2018年可以说是macOS RAT (远控)无情肆虐的一年,其中在Empyre作为多种恶意软件变种的首选开发框架一路遥遥领先。此外,EvilOSX、EvilEgg以及基于Java的RAT也开始在实际攻击案例中亮相。在今年的恶意软件新闻当中,加密货币也先后被多次提及——恶意人士一方面将矛头指向比特币钱包,另外也开始利用加密货币工具程序感染更多毫无戒心的用户。加密货币劫持问题仍然在不断升温,但目前主要存在于macOS的广告软件当中。
恶意软件的发展趋势
2018年的Mac安全事件始于OSX.MaMi——其属于原有Windows恶意软件DNSUnlocker的macOS变种版本。Mami会修改macOS的SystemConfiguration.plist,旨在劫持受害者的DNS服务器。该恶意软件当中包含用于远程下载及上传文件的逻辑,亦可记录鼠标点击、截取屏幕内容以及尝试提升权限等等。
就在同一个月,基于Java的CrossRAT作为Dark Caracel APT集团工具包中的组成部分正式亮相。根据报道,该集团一直以黎巴嫩政府的名义收集各类与国家安全相关的情报并执行攻击性网络活动。CrossRAT本身是一款多平台监控工具,能够通过将自身副本写入 ~/Library/mediamgrs.jar并安装用户LaunchAgent的形式在macOS上起效并实现长期驻留。
有趣的是,或者说值得担忧的是,MaMi与CrossRAT都拥有明确的版本号,这意味着二者尚处于早期发展阶段。因此,我们认为未来这两种恶意软件的更高版本也应当会陆续出现。
Lazarus APT
在今年年初公布了两项重要发现之后,恶意软件稍稍消停了一阵。但好景不长,今年4月,安全专家又发现一种名为CelasTradePro的加密货币交易应用程序。这款恶意软件被归结于朝鲜相关APT组织Lazarus,且由三部分构成。首先,CelasTradePro.app当中的一个更新器以木马下载器的形式起效,其次是带有“com.celastradepro.plist”标签的LaunchDaemon,最后则是在初始阶段投放于/var/zdiffsec处的恶意载荷。
目前尚不清楚这种被称为OSX.AppleJeus的恶意软件属于供应链攻击手段,抑或是专门用于通过CelasTradePro.app感染加密货币交易所。但无论如何,这款应用程序都拥有一个真实有效的开发者签名,因此能够轻松绕过苹果的内置安全技术。
WindShift APT
作为一轮始于今年4月的攻击活动,AppleJesus直到今年8月才彻底销声匿迹。但就在同一个月,又有另一支针对Mac平台的APT团队WindShift APT决定接棒跟上。虽然专家们认为该集团早在去年1月就已经将目标定为Mac平台,但WindShift似乎一直等到今年才开始正式活动,具体如DarkMatter提供的下图所示:
当前工具集时间线,大部分为网络间谍工具,仍处于开发当中
WindTail.A 将指向受害者设备上拥有如下后缀名的文件:.txt .pdf .doc .docx .ppt .pptx .db .rtf .xls .xlsx,并利用LoginItem实现长久驻留。后门 WindTape 会对当前桌面进行截屏,将内容发送至某C2服务器并删除本地副本。该后门会每5秒重复这一过程。
造成这一特定恶意软件感染的关键,在于Safari浏览器首选项在默认情况下允许在.zip文件下载完成时自动进行解压。这项功能意味着macOS将自动注册存在于恶意软件当中的自定义URL,从而引发进一步感染。一般情况下,Safari用户可以如下图所示在Safari浏览器首选项的常规选项卡中取消以下条目,从而消除这一安全隐患:
矛头指向最薄弱的环境
今年7月,OSX.Dummy开始出现在某些加密货币采矿聊天组中。攻击者引导受害者故意运行一款要求提升权限的工具,因为受害者会认为该工具来自可靠来源。整个实现过程非常简单,因为该恶意软件正是由他们所提供,所以会在过程当中为受害者持续提供安装及使用指导。这款工具会安装一个bash脚本,该脚本利用Python开启一个反向shell:
