安全预警|苹果恶意软件OSX.Dummy 可绕过MacOS Gatekeeper 攻击者可任意控制目标系统

近期,MacOS上又传播一种新型的恶意软件,被称为OSX.Dummy。攻击者通过欺骗和引导用户下载和执行恶意二进制文件,如果文件被执行,并且恶意软件能够连接到对手的C2服务器(命令控制服务器),攻击者就可以控制目标系统。 使用MacOS恶意软件的黑客瞄准使用Slack和Discord聊天平台的加密货币投资者。被称为OSX.Dummy的恶意软件使用了一种不太复杂的感染方法,但是也有许多用户被感染,并在受害电脑上远程执行任意代码。

恶意软件OSX.Dummy简介

研究人员Remco Verhoef首先发现并描述了恶意软件,并向SANS InfoSec Handlers Diary Blog发布了他的发现。研究人员说,他上周观察到多次攻击。

通过假冒来自加密相关的Slack或Discord聊天组的管理员或关键人物。分享恶意代码,导致下载和执行恶意二进制文件

Wardle指出,这个二进制文件没有签名,并补充说,恶意软件能够避开macOS Gatekeeper安全软件。

“通常,这样的二进制文件将被网关阻止。但是,如果用户 通过终端命令直接 下载并运行二进制文件  ,网关不会发挥作用,因此无符号二进制文件将被允许执行,内置的macOS恶意软件缓解将不再起作用。”

被称为恶意软件OSX.Dummy,因为用于转储受害者密码的目录之一被称为“/ tmp / dumpdummy”。

恶意软件攻击原理分析

攻击者会诱使用户执行脚本,然后通过cURL下载重要的34Mb OSX.Dummy恶意软件。下载文件保存在macOS / tmp / script目录下,然后执行。

“该文件是一个大型的mach064二进制文件(34M),在VirusTotal上评分为0/60,”

该脚本欺骗受害者下载OSX.Dummy。

当执行恶意软件二进制文件时,macOS sudo命令(通过终端)将恶意软件的权限更改为root。“他要求用户在终端上输入他们的密码,”根据Apple的说法,“要在Mac上的终端中执行sudo命令,您必须使用具有密码的管理员帐户登录。” 成功安装以后,恶意软件会丢弃各种macOS目录中的代码,包括“/Library/LaunchDaemons/com.startup.plist”,它提供了OSX.Dummy持久性。

Wardle指出,如果攻击成功,并且恶意软件能够连接到对手的C2服务器,攻击者就可以控制目标系统。

最后 检测及防范方法

今天我们分析了一个新的mac恶意软件。我称之为OSX.Dummy为:

  • 感染方法很愚蠢
  • 二进制的巨大规模是愚蠢的
  • 持久性机制是蹩脚的(因此也是愚蠢的)
  • 能力相当有限(因而相当愚蠢)
  • 在每一步(愚蠢)检测都是微不足道的
  • ...最后,恶意软件将用户的密码保存到 dumpdummy

要检查您是否被感染,请以root身份运行KnockKnock(因为恶意软件集的组件只能由root读取)。查找 com.startup.plist执行名为'script.sh' 的未签名启动项:还可以查找以root身份运行的python运行实例,并使用上述反向shell命令:

本文由 孤独常伴 作者:孤独常伴 发表,其版权均为 孤独常伴 所有,文章内容系作者个人观点,不代表 孤独常伴 对观点赞同或支持。如需转载,请注明文章来源。

0

发表评论