新发现的Mac恶意软件使用“无文件”感染保持隐身状态

admin 2021年12月3日13:57:02cnnvd_news评论18 次浏览阅读模式

       最近,安全研究人员发现黑客团伙在利用Mac恶意软件加强其攻击活动,该恶意软件使用内存中执行来保持隐身。

       内存中执行(也称为无文件感染),不是向计算机硬盘驱动器写入任何内容,相反,它是将恶意代码直接加载到内存中执行。因为没有文件可分析或标记可疑,使得该技术成为逃避防病毒检测的有效方法。

       在过去,无文件感染曾是政府背景黑客的专用手段,但到了2017年,出于经济动机的黑客采用了这种技术,此后,这种手段越来越普遍。

       无文件感染并非完全没有文件。只不过它们在大部分时间里会通过进驻内存来保持隐身。比如在上周首次曝光的一个名为UnionCryptoTrader.dmg的加密货币应用程序,57款杀毒产品中只有两款检测出其可疑。到了周五,根据VirusTotal的数据,检测结果略有改善,但57种产品中也只有17款产品对其做了标记。

       根据企业Mac软件提供商Jamf的Mac安全专家Patrick Wardle 的分析,该恶意软件具有一个“后安装”脚本,一旦启动,会执行以下操作:

       将隐藏的plist(.vip.unioncrypto.plist)从应用程序的Resources目录移至/ Library / LaunchDaemons

       将其设置为由根拥有

       创建一个/ Library / UnionCrypto目录

       将隐藏的二进制文件(.unioncryptoupdater)从应用程序的Resources目录移至/ Library / UnionCrypto /

       执行此二进制文件(/ Library / UnionCrypto / unioncryptoupdater)

这个UnionCryptoTrader.dmg,以根身份运行并具有“持久性”,这意味着它在重新启动后仍然可以持续运行。

       Wardle表示,安装启动守护程序(其plist和二进制文件隐藏在应用程序的资源目录中)是黑客组织Lazarus常用的技术。此外,黑客组织活动的另一个特征是对加密货币的兴趣。比如美国财政部在9月份的报道,指出行业组织已经发现证据表明,黑客从交易所那里窃取了价值数亿美元的加密货币。这些都佐证了该恶意软件与Lazarus的关联。

       在感染链上,无文件执行开始。受感染的Mac开始联系位于hxxps://unioncrypto[.]vip/update的服务器,以检查第二阶段的负载。如果有可用的恶意软件,则该恶意软件将其下载并解密,然后使用macOS编程界面创建所谓的目标文件映像。该映像允许恶意有效载荷在内存中运行,而无需接触被感染Mac的硬盘。

       Wardle写道:“由于内存中过程映像的布局与磁盘上映像的布局不同,因此无法简单地将文件复制到内存中并直接执行它,相反,必须调用诸如NSCreateObjectFileImageFromMemory和NSLinkModule之类的API(它们负责准备内存中的映射和链接)。”

       由于无法获得第二阶段有效载荷的副本,因此尚不清楚它的作用。考虑到文件和域名中的加密货币主题,以及黑客对数字货币的关注,后续感染可以在访问钱包或类似资产上。

       上周,位于hxxps:// unioncrypto [.] vip /的控制服务器仍处于联机状态,但响应为0,这表明受感染的计算机没有可用的其他有效负载。

       尽管无文件感染进一步表明Lazarus越来越擅长于开发隐形恶意软件,但Wardle称其为最近发现的恶意软件,AppleJeus.c仍警告用户检测,这都是因为它不是由Apple信任的开发人员签名的,该漏洞导致macOS在右侧显示一个警告。与安装应用程序时一样,macOS也要求用户输入其Mac密码,不过这也确实阻止了第一阶段通过偷渡或其他秘密方法进行安装。

       最后,这种恶意软件不太可能针对加密货币交易所以外的任何人。但如果想要检测,可以查找:

       (1)/Library/LaunchDaemons/vip.unioncrypto.plist

       (2)正在运行的进程或二进制文件/ Library / UnionCrypto / unioncryptoupdater的存在。

  • 我的微信
  • 微信扫一扫
  • weinxin
  • 我的微信公众号
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2021年12月3日13:57:02
  • 转载请务必保留本文链接:http://zone.ci/archives/cnnvd/cnnvd_news/2021/12/03/837.html

发表评论

匿名网友 填写信息

:?: :razz: :sad: :evil: :!: :smile: :oops: :grin: :eek: :shock: :???: :cool: :lol: :mad: :twisted: :roll: :wink: :idea: :arrow: :neutral: :cry: :mrgreen: