macOS 恶意软件分析过程

本文作者:Cherishao(信安之路应急小组组长)

Hacker 取得了我们系统权限后通常会做那些事情?植入 shell、恶意软件、留持久化的后门。在当下的 APT 事件中,远控木马扮演着一个重要的角色,这些木马通常具备着如下功能:远程桌面、键盘记录器、下载和运行程序、文件和注册表等的各种操作,通过远控木马上线记录 Hacker 甚至能知道你什么时间段在做什么事情,听起来是有那么一点不可思议,但事实就是如此。

在诸多远控木马中,针对 macOS 的 RAT 还是比较少见,今天看到了卡巴斯基实验室的一篇关于 Calisto 恶意软件(远程访问木马 RAT)分析的研究性文章,学习了下分析思路并将其进行了翻译,作者英语水平及理解能力有限,如有不适之处,请斧正:)


来自卡巴斯基实验室的恶意软件研究人员发现了一种名为 Calisto 的恶意软件,它似乎是 Proton macOS 恶意软件的前身。

该恶意软件早在 2016 年就被上传到 VirusTotal,很可能是在创建它的同一年。但是整整两年,直到 2018 年 5 月,Calisto 仍然不受反病毒解决方案的影响,最近才发现 VT 的第一次检测。

卡巴斯基没有关于威胁传播方式的信息,他们立即注意到 Calisto 实施的一些功能仍处于开发阶段。

Calisto 传播及感染模块分析

传播

Calisto 安装文件是一个以 Intego 的 Mac 安全解决方案为幌子的未签名的 DMG 图像,有趣的是,Calisto 的作者选择该程序的第九版作为封面。

为了便于说明,我们将恶意软件文件与从官方网站下载的 Mac Internet Security X9 版本进行比较。

它看起来相当有诱惑力。如果他之前没有使用过该应用程序 用户不太可能注意到差异。

感染

一旦启动,该应用程序就会向我们提供虚假许可协议。

该文本与 Intego 的文本略有不同

也许网络犯罪分子从早期版本的产品中获取了它。

接下来,“防病毒”会询问用户的登录名和密码,这种安装保证了在 macOS 上对系统进行更改的程序时完全正常。

在收到凭据后,程序会在报告发生错误之前稍微挂起,并建议用户从防病毒开发人员的官方站点下载新的安装包。

该程序的正式版本安装可能没有问题,很快就会忘记错误。同时,Calisto 将平静地继续运行。

基于 SIP 的木马分析

Calisto 在启用 SIP(系统完整性保护)的计算机上的活动相当有限。Apple 于 2015 年宣布推出 OSX El Capitan,SIP 旨在保护关键系统文件不被修改 - 即使具有 root 权限的用户也是如此。 Calisto 是在 2016 年或更早开发的,似乎它的创造者根本没有考虑到当时的新技术。 但是,许多用户仍因各种原因禁用SIP; 我们明确建议不要这样做。

可以使用其子进程日志和反编译代码来调查 Calisto 的活动,木马在其运行期间执行的命令记录如下:

Calisto 样本中的硬编码命令

我们可以看到该木马使用名为 .calisto 的隐藏目录来存储

  1. Keychain: 存储数据
  2. 从用户 login/password 窗口中提取的数据
  3. Network: 有关网络连接的信息
  4. 来自 Google Chrome 的数据:历史记录,书签,Cookie

Keychain 存储用户保存的 password/tokens,包括 Safari 中保存的 password/Token, 存储的加密密钥是用户的密码。

接下来,如果启用了 SIP,则当木马尝试修改系统文件时会发生错误。 这违反了木马的操作逻辑,导致它停止。

SIP 禁用状态下分析

使用 SIP 禁用观察 Calisto 更有趣。 首先,Calisto 执行上一章中的步骤,但由于木马不会被 SIP 中断,因此它会:

  1. 将自身复制到 /System/Library/filder
  2. 将自身设置为在启动时自动启动
  3. 卸载并卸载其 DMG 映像
  4. 将自身添加到辅助功能
  5. 收集有关系统的其他信息
  6. 允许远程访问系统
  7. 将收集的数据转发到 C&C 服务器

让我们仔细看看恶意软件的实现机制。将自己添加到启动是 macOS 的一种经典技术,可以通过在 /Library/LaunchAgents/folder 中创建一个带有恶意软件链接的 .plist 文件来完成:

通过以下命令卸载 DMG 映像:

为了扩展其功能,Calisto 通过直接修改 TCC.db 文件将自己添加到 Accessibility,这是一种不好的做法,也是防病毒恶意活动的指标。 另一方面,该方法不需要用户交互。

Calisto 允许远程控制受感染的 Mac,它实现了一些功能:

  1. 启用远程登录
  2. 启用屏幕共享
  3. 配置用户的远程登录权限
  4. 允许远程登录所有人
  5. 在 macOS 中启用隐藏的“root”帐户,并设置木马代码中指定的密码

命令如下:

请注意,虽然用户“root”存在于 macOS 中,但默认情况下禁用。 有趣的是,重新启动后,Calisto 再次请求用户数据,但这次等待输入实际的 root 密码,之前它已自行更改(root:aGNOStIC7890!!!)。 这是木马原始性的一个标志。