OSX.Dummy(Dummy意为傻瓜)之所以得到这一名称,是因为无数受害者曾乖乖上当,并使得攻击者不费吹灰之力达成目标。从这个角度来看,其至少在思路上与破坏性恶意软件的设计完全相反。今年9月,我们看到了很多人万万设想不到的威胁来源:苹果官方App Store。从Mac App Store当中下载的软件会得到苹果Gatekeeper的默认信任,因此未加额外防护机制的用户在毫无察觉的情况下被一系列经过官方批准的应用程序窃取了个人数据也就不足为奇。此次涉案应用程序包括Adware Doctor、Open Any Files、Dr AntiVirus以及Dr Cleaner。苹果公司在今年9月将上述全部应用程序从商店当中移除,但此前至少曾有两家违规方曾向苹果报告过此事,却未能得到回应。
硬币的另一面
今年10月,CoinTicker 正式跨入公众视野——其通过一款加密货币采矿应用传递木马后门。在与开源漏洞利用工具EvilOSX 与EggShell相结合之后,CoinTicker的外观上就是一款简单的状态栏应用程序,能够显示各种加密货币的当前交易价格。该应用程序功能齐全,但背地里却尝试通过反向shell为攻击提供机会。
凭借着两款开源漏洞利用工具的特性,攻击者可以选择实现多种功能。虽然尚不明确,但最容易确定的攻击能力之一,就是窃取受害者加密货币钱包的密码内容。
这绝不是2018年当中针对加密货币用户的最后一波攻势。今年11月,Exodus加密钱包的用户受到一轮邮件钓鱼活动的冲击。攻击者原本希望以RealTimeSpy商用间谍软件为基础安装恶意软件。尽管并没有证据表明RealTimeSpy的开发者介入其中,但可以肯定的是这轮邮件攻击活动的目标正是在受害者的计算机之上安装某个RealTimeSpy版本。因此可以做出合理的假设,攻击者的目的是窃取受害者比特币钱包中的资产;但这款macOS间谍软件同时亦能够通过截屏及键盘记录等方式窃取其它个人数据。除此之外,这款程序还能够捕捉社交网络活动以及网站访问操作。
节日惊喜
今年的12月更是状况频发,而且在一周之内就涌现了三种恶意软件。首先是一款面向Adobe CC的伪破解应用OSX.DarthMiner,其利用Automator工作流通过Empyre后端在受害者的设备上安装加密货币采矿程序。接下来是OSX.LamePyre,游戏玩家群体常用的Discord语音与文本聊天应用的伪造版本,其同样利用类似的Automator工作流与Empyre后门。LamePyre的主要作用似乎是截取受害者的桌面屏幕内容并将其上传至C2服务器。
目前还不清楚这两种有所关联的木马是否来自同一开发者之手,抑或只是用到了最近于暗网上交易的部分通用代码。但我们注意到,其中伪造的Discord应用似乎曾进行了俄罗斯本地化,并包含部分俄语文本。
当然,我们还无法判断这些线索是粗心的结果,还是开发者有意为之作为误导。无论真正的答案如何,我们都有理由相信这些基于Automator的木马将在2019年新年之前或者之后再度活跃起来。
OSX.BadWord通过微软Word for Mac中的沙箱转义并提供Meterpreter恶意载荷的方式实现不同类型的威胁活动。攻击者似乎在今年8月就首次详细披露了武器化能力的概念验证方案。与Windows上类似的Word针对性攻击一样,Mac版本也是利用VBA宏执行代码并感染用户。OSX.BadWord似乎被通过电子邮件发送至Quidax加密货币平台的员工,其中邀请收件者们为“比特币杂志英国(BitCoin Magazine UK)”做出贡献。
同样值得一提
除了彻头彻尾的恶意软件之外,我们今年还发现有不少广告软件安装程序被作为木马进行加密货币采矿程序安装,具体包括 PPMiner、CreativeUpdate以及SearchPageInstaller。
广告软件目前仍是个令人头痛的问题,特别是考虑到广告软件开发商们正越来越多地扩展自身技术范围,甚至存在一定的越界行为——即采用恶意软件那一套作法。
总结
总体来讲,2018年年内,开始有更多APT集团以及犯罪分子将矛头指向macOS平台,包括借此进行加密货币采矿或者从加密货币参与者(包括交易所员工及加密货币交易者)身上获取有价值信息。以Empyre为代表的开源工具包在过去12个月当中一直是macOS恶意软件的首选开发方案,我们预计这一趋势将在2019年继续保持下去。
本次总结就是这些。虽然安全威势不容乐观,但请大家放下这一切,享受宁静安详的节日~
本文由士冗科技翻译自SentinelOne
声明:本文来自士冗科技,版权归作者所有。文章内容仅代表作者独立观点,不代表士冗科技立场,转载目的在于传递更多信息。如有侵权,请联系 service@expshell.com。