概述
OSX.Dok恶意软件最初发现于2017年,这一恶意软件比大多数针对macOS的恶意软件都更为复杂,因此当我们看到它重新浮出水面时,也完全不会感到惊讶。在本文中,我们将详细分析该恶意软件的工作原理,并对当前恶意软件的感染状况进行描述。
故事要起源于圣诞节那天,在2018年12月25日12:48,OSX.Dok的一个新型变种经过有效的开发者ID签名,并发布到网络。我们在1月9日首次发现这一恶意软件,并通过非官方渠道通知了Apple。不久之后,恶意软件开发者的签名被Cupertino公司撤销。尽管如此,该措施并没有阻止攻击者对Mac的持续破坏。
关于Dok
在OSX.Dok中,包含一个DMG,其文件名为DHL_Dokument.dmg或Strichkode DHL Express.dmg,并且使用名称为Swisscom.Application的BundleID。
2017版本的OSX.Dok使用假冒的预览图标来伪装应用程序包。该恶意软件主要针对欧洲的Mac用户,并通过电子邮件网络钓鱼活动传播,该恶意活动试图使用户相信他们的纳税申报存在问题。
在新版本中,使用了类似的技巧,Dukument具有虚假的Adobe PDF图标,以此作为伪装。当用户安装DMG时,将会显示“点击两次图标以查看文档”的说明。尽管目前我们还没有发现该恶意软件是如何进行传播的,但鉴于DMG文件的标题是DHL_Dokument(DHL是一家德国邮政服务以及国际快递公司),并且其中包含德语文本,因此我们猜测它可能是针对相同的目标用户,并采取与此前类似的电子邮件传播技巧。
在视图的底部,有一个几乎无法看到的文件名,揭示了它的本质:“Dokument.app”。如果在Finder的列视图或列表视图中打开DMG,则会更加明显:
不同类型的App Store
双击Dokument.app后,会启动各种任务,并在后台安装一些应用程序。从用户的角度来看,首先用户的桌面会被伪装的“App Store”更新页面所替代。该应用程序禁用了键盘,因此用户无法取消或强制退出此视图。尽管我们并没有经常在macOS上看到这种技术,但实际上这并不是攻击者想到的新型技术。游戏开发人员通常使用此类Apple API,使用户产生身临其境的体验,并且让玩家进入特定的游戏环境。攻击者利用了与之相同的原理,编写该恶意软件。
在恶意软件的场景下,之所以要禁用键盘,是为了在恶意软件安装其他各类软件时,尽最大可能阻止用户的干扰。事实上,如果用户使用的是带有散热风扇的Mac,会发现在这些软件的安装过程中风扇不停转动。整个安装过程需要几分钟。
在此期间,恶意软件可能会重新启用键盘,以允许受害者在弹出的对话框中输入凭据。用户如果点击“取消”,那么该窗口将会再次弹出,因此“取消”按钮并没有实际意义。对于受害者来说,这时唯一可以进行的操作就是强制关机,然后以安全模式启动操作系统,清除恶意软件,并清除已经安装的持久性代理。
如果受害者在诱导下提供了密码,那么OSX.Dok将继续安装隐藏版本的Tor,以及一些实现秘密通信的实用程序:Socat、Filan和Procan。Socat实用程序允许恶意软件监听5555和5588端口,直到有连接连入。连接本身是来自localhost的流量,由恶意软件安装的AutoProxy重定向到5555端口。
恶意软件将多个Apple域名写入到本地Host文件,以便将与这些域名的连接重定向到127.0.0.1。一旦恶意软件开始捕获用户的流量,它就会连接到暗网上的服务器ltro3fxssy7xsqgz.onion,并开始数据传输。
持久性和特权
与此同时,恶意安装程序会写入多个持久性代理。其中的3个安装在用户的Library LaunchAgents文件夹中,1个安装在本地域名的LaunchDaemons文件夹中:
位于/usr/local/bin/JKHFJqTP中的LaunchDaemon程序参数是一个Shell脚本,可以确保在所有接口上设置AutoProxy。
与早期版本的OSX.Duk一样,这一版本的恶意软件在Keychain中安装了一个信任证书。它还会写入sudoers文件,从而确保可以持续拥有特权,而无需重复请求密码。/etc/sudoers中显示的最后一个条目表明任何用户都可以运行任何sudo命令,而不会被提示进行身份验证。
与欧洲的关联
这一版本的OSX.Dok是对旧版本的复制,二者间具有以下差异:
· 新开发者ID为Anton Ilin(48R325WWDB);
· 新App BundleID为Swisscom.Application;
· 新图标为:Adobe PDF(而不再是预览PDF);
· 新暗网地址为:ltro3fxssy7xsqgz.onion。
通过SentinelOne代理,我们不仅能够检测OSX.Dok,还发现OSX.Dok的作者已经将FTP用户名和密码以硬编码的方式写入该恶意软件中。
控制台的“可见性”功能表明,恶意软件使用curl和FTP协议,将受害者计算机上的日志文件上传到以下地址(我们认为,该地址的所有者可能首先被攻击,然后在不知情的情况下托管了这些文件):
ftp://engel-*******:0*******88@ftp.k******a.com/logs/
使用硬编码的用户名和密码,我们能够访问FTP服务器。我们注意到,在撰写本文时仍然在不断发送日志,并且在1天之内已经收集了43个日志。下面是一些受害者日志文件的部分列表:
总结
如本文所述,OSX.Dok重新回来了。由于该恶意软件能够完全拦截受害者的互联网流量,因此这一恶意软件对macOS用户来说无疑是具有较高风险的。尽管安装过程采用了非常明显的界面,从而导致大部分用户可能会觉得可疑,但考虑到Mac用户普遍没有使用第三方安全解决方案,以及Apple内置保护措施(例如XProtect和Gatekeeper)的弱点,这些用户的安全性仍然无法得到保障。我们在分析过程中发现,近1天之内至少发生了43次成功攻陷事件。我们正在将调查结果发送给相关机构,有关该威胁的进一步分析结果将会同步公开发表。
本文翻译自:https://www.sentinelone.com/blog/mac-malware-osx-dok-is-back-actively-infecting-victims/
翻译作者:41yf1sh 原文地址: http://www.4hou.com/system/15848.html