最后,Calisto 尝试将所有数据从 .calisto 文件夹传输到网络犯罪分子的服务器。 但在我们研究的时候,服务器不再响应请求并且似乎被禁用:

尝试联系 C&C 服务器

额外功能

Calisto 的静态分析显示未完成和未使用的附加功能:

  1. 加载/卸载用于处理 USB 设备的内核扩展
  2. 用户目录中的数据窃取
  3. 删除系统文件

加载/卸载内核扩展

使用用户目录

删除系统根目录下所有文件

与 Backdoor.OSX.Proton 连接

从概念上讲,Calisto 后门类似于 Backdoor.OSX.Proton 系列的成员:

  1. 分发方法类似:它伪装成一个众所周知的防病毒软件(Backdoor.OSX.Proton 以前是在赛门铁克防病毒产品的幌子下发布)
  2. 木马样本包含“com.proton.calisto.plist”行
  3. 像 Backdoor.OSX.Proton 一样,这个木马能够从用户系统中窃取大量的个人数据,包括 Keychain 的内容

总结

Proton 恶意软件系列的所有已知程序都是在 2017 年分发和发现的。我们检测到的 Calisto Trojan 是在 2016 年之前创建的。假设这个木马是由同一作者编写的,它可能是最早的版本之一 Backdoor.OSX.Proton 甚至是原型。后一种假设得到大量未使用和未完全实现的功能的支持。但是,它们在后期版本的 Proton 中已被遗弃。

如何防止感染 Calisto,Proton 家族

  1. 始终更新到当前版本的操作系统
  2. 永远不要禁用 SIP
  3. 仅运行从受信任的来源(例如 App Store)下载的已签名软件
  4. 使用防病毒软件

IOC

C2 服务器

40.87.56.192

MD5

DMG image: d7ac1b8113c94567be4a26d214964119

Mach-O executable: 2f38b201f6b368d587323a1bec516e5d

相关附件

这里提供 2 个视频,分别介绍了 PROTON 及 Calisto 这 2 个 RAT 软件的安装与使用

  1. PROTON — Complete macOS Solution For Remote Control & Surveillance
  2. SentinelOne Detects Calisto, Installing Backdoor on macOS

https://pan.baidu.com/s/1rAOFT9Y_iAXycOsYdZqlbQ 密码:xs4j

原文发布于微信公众号 - 信安之路(xazlsec)

原文发表时间:2018-07-24

本文参与腾讯云自媒体分享计划,欢迎正在阅读的你也加入,一起分享。

发表于

我来说两句

0 条评论
登录 后参与评论

相关文章

来自专栏FreeBuf

如何用树莓派和显示器制作一面“魔镜”

这篇文章介绍的是用树莓派、显示器、双面镜制作的一面镜子。这面镜子中包含了一个黑色背景的网页,可以显示天气预报、日期、时间以及一句随机生成的问候语。完成这个DIY...

2799
来自专栏Seebug漏洞平台

创建简单、免费的恶意软件分析环境

原文地址:Creating a Simple Free Malware Analysis Environment

4026
来自专栏FreeBuf

Equation Group泄露文件分析

*本文原创作者:白泽安全团队,本文属FreeBuf原创奖励计划,未经许可禁止转载 从这几天网上公开的信息和材料分析,美国的NSA很可能已经被黑。 一个名为“Th...

20310
来自专栏hadoop学习

Hadoop新手篇:hadoop入门基础教程

关于hadoop的分享此前一直都是零零散散的想到什么就写什么,整体写的比较乱吧。最近可能还算好的吧,毕竟花了两周的时间详细的写完的了hadoop从规划到环境安装...

1224
来自专栏FreeBuf

JavaScript的注入引出技术诈骗

0×01 前言 在最近的恶意软件的调查中,我们发现了一些有趣的混淆JavaScript代码。此代码伪装成现在流行的插件AddThis social sharin...

2385
来自专栏企鹅号快讯

假日出行必备:专家解析如何在公共Wi-Fi网络下保护个人隐私

“用指尖改变世界” ? 对于外出的我们来说,公共Wi-Fi网络在很多方面都是很棒的。因为它是免费的,能够节省我们很多的移动数据流量,并且提供更快的下载速度。 然...

2105
来自专栏NewTech视野

从黑客那里保护公司网站的12个技巧

通常您的网站开放运行如同无需锁门但依然安全开放的办公室一样:因为大多数人不会仅仅步入并访问您的办公室就洞察到您所有的数据信息。偶尔您会发现有不怀好意的人进入并偷...

980
来自专栏FreeBuf

CODESYS WebVisu产品出现严重漏洞,影响100多款ICS系统

根据外媒 Securitweek 报道,Istury IOT 的朱文哲(音)发现 3S-Smart Software Solutions 的 CODESYS W...

2505
来自专栏FreeBuf

揭秘:安卓木马是如何盗取用户手机银行的

手机银行是一种非常便捷的方式让用户可以随时随地的完成交易。KPMG预测手机银行用户在2019年会增长到1.8亿。但是,随着手机银行涉及的金钱数额越来越大,攻击者...

4529
来自专栏拂晓风起

杀人游戏 捉鬼游戏 发牌器(Android安卓手机,苹果手机,智能手机通用)

1345

扫码关注云+社区

领取腾讯云代金券