跨平台后门Mokes现已加入OS X豪华午餐

近期,卡巴斯基实验室的安全研究人员发现了一种恶意软件,这种恶意软件可以在目前主流的几款操作系统平台上运行,包括Windows、Linux和Mac OSX。

根据报道,安全研究专家在今年一月份发现了一款针对计算机操作系统的跨平台木马后门。当时,安全研究人员仅在Linux和Windows这两大操作系统中发现了该后门的代码。

而现在,研究人员又在OSX系统中检测到了这一后门变种(Mokes.A)。据分析,这一后门采用了C++编程语言进行开发,并且还使用到了Qt框架(一款跨平台应用程序框架)。

跨平台的恶意软件正在兴起

在此之前,攻击者只会将他们的注意力放在Windows操作系统上,他们更愿意花时间去开发针对Windows平台的恶意软件。但是现在,网络攻击者们似乎已经开始开发跨平台的恶意软件了,而且这个趋势的增长势头有点猛。

由于近些年Mac OS X和其他类型的桌面操作系统不断兴起,攻击者也毫无疑问地会跟上这个发展潮流,所以跨平台恶意软件的出现也并没有出乎我们的意料。

跨平台的恶意软件需要通过特殊的有效载荷(payload)和功能组件来进行加载,而这些特殊的payload和组件正是它们能够跨平台运行的基本条件。

针对Mac OS X的Mokes后门

在今年一月份,卡巴斯基实验室的安全研究人员Stefan Ortloff首次在Linux和Windows这两个操作系统中发现了这种跨平台的后门,并将该后门取名为“Mokes”。而在不久之前,安全研究人员又在MacOS X系统中发现了这一木马家族的变种,即Mokes.a。

与Windows和Linux平台上的Mokes后门类似,针对OSX的后门(Backdoor.OSX.Mokes.a)能够利用受感染设备的摄像头和麦克风来记录视频和音频数据,并获取到设备的键盘记录,而且它每隔三十秒就会在目标设备上截一次图。

除此之外,这一后门还可以监控类似U盘这样的移动存储设备。当受感染设备上插入了一个U盘之后,该后门便会立刻获取U盘中的数据。值得注意的是,它还可以扫描目标设备文件系统中的Office文档,例如.docx、.doc、.xlsx、以及.xls文件。

Mokes.a的功能远不止获取文件和数据这么简单。它还可以通过远程C&C服务器来获取攻击者的操作指令,并且在目标用户的计算机中执行这些命令。

该后门在与C&C服务器通信时,会建立一个经过AES-256加密的安全通信链接,而这一加密算法被认为是目前一种非常安全的加密算法。

Ortloff在对Mokes.a样本进行分析时发现,当该后门被执行之后,它可以进行自我复制,并将自己复制到文件系统中各个不同的地方,例如Skype、Dropbox、Google、以及Firefox等程序的Cache文件中。

深入分析Backdoor.OSX.Mokes.a

当我们拿到该后门的检测样本时,其文件名为“unpacked”。

运行

当我们首次运行Mokes.a时,这款恶意软件会按照下列目录顺序依次将自己拷贝到这些目录中:

$HOME/Library/AppStore/storeuserd

自我复制完成之后,它会在这些目录下分别创建一个plist文件,并以此来实现其在目标系统中的持久化:

一切设置妥当后,它便会使用TCP协议和80端口来与远程C&C服务器建立首次通信链接(HTTP):

User-Agent中的内容已经提前硬编码至后门代码中了,服务器会以长度为208字节的“text/html”内容来响应后门的网络请求。接下来,恶意代码会通过TCP的443端口来与服务器建立加密链接,加密过程使用的是AES-256-CBC加密算法。

Mokes.a的功能

上述操作完成之后,该后门便会开始配置其功能:

1.记录音频数据:

2.监控移动存储设备:

3.截取屏幕图片:

4.扫描文件系统中的Office文档(xls、xlsx、doc、docx):

除此之外,攻击者还可以通过C&C服务器来对后门的文件过滤器进行自定义配置,这样不仅能够增强其对目标文件系统的监控能力,而且还可以更方便地在目标系统中执行任意代码。

该恶意软件会在目标系统中创建以下几个临时文件,如果C&C服务器无法响应的话,它就可以将收集到的用户数据暂时保存到这些文件中。

$TMPDIR/ss0-DDMMyy-HHmmss-nnn.sst(屏幕截图)

如果目标系统中没有定义环境变量$TMPDIR的话,该恶意软件会默认使用“/tmp/”来作为临时文件目录。

该恶意软件的作者还留下了一些极具参考价值的信息,相应的源文件如下图所示:

