歡迎來到 黑吧安全網 聚焦網絡安全前沿資訊,精華內容,交流技術心得!

利用Firefox 0day傳播的macOS惡意軟件(Part 3)

來源:本站整理 作者:佚名 時間:2019-07-03 TAG: 我要投稿


 
0x00 前言
大家可以從此處下載本文分析的惡意樣本(密碼:infect3d),注意別感染自己的系統。
最近有攻擊者利用Firefox 0day針對加密貨幣交易所的員工發起攻擊,在前面兩篇文章中(Part 1及Part 2),我們討論了攻擊過程,分析了攻擊者利用漏洞植入的Mac惡意軟件(OSX.Netwire.A),我們還詳細分析了惡意軟件的駐留機制,完全逆向分析了惡意樣本,澄清該樣本可以接受攻擊者遠程發出的指令。
來自Coinbase的安全研究員Philip Martin最近又提到了此次攻擊中使用的第二款Mac惡意軟件樣本:

最開始時VirusTotal上的所有反病毒(AV)引擎都識別不了第二個樣本(sha1:b639bca429778d24bda4f4a40c1bbc64de46fa79):

因此,我決定仔細分析該樣本,與大家分享研究結果。
需要注意的是,(對于VirusTotal上的)AV引擎有可能只是全功能安全產品的一個(很小)子集。
因此,企業所部署的綜合類安全產品可能還包括基于行為檢測的引擎(未包含在VirusTotal上),通常情況下可能會檢測到這個新的威脅。
 
0x01 靜態分析
今天我們分析的樣本名為mac,最早于2019-06-20提交到VirusTotal上:
MD5: AF10AAD603FE227CA27077B83B26543B
SHA1: B639BCA429778D24BDA4F4A40C1BBC64DE46FA79
SHA256: 97200B2B005E60A1C6077EEA56FC4BB3E08196F14ED692B9422C96686FBFC3AD
雖然Vitali Kremez提到過該樣本可能與OSX.Mokes有關(回頭我們再來討論這一點),但目前反病毒社區還沒有正式命名該樣本。
讓我們開始分析這個樣本文件。
根據file工具的輸出結果,該惡意軟件是一個64位的mach-O程序,但體積有點大(13M):
$ file ~/Downloads/mac
~/Downloads/mac: Mach-O 64-bit executable x86_64
$ du -h ~/Downloads/mac
13M ~/Downloads/mac
通過我開發的WhatsYourSign開源工具,可知惡意軟件并沒有經過簽名:

從MachOView的輸出結果中,我們還知道惡意軟件鏈接了許多“有趣的”庫/框架:

如果想使用終端來分析,可以考慮使用macOS內置的otool工具(加上-L參數)來查看惡意軟件鏈接的庫/框架。
我們可以根據這些“有趣的”庫/框架,來一窺惡意軟件可能包含的功能:
IOKit.framework
AVFoundation.framework
CoreWLAN.framework
OpenGL.framework
CoreVideo.framework
接下來,我們可以使用內置的strings工具(加上-a參數)來提取其中內置的(ascii)字符串:
$ strings -a ~/Downloads/mac
storeaccountd
com.apple.spotlight
Spotlightd
Skype
soagent
Dropbox
quicklookd
Google
Chrome
accountd
Firefox
Profiles
trustd
User-Agent
Connection
Close
screenshots/
desktop_
jpeg
*.doc
*.docx
*.xls
*.xlsx
transport.museum
nishinomiya.hyogo.jp
is-into-cars.com
...
其中有很多字符串與靜態鏈接庫有關(如OpenSSL),這(很有可能)能解釋惡意軟件體積為什么會這么大。
前面提到過,strings工具有個限制,就是只能提取出ascii字符串。為了提取unicode(或者“寬”)字符串,我們可以使用如下python腳本:strings.py
1def unicode_strings(buf, n=4):
2    reg = b"((?:[%s]x00){%d,})" % (ASCII_BYTE, n)
3    uni_re = re.compile(reg)
4    for match in uni_re.finditer(buf):
5        try:
6            yield String(match.group().decode("utf-16"), match.start())
7        except UnicodeDecodeError:
8            pass
結果表明惡意軟件中包含一些有趣的unicode字符串:
$ python ~/Downloads/strings.py ~/Downloads/mac
0x8f0018: :/keys/bot
0x8f01a8: %1/Library/LaunchAgents/%2.plist
0x8f0210: powershell.exe
0x8f0248: dd*.ddt
0x8f0270: kk*.kkt
0x8f0298: aa*.aat
0x8f02c0: ss*.sst
0x8f02e8: application/octet-stream
0x8f0338: Content-Type
0x8f0378: JPEG
0x8f03c0: auto-file-search
0x8f0400: :/file-search
0x8f0478: search%1
0x8f0910: s://
0x8f0957: keys
0x8f0963: dbot
此外惡意軟件中還包含5000多個url,部分url列舉如下:
mizunami.gifu.jp saitama.jp kimino.wakayama.jp int.bo cambridge.museum andasuolo.no lardal.no transport.museum nishinomiya.hyogo.jp is-into-cars.com karlsoy.no bungoono.oita.jp int.ci chikujo.fukuoka.jp franziskaner.museum cc.nj.us genkai.saga.jp tysfjord.no ra.it air-traffic-control.aero ina.ibaraki.jp in-the-band.net ainan.ehime.jp oita.oita.jp national-library-scotland.uk …

[1] [2] [3]  下一頁

【聲明】:黑吧安全網(http://www.zjtpzs.live)登載此文出于傳遞更多信息之目的,并不代表本站贊同其觀點和對其真實性負責,僅適于網絡安全技術愛好者學習研究使用,學習中請遵循國家相關法律法規。如有問題請聯系我們,聯系郵箱[email protected],我們會在最短的時間內進行處理。
  • 最新更新
    • 相關閱讀
      • 本類熱門
        • 最近下載
        神秘东方电子游艺