作者：凌迟 @ 360 NirvanTeam

投稿方式：发送邮件至linwei#360.cn，或登陆网页版在线投稿

近期，由CheckPoint发现了一款针对macOS的恶意木马–OSX/Dok，该恶意木马主要通过诱使受害者下载后强制性要求“系统升级”，从而骗取你的管理员口令，再通过一些手段监控受害者的http/https流量，窃取到有价值的数据。

0x0 感染方式

该木马主要活跃于欧洲，打着税务局账单的旗号发送钓鱼邮件，诱使中招者下载一个名为“Dokument”的软件，这个软件还伪造成了“预览”的样子，但是当你打开它后，会显示一个提示框提示文件可能损坏不能打开，但是你以为这就完了？？恰好相反，当你点击“OK”的时候，恰好中招~

0x1 OSX/Dok

OSX/Dok的主要功能比较明确:

1. 强制性“更新”，要求输入管理员密码

2. 下载berw，tor，socket等工具

3. 使用下载的这些工具，重定向中招者的http/https流量进行监控

0x2 详细分析

我们先本地看看目标binary的一些签名信息

看得出来这签名还是有些正规的~~~不过Apple已经把这个给撤销了 在运行程序之前，恶意程序会被复制到`/Users/Share`中

当这个恶意程序运行时，会弹出警告框，点击OK之后，等到5s之后就会开始运行，并删除应用程序，然后会出现一个覆盖全屏幕的窗口，提示要更新系统

然后弹出一个弹框要求输入密码，等等，你没看错，它的binary名称就叫做“AppStore”，而正常的应该是“App Store”

而恶意程序还把自己添加在了`系统偏好设置->用户与群组->登录项`中，以便于当没安装完成就关机，重启后继续安装

但是等程序安装完成后，登录项中的“AppStore”就会被删掉

在“更新”的过程中，会弹出几次要求你输入管理员密码，猜想应该是在安装一些命令行工具或者进行一些系统操作时需要管理员身份，但之后为什么不需要了呢？

我们在`/etc/sudoers`文件中可以看到最底下多了一条`ALL=(ALL) NOPASSWD: ALL`命令，这条命令主要作用就是在之后的操作中免输入密码

我们来看看，这些就是攻击者通过brew下载的一些工具

然后恶意程序会偷偷更改用户的的网络配置

其中的`paoyu7gub72lykuk.onion`一看就是暗网的网址，tor就是暗网搜索引擎

以上命令大概说的就是通过TCP ipv4协议，本地监听5555端口，来自这个端口的请求通过本地的9050端口转到目标`paoyu7gub72lykuk.onion`的80端口(第二个同样的说法)

打开`系统设置->网络->高级`,可以看到自动代理已经被偷偷改了

攻击者还在用户的Mac中安装了一个证书，用于对用户进行MiTM，拦截用户流量

0x3 总结

据统计，恶意木马占所有恶意软件的75%，他们大多数都很隐蔽，有时甚至几个月都一声不吭，这次这个也算比较特殊，其实明眼人看到这个更新基本上就知道出问题了，但是不排除有很多对Mac不熟悉的人，他们以为是正常的更新，然后勒索软件运行完之后又会被删除，不容易发现，所以就会中招。 防患于未然，平时收到陌生邮件的时候，如果有附件或者链接，最好不要打开，把这种事情扼杀在摇篮中最好不过了，也免去了不少不必要的麻烦。

0x4 参考

http://blog.checkpoint.com/2017/04/27/osx-malware-catching-wants-read-https-traffic/