歡迎來到 黑吧安全網 聚焦網絡安全前沿資訊,精華內容,交流技術心得!

利用Firefox 0day傳播的macOS惡意軟件(Part 1)

來源:本站整理 作者:佚名 時間:2019-06-28 TAG: 我要投稿

大概在一星期之前,我收到了某個用戶發出的一封郵件:
上周三,攻擊者通過尚未公開的一個Firefox 0day攻擊了我,不知道用什么方法將一個程序釋放到我的mac主機上(10.14.5)然后執行。
我覺得你可能對這個文件比較感興趣,這可能是繞過gatekeeper的一種有趣方法,值得研究一下。
我當然很感興趣,但當時我正在寫另一篇文章(大家可以點擊此處閱讀該文章),有點騰不出手來。
現在塵埃落定,我想借此機會深入研究這次攻擊行為,分析其中涉及到的持久化惡意軟件。
 
0x01 Firefox 0day
用戶聯系我時,我還沒有太多掌握此次攻擊中使用的Firefox 0day,然而現在我已經拿到了足夠多信息。
一開始用戶提供的郵件內容如下(翻譯版):
XXX:
您好,我叫Neil Morris,是亞當斯獎(Adams Prize)組委會的一名成員。
每年我們都會更新獨立專家團隊成員,這些專家需要評審參選項目(http://people.ds.cam.ac.uk/nm603/awards/Adams_Prize)的質量。
我的同事推薦您加入這一領域的專家團隊中。
我們需要您參評競爭亞當斯獎的幾個項目。
期待您的回復。
祝好,
Neil Morris
這里提一下,即便攻擊者擁有瀏覽器0day利用技術,他們仍需要找到方法將攻擊payload投遞給目標用戶。
選定目標后,攻擊者通常會選擇電子郵件作為投遞方式,郵件中包含指向惡意網站的鏈接(當用戶訪問該網站時可以投遞漏洞利用payload)。
不幸的是,當時該鏈接(people.ds.cam.ac.uk/nm603/awards/Adams_Prize)已失效,返回404 Not Found錯誤:
$ curl http://people.ds.cam.ac.uk/nm603/awards/Adams_Prize
"-//IETF//DTD HTML 2.0//EN">
404 Not Found
Not Found
The requested URL /nm603/awards/Adams_Prize was not found on this server.
Apache/2.4.7 (Ubuntu) Server at people.ds.cam.ac.uk Port 80
當然有可能該站點只為該攻擊活動提供服務,只有當用戶通過存在漏洞的Firefox瀏覽器、或者通過特定IP地址等來訪問時,才會觸發攻擊過程。也有可能攻擊過程已經結束,攻擊者關閉了該站點。
雖然我無法獲得利用代碼,但用戶依然向我提供了攻擊過程中安裝在他系統中的惡意軟件(名為Finder.app)。
本文將對這款惡意軟件進行詳細分析(哈希:23017a55b3d25a2597b7148214fd8fb2372591a5)。
$ shasum -a 1 ~/Attack/Finder.app/Contents/MacOS/Finder
23017a55b3d25a2597b7148214fd8fb2372591a5  Finder
有趣的是,來自Coinbase的一名安全研究者(Philip Martin)在今天發表了一則比較有趣的推文:

Phil提供的哈希值(23017a55b3d25a2597b7148214fd8fb2372591a5)剛好與用戶發給我的惡意文件相匹配。此外用戶還提到一個信息,最近他“參與了加密貨幣交易事宜”。綜合這些信息,很有可能我和Phil討論的都是同一個Firefox 0day。
這個0day現在對應的編號為CVE-2019-11707,已經被修復,其他文章中也提到了這個漏洞:
“Mozilla patches Firefox zero-day abused in the wild”
“Mozilla Patches Firefox Critical Flaw Under Active Attack“
然而,關于攻擊中使用的后門惡意軟件資料較少(或者沒有),因此我們可以深入分析一下。
 
0x02 Mac后門分析(OSX.NetWire.A)
前面提到過,受害者向我提供了攻擊者(通過Firefox 0day)安裝在系統上的惡意后門(Finder.app)。

在VirusTotal上搜索對應的哈希后(23017A55B3D25A2597B7148214FD8FB2372591A5),我找到了一個匹配結果,顯示這個文件已于2019-06-06提交,但目前只有一個反病毒引擎能夠檢測到:

備注:完整的應用程序包Finder.app今天才被提交到VirusTotal上,同樣只有一個AV引擎能夠檢測。
有趣的是,這個反病毒引擎將其標記為OSX.Netwire。
OSX.Netwire(或者OSX.Wirenet)最早于2012年被Dr Web發現。在這篇研究文章中,Dr Web表示這是“歷史上第一款能夠竊取Linux及MacOS X密碼的后門”。
惡意軟件通過鍵盤記錄器以及/或者直接通過磁盤上的文件(比如已保存的瀏覽器登錄信息)來竊取密碼:
$ strings malware/2012/OSX.Netwire
%s/Library/Opera/wand.dat
%s/.Library/Opera/wand.dat
SeaMonkey
Thunderbird
%s/Library/Application Support/Firefox
%s/signons.sqlite
NSS_Init
PK11_GetInternalKeySlot
PK11_Authenticate
NSSBase64_DecodeBuffer
select *  from moz_logins
但這是2012年時的OSX.Netwire,現在這款惡意軟件是否還是OSX.Netwire?我個人從2012年后再也沒聽到過關于OSX.Netwire的任何信息,因此決定研究一下。
首先,我們可以通過簡單的字符串匹配方法,確認2012年的樣本與2019年的樣本有所關聯。
比如,2012年樣本中包含\x03\x04\x15\x1A\r\nexit\r\n\r\nexit\n\n字符串:
esi = "/bin/sh";
if(access(esi) != 0x0) {
   esi = "/bin/bash";
}
...
eax = write$UNIX2003(*0x140d0, "x03x04x15x1Arnexitrnrnexitnn", 0x15);
同樣,2019年樣本中也包含該特征:
if(stat("/bin/sh", edi) != 0x0) {
   ebp = "/bin/bash";
}
...
write$UNIX2003(ebx, "x03x04x15x1Arnexitrnrnexitnn", 0x15)
此外還有一些特殊的字符串也能在兩個樣本中找到。

[1] [2] [3]  下一頁

【聲明】:黑吧安全網(http://www.zjtpzs.live)登載此文出于傳遞更多信息之目的,并不代表本站贊同其觀點和對其真實性負責,僅適于網絡安全技術愛好者學習研究使用,學習中請遵循國家相關法律法規。如有問題請聯系我們,聯系郵箱[email protected],我們會在最短的時間內進行處理。
  • 最新更新
    • 相關閱讀
      • 本類熱門
        • 最近下載
        神秘东方电子游艺 酒吧男跑夜场赚钱吗 500只鸡赚钱吗 股票推荐公众号 跳舞赚钱好吗 小米微信赚钱软件下载 现在农村卖什么植物最赚钱 孟州v血拼怎么赚钱 苹果肌可以赚钱的app 网购写评论赚钱是真的吗 翻译英语赚钱软件下载 股票分析师一个月多少钱 推广软件能赚钱的平台 怎么网上写题赚钱 供楼转手赚钱吗 真的有躺着赚钱 天涯明月刀升级赚钱