针对中东地区的APT组织WindShift，该组织可利用自定义URL Scheme来远程感染macOS目标

昨天推送中出现笔误，攻击目标应该为巴勒斯坦地区，已经删除原推送并进行修改发在今天的第二篇推送中，十分抱歉。

WindShift组织 ，针对中东地区的政府部门和关键基础设施部门的特定工作人员，该组织可利用自定义URL Scheme来远程感染macOS目标（需进行交互）

该组织的详细分析ppt

链接：https://gsec.hitb.org/materials/sg2018/D1%20COMMSEC%20-%20In%20the%20Trails%20of%20WINDSHIFT%20APT%20-%20Taha%20Karim.pdf

其中一些邮件内容如下

攻击流程如下

1、首先，WINDSHIFT APT组织发送钓鱼邮件，使得用户点击邮件中的链接，进入该组织正在控制的网站。

2、一旦目标浏览该组织的恶意网站，就会触发下载操作，下载包含恶意应用的一个压缩包（.zip）。

此时，如果Mac用户正在使用Safari，那么压缩包就会自动被解压（不要问为什么，也许MacOS觉得那是安全的吧）。

这意味着恶意应用（而不是一个单纯的压缩zip文件）现在会存在于用户的文件系统上，这样就会自动触发自定义URL Scheme handler的注册过程。

3、现在恶意应用的自定义URL Scheme已成功注册（在目标系统中），恶意网站中的代码就可以加载或者浏览至自定义的url地址，使用JavaScript可以完成，类似如下

window.location.replace('windshift://');

4、此时，macOS在后台会查找处理这个自定义URL Scheme的handler，最终就会找到刚刚下载到目标系统的恶意应用。一旦查找完毕，操作系统将尝试启动恶意应用来处理所请求的URL。

（对Mac用户来说）较新版的Safari中会弹出一个警告信息：

上面的引号中的字符是可控的，完全可以伪装成一个疑似安全的文件。（默认是不允许输入.txt或者.com这类后缀，但由于应用名可以包含unicode字符，因此可以利用homograph这种攻击技巧来输入.txt或者.com）

而老版本的Safari并不会弹出提示框，会尝试运行该恶意程序。

5、紧接着，这里还有一点需要注意，当文件是从互联网下载，用户点击运行后，MacOS会触发文件隔离机制，即弹出下面这个框，但一般只要伪装好一点都会点击。

6、最后，WindTale 和 WindTape 开始窃取文件并截取屏幕截图。

下图可表明这两个恶意软件的发展历程

PPT最后提到了，该组织与很多组织的资产和代码存在关联性，尤其是俄罗斯和印度的组织，但个人认为，毕竟年头已久，抢注伪造的情况都有，现在确认来源还是得靠某些途径啊。

中文相关讯息

链接：https://steemit.com/technology/@iyouport/3q8chd-mac

————————————————

涉及的远程感染MacOS的手段如下文：

如何利用自定义URL Scheme远程突破Mac

详细安全客上写的很清楚了。

链接：https://www.anquanke.com/post/id/158679

具体攻击步骤流程图如下

安全资源

一、#僵尸网络 僵尸网络类恶意软件源码收集仓库

https://github.com/maestron/botnets

二、#安全会议 HITB GSEC Singapore 2018

https://gsec.hitb.org/materials/sg2018/