信息來(lái)源:FreeBuf
最近,安全研究人員發(fā)現(xiàn)朝鮮黑客團(tuán)伙在利用Mac惡意軟件加強(qiáng)其攻擊活動(dòng),該惡意軟件使用內(nèi)存中執(zhí)行來(lái)保持隱身。
內(nèi)存中執(zhí)行(也稱(chēng)為無(wú)文件感染),不是向計(jì)算機(jī)硬盤(pán)驅(qū)動(dòng)器寫(xiě)入任何內(nèi)容,相反,它是將惡意代碼直接加載到內(nèi)存中執(zhí)行。因?yàn)闆](méi)有文件可分析或標(biāo)記可疑,使得該技術(shù)成為逃避防病毒檢測(cè)的有效方法。
在過(guò)去,無(wú)文件感染曾是政府背景黑客的專(zhuān)用手段,但到了2017年,出于經(jīng)濟(jì)動(dòng)機(jī)的黑客采用了這種技術(shù),此后,這種手段越來(lái)越普遍。
UnionCryptoTrader.dmg
無(wú)文件感染并非完全沒(méi)有文件。只不過(guò)它們?cè)诖蟛糠謺r(shí)間里會(huì)通過(guò)進(jìn)駐內(nèi)存來(lái)保持隱身。比如在上周首次曝光的一個(gè)名為UnionCryptoTrader.dmg的加密貨幣應(yīng)用程序,57款殺毒產(chǎn)品中只有兩款檢測(cè)出其可疑。到了周五,根據(jù)VirusTotal的數(shù)據(jù),檢測(cè)結(jié)果略有改善,但57種產(chǎn)品中也只有17款產(chǎn)品對(duì)其做了標(biāo)記。
根據(jù)企業(yè)Mac軟件提供商Jamf的Mac安