当前位置:首页 > Safe 2017年07月26日
【Blackhat】MacOs 长达十年的影藏后门

前言


今年一月份,FruitFly后门为人所知,而实际上它已在安全分析师和安全软件的眼皮底下潜伏多年。

FruitFly是一款macOS和OS X恶意软件,具有很多隐秘且强大的监控能力。Synack首席安全研究员Patrick Wardle分析的一个变体也不例外。

Wardle构建了一个CC服务器用来检查一个FruitFly样本,它能够执行shell命令、截图、控制鼠标动作、结束进程、甚至会在用户使用Mac时为攻击者发出告警信息。


功能强大 受害者特征异常


Wardle将在Black Hat会议上深入展开他对FruitFly和所使用的CC服务器的分析。他还表示将会发布所使用的分析工具,其中包括一个用户模式下的进程监控器。

Wardle指出,“FruitFly的设计具有交互性质,它能移动鼠标、按下按钮并跟操作系统的UI元素交互。”Wardle曾在NSA担任分析师,曾创立Objective-See并发布了一系列免费的Mac恶意软件分析工具。

Wardle指出,受害者具有不规则特征,因为他们是“正常的普通用户”。他在分析过程中在代码中注册了很多备份CC服务器并且获得了有价值的受害者信息。他跟执法部门分享了这些信息以及所注册的CC服务器信息。

跟其它监控软件样本不同,也不同于Malwarebytes公司今年年初披露的FruitFly样本,这次发现的变体似乎并未针对研究人员、高级别组织机构或者国防承包商。实际上多数受害者位于美国,而且集中在美国俄亥俄州。

Malwarebytes公司的研究员Thomas Reed在1月份指出他所分析的样本已在互联网中存在了一段时间,它的攻击目标是生物医疗研究中心。


分析方法有新意


Wardle研究FruitFly样本时采用了非传统的方法,他构建了自己的CC服务器。他指出在拥有样本的情况下,这种方法简化了分析过程。他不必逆向恶意软件,只需将其放在具有探测工具的虚拟机上的测试环境中。服务器连接到用于执行恶意软件的测试网络中的一台开发机上并观察所发生的情况。

“它并非一种惊天动地的技术,我敢肯定之前有人已经用过了。”Wardle指出,“为了分析这款恶意软件,你必须要理解它的协议。该协议很好理解并不存在自定义加密。”

FruitFly确实还包含很多CC服务器的加密连接,以防首选CC服务器断网。Wardle发现这些备份服务器可用时,立即予以注册。他指出,这时受害者(大约400名,但可能只是一小部分)就开始连接到这些域名并发送系统信息如用户和计算机名称和IP地址。Wardle并未查看这些信息而将它们移交给执法部门。

关于恶意软件的行为,Wardle指出当他对样本分类时,看到一个关于命令和子命令的明细清单;比如,No. 2会抓取屏幕,而No. 8会启动鼠标动作,No. 1子命令则可能会触发点击鼠标左键。

Wardle解释称,“在实验室,我能修改主机文件并给出我的CC服务器的IP地址,而我知道我能让恶意软件对我做出响应。”他还指出能通过向恶意软件发送命令代码的方式提供IP地址和端口,这样恶意软件就能更加容易地响应CC服务器。

Wardle表示,“当恶意软件连接后,它会获取大批系统数据然后期待你发送回命令来执行。我发现了恶意软件希望讲的语言类别,然后创建了能按照它的预期做出响应的一个Python脚本。”


利用工具降低风险


Wardle指出有一些工具能降低对用户的风险。其中一些工具如BlockBlock用于检测权限维持机制,而OverSight用于检测网络摄像头警告信息。他指出并不清楚初始感染向量是什么,但他认为鉴于受害者数量较少,可能管理攻击行为的人员只有一个,而这种体量也是让它保持隐秘的原因。



发表评论: