close
關鍵詞

macOS、OSX.EvilQuest、惡意軟件

近期,CrowdStrike基於內部和開源數據的分析,得到了如下結論:

勒索軟件(占分析的威脅數據的43%)、後門(35%)和木馬(17%)是CrowdStrike研究人員發現的2021年最受黑客組織歡迎的macOS惡意軟件類別,如圖1所示。每一類惡意軟件都有不同的動機:勒索軟件是為了謀利,後門是為了遠程訪問,木馬是為了竊取數據。

2021年,最流行的macOS勒索軟件家族是OSX.EvilQuest,在分析的勒索軟件中占比98%;最流行的macOS後門程序是OSX.Flashback,在威脅中占比31%;最流行的macOS木馬程序是OSX.Lador,在macOS木馬中占比47%。

圖 1:2021年macOS威脅藍圖

為了提高針對macOS惡意軟件的防禦水平,本文詳細介紹了CrowdStrike研究人員如何分析和理解macOS惡意軟件的行為方式以及在分析過程中所面臨的挑戰。

1.
「蘋果」遭遇的威脅


首先從基礎研究macOS惡意軟件,如按文件類型對macOS惡意軟件進行分類,然後深入了解惡意軟件的功能、目標和一般行為,最後以研究人員在分析macOS惡意軟件時所遇到的挫折作為結束。

惡意軟件攻擊macOS系統與其他任何操作系統的目標都是相同的,其攻擊目標範圍從間諜和偵察到挖礦、文件加密、遠程訪問以及與廣告軟件相關的劫持和注入。

2.‍‍

macOS威脅的文件類型
‍‍



惡意軟件開發人員經常試圖隱藏或掩蓋文件類型,欺騙用戶執行,文件類型識別還有助於建立分析所需的工具。圖2提供了macOS惡意軟件文件類型的分類。

圖 2:macOS惡意軟件的文件類型

儘管大多數惡意軟件都是編譯過的二進制文件,但在分析macOS惡意軟件時通常會遇到許多非二進制文件,對於攻擊者而言,每一種都有自己的優點和缺點。例如:

蘋果的磁盤鏡像(dmg)由於在執行時會自動安裝,因此在惡意軟件中很常見。OSX.EvilQuest(圖3)和OSX.Shlayer惡意軟件通常使用這種文件類型。

Packages(.Pkg、.mpkg)是另外一種經常被惡意軟件濫用的文件類型,因為它們允許惡意軟件開發者自定義預安裝和後安裝腳本並通過安裝程序自動運行。例如:OSX.EvilQuest在掛載.dmg文件後使用一個惡意包,它包含一個後安裝腳本,可以將二進制文件OSX.EvilQuest複製到/Library/mixednkey/下,並命名為toolroomd。

AppleScripts或AppleScript變體(如執行自動化重複任務的Run-only)經常被挖礦軟件OSA.OSAMiner濫用。

‍‍
3.

傳播及感染媒介


社工是傳播惡意軟件最常見的方法之一,它企圖欺騙用戶手動執行並感染他們的macOS,虛假更新、虛假應用、木馬化應用和感染應用是欺騙用戶安裝惡意軟件的最常用方法。

例如,OSX.EvilQuest勒索軟件模仿流行的混音應用程序(如圖3所示),而像OSX.Lador這樣的木馬則通過垃圾郵件傳播,其中包含惡意插件、破解的應用程序、免費程序和虛假更新。

圖 3:OSX.EvilQuest勒索軟件作為假的Mixed In Key DJ應用程序被安裝

其他惡意軟件變體,如OSX.XCSSET通過惡意文檔供應鏈攻擊進行傳播,其攻擊目標是合法的軟件開發工具,如蘋果的IDE Xcode。更複雜的攻擊會使用不同應用程序或已感染主機的操作系統內核或賬戶中的漏洞。例如,較早的OSX.FlashBack後門變體使用了Java漏洞來攻陷目標。

通過了解傳播和感染向量,研究人員可以採取分層的安全方法,建立保護能力以阻止入侵。

4. 持久性和戰術


大多數威脅,包括macOS惡意軟件都試圖確保在系統重啟後持續存在。分析和理解持久性戰術使研究人員能夠構建基於行為的檢測,並訓練機器學習模型進行自動化檢測。

最常見的一種持久性機制是濫用macOS中的登錄項,其它常見的持久性策略包括濫用啟動項、添加惡意軟件到計劃任務中或在將來某個時候使用cronjobs執行任務。

Dylib劫持是曾經最隱蔽的一種持久性機制,尤其是在二進制文件中。例如,一些2012年的OSX.FlashBlack後門變體使用的惡意庫是在加載時通過DYLD_INSERT_libraries環境變量注入進程的(在加載時,動態加載程序將檢查DYLD_INSERT_libraries變量並加載所有指定的庫),其它變體則使用Dylib劫持技術,試圖將Dylib植入到從多個位置加載動態庫的應用程序中,然而,蘋果公司早就提高了安全性,減少了濫用DYLD_INSERT_LIBRARIES的用例數量。

