【技术分享】了解macOS上的恶意木马--OSX/Dok

2017-07-07 10:43:14来源:http://bobao.360.cn/learning/detail/4071.html作者:360安全播报人点击


2017-07-06 15:56:42
阅读:174次
来源: 安全客



作者:360NirvanTeam


近期,由 CheckPoint 发现了一款针对 macOS 的 恶 意木 马 --OSX/Dok , 该恶 意木 马 主要通 过诱 使受害者下 载 后 强 制性要求 “ 系 统 升 级 ” ,从而 骗 取你的管理 员 口令,再通 过 一些手段 监 控受害者的 http/https 流量,窃取到有价 值 的数据。


0x0 感染方式


该木马主要活跃于欧洲,打着税务局账单的旗号发送钓鱼邮件,诱使中招者下载一个名为 “Dokument” 的 软 件, 这 个 软 件 还伪 造成了 “ 预览 ” 的 样 子,但是当你打开它后,会 显 示一个提示框提示文件可能 损 坏不能打开,但是你以 为这 就完了??恰好相反,当你点 击 “OK” 的 时 候,恰好中招 ~




0x1 OSX/Dok


OSX/Dok的主要功能比较明确:


1. 强制性“更新”,要求输入管理员密码


2. 下载berw,tor,socket等工具


3. 使用下载的这些工具,重定向中招者的http/https流量进行监控


0x2 详细分析


我 们 先本地看看目 标 binary 的一些 签 名信息



看得出来 这签 名 还 是有些正 规 的 ~~~ 不 过 Apple 已 经 把 这 个 给 撤 销 了 在运行程序之前, 恶 意程序会被复制到 `/Users/Share` 中



当这个恶意程序运行时,会弹出警告框,点击OK之后,等到5s之后就会开始运行,并删除应用程序,然后会出现一个覆盖全屏幕的窗口,提示要更新系统




然后弹出一个弹框要求输入密码,等等,你没看错,它的binary名称就叫做“AppStore”,而正常的应该是“App Store”




而 恶 意程序 还 把自己添加在了 ` 系 统 偏好 设 置 -> 用 户 与群 组 -> 登 录项 ` 中,以便于当没安装完成就关机,重启后 继续 安装



但是等程序安装完成后,登录项中的“AppStore”就会被删掉




在“更新”的过程中,会弹出几次要求你输入管理员密码,猜想应该是在安装一些命令行工具或者进行一些系统操作时需要管理员身份,但之后为什么不需要了呢?



我们在`/etc/sudoers`文件中可以看到最底下多了一条`ALL=(ALL) NOPASSWD: ALL`命令,这条命令主要作用就是在之后的操作中免输入密码



我们来看看,这些就是攻击者通过brew下载的一些工具




然后恶意程序会偷偷更改用户的的网络配置



其中的`paoyu7gub72lykuk.onion`一看就是暗网的网址,tor就是暗网搜索引擎


以上命令大概说的就是通过TCP ipv4协议,本地监听5555端口,来自这个端口的请求通过本地的9050端口转到目标`paoyu7gub72lykuk.onion`的80端口(第二个同样的说法)


打开`系统设置->网络->高级`,可以看到自动代理已经被偷偷改了



攻击者还在用户的Mac中安装了一个证书,用于对用户进行MiTM,拦截用户流量



0x3 总结


据 统计 , 恶 意木 马 占所有 恶 意 软 件的 75% ,他 们 大多数都很 隐 蔽,有 时 甚至几个月都一声不吭, 这 次 这 个也算比 较 特殊,其 实 明眼人看到 这 个更新基本上就知道出 问题 了,但是不排除有很多 对 Mac 不熟悉的人,他 们 以 为 是正常的更新,然后勒索 软 件运行完之后又会被 删 除,不容易 发现 ,所以就会中招。 防患于未然,平 时 收到陌生 邮 件的 时 候,如果有附件或者 链 接,最好不要打开,把 这 种事情扼 杀 在 摇篮 中最好不 过 了,也免去了不少不必要的麻 烦 。


0x4 参考


http://blog.checkpoint.com/2017/04/27/osx-malware-catching-wants-read-https-traffic/



本文由 安全客 原创发布,如需转载请注明来源及本文地址。


本文地址:http://bobao.360.cn/learning/detail/4071.html


最新文章

123

最新摄影

闪念基因

微信扫一扫

第七城市微信公众平台