入侵威胁指标(IOC)

后门名称:

Backdoor.OSX.Mokes.a

后门hash:

664e0a048f61a76145b55d1f1a5714606953d69edccec5228017eb546049dc8c

感染文件:

$HOME/LibraryAppStore/storeuserd

远程主机:

158.69.241[.]141

User-Agent:

Mozilla/5.0(Macintosh; Intel Mac OS X 10_9_3) AppleWebKit/537.75.14 (KHTML, like Gecko)Version/7.0.3 Safari/7046A194A

总结

目前,安全研究人员还没有找到Mokes后门家族背后的始作俑者到底是谁。但无论是独立的黑客组织也好,由国家资助的黑客组织也罢,就目前可获取到的信息来看,这款后门绝对是一种非常复杂的恶意软件。

* 参考来源:thehackernews,securelist,本文由Alpha_h4ck编译,未经许可禁止转载

原文发布于微信公众号 - FreeBuf(freebuf)

原文发表时间:2016-09-13

本文参与腾讯云自媒体分享计划,欢迎正在阅读的你也加入,一起分享。

发表于

我来说两句

0 条评论
登录 后参与评论

相关文章

来自专栏FreeBuf

多伦多大学:UC浏览器收集并发送用户隐私数据分析报告

0x01 问题概要 UC浏览器是中国和印度地区最为流行的web浏览器,也是全球第四大移动浏览器,仅次于chrome、Android浏览器和Safari浏览器,目...

4789
来自专栏腾讯云数据库(TencentDB)

Redis勒索事件爆发,如何避免从删库到跑路?

9月10日下午,又一起规模化利用Redis未授权访问漏洞攻击数据库的事件发生,此次黑客以勒索钱财作为第一目的,猖狂至极,攻击者赤裸裸威胁,直接删除数据库...

7.5K78
来自专栏FreeBuf

RSA2018 | 通过iOS Trustjacking漏洞远程渗透iPhone

赛门铁克研究人员发现了一个iPhone与Mac工作站和笔记本电脑配对的漏洞。他们表示,攻击者可以利用这个被称为Trustjacking的漏洞,在没有信息情况下接...

1713
来自专栏FreeBuf

GPON Home Router家庭光纤网关设备漏洞技术分析

什么是GPON终端?PON终端,俗称“ 光猫”,作用类似于大家所熟悉的ADSL Modem,是光纤到户家庭需备的网络设备。根据不同的技术和标准,PON 又为分为...

1283
来自专栏FreeBuf

运维配置缺陷导致大量MongoDB数据信息遭泄露

近日,黑客组织GhostShell泄露了大量的MongoDB数据库用户资料。 数据遭到大量泄露 据统计该组织目前泄露的数据已达3600万条之多。MongoDB作...

22310
来自专栏FreeBuf

沉睡一年的“脏牛”又被攻击者利用,Android用户你们还好吗?

还记得 2016 年那个著名的 Linux 内核级漏洞 Dirty Cow(脏牛)吗?2016 年 10 月,研究人员发现 Linux 内核的内存子系统在处理写...

3175
来自专栏CSDN技术头条

互联网从业者必须知道的36个安全技术术语

想要了解更多关于网络安全领域的信息?作者在本篇文章里面已经创建了一份需要知道的术语表,以帮助读者了解网络安全领域的相关内容。以下为译文。 软件开发中的安全主题常...

21910
来自专栏NewTech视野

从黑客那里保护公司网站的12个技巧

通常您的网站开放运行如同无需锁门但依然安全开放的办公室一样:因为大多数人不会仅仅步入并访问您的办公室就洞察到您所有的数据信息。偶尔您会发现有不怀好意的人进入并偷...

980
来自专栏Seebug漏洞平台

酷视(NEO Coolcam)网络摄像头登录绕过及多个基于堆栈溢出的远程代码执行漏洞及数据分析报告

深圳市丽欧电子有限公司(NEO Coolcam,以下简称酷视)[1],是一家集网络数码产品研发、生产、营销于一体的高新技术企业,是国内最早进入网络摄像头领域的专...

1512
来自专栏企鹅号快讯

著名安全厂商 FOX-IT 证实遭中间人攻击

位于荷兰的著名安全厂商Fox-IT(Fox-IT 公司向全球的大型企业提供IT安全管理和威胁情报服务)今天披露称,一小部分 Fox-IT 用户遭受不知名黑客的中...

3717

扫码关注云+社区

领取腾讯云代金券