5.惡意軟件分析的挑戰


大多數惡意軟件,無論目標平台如何,為了使得分析困難,從一開始就會使用反靜態分析方法,例如基於字符串的混淆、代碼混淆和加密。腳本通常使用混淆工具來隨機化函數和變量名並插入垃圾和無用代碼,而二進制文件則使用打包或加密程序。

MacOS惡意軟件通常還使用調試檢測策略,這使得分析更具挑戰,此類策略包括使用sysctlAPI檢查進程是否處於調試狀態;調用ptrace system call防止調試器附加到進程中;或者甚至使用內置的macOS命令提取有關機器的信息。

6. 探究EvilQuest


OSX.EvilQuest在執行時,首先會通過查看從地址0x0000000100007BC0開始的is_virtual_mchn函數來檢查它是否在虛擬機或沙箱環境中運行。OSX.EvilQuest通過兩次使用sleep函數和time函數執行此檢查,這兩個time函數的返回值是惡意軟件用於睡眠的時間,由於沙箱通常會修改sleep函數以加快分析,因此,這兩個時間戳之間的差異將不同,由此惡意軟件會知道它正在沙箱環境中運行。

在惡意軟件嘗試確保其持久性操作(根據傳遞給二進制文件的–noroot參數,以守護進程或代理程序的方式啟動)之前,它會採取另外兩種對抗分析的方法:第一個是使用從地址0000000100007AA0開始的is_debugging函數檢查惡意軟件是否正被調試,第二個是使用從地址0000000100007C20開始的prevent_trace函數)用於防來阻止帶有PT_DENY_ATTACH標誌的ptrace call調試。

為了阻止ptrace函數起作用,OSX.EvilQuest會以不同的邏輯使得分析人員更難定位該函數調用,或通過對調試器打補丁的方式來繞過該機制。

7.
CrowdStrike保護macOS


持續研究macOS惡意軟件的趨勢和行為,識別威脅文件類型,了解潛在惡意軟件的行為、目標和持久性機制以及分析人員在分析時可能遇到的障礙,並將其轉化為專家輸入和知識,對於構建關於macOS的全面保護和威脅可見性的解決方案至關重要。

8. 攻擊指標


文件名SHA256OSX.EvilQuest

b34738e181a6119f23e930476ae949fc0c7c4ded6efa003019fa946c4e5b287a;

5a024ffabefa6082031dccdb1e74a7fec9f60f257cd0b1ab0f698ba2a5baca6bOSX.Shlayer852ff1b97c1155fc28b14f5633a17de02dcace17bdc5aadf42e2f60226479eafOSX.Lador

30ca6a13a85ac1ea7858e8163d9c08d8bbd8ed8bc6e97498b5b02d6de042b51e;

33ee40b89ee505bced8caaa4226223a0b9622b944e790fb5a704ffe6fce3eaa6OSX.XCSSET

a6141dfb0b6a242246d26afecfea00ed04dee24209f7d8d9bfef82042accd0f0;

6614978ab256f922d7b6dbd7cc15c6136819f4bcfb5a0fead480561f0df54ca6;

ceb023a95b8ee954c31bc6aa47a8f1461e246fea939a57fc59bc4b457ccb61ffOSX.FlashBack 8d56d09650ebc019209a788b2d2be7c7c8b865780eee53856bafceffaf71502c

END

參考鏈接:https://www.crowdstrike.com/blog/how-crowdstrike-analyzes-macos-malware-to-optimize-automated-detection-capabilities/


編輯|馬春燕

審校|何雙澤、金矢

本文為CNTIC編譯整理,不代表本公眾號觀點,轉載請保留出處與鏈接。聯繫信息進入公眾號後點擊「關於我們」可見。

arrow
arrow
    全站熱搜
    創作者介紹
    創作者 鑽石舞台 的頭像
    鑽石舞台

    鑽石舞台

    鑽石舞台 發表在 痞客邦 留言(0) 人氣()