踪技术高超,是可以找到最终的幕后黑手的。
这意味着,实际 IP 是否真的是这两个,就要看你相不相信俄罗斯了。
黑客技术官网地址:http://www.hackdig.com/
没有评论:
发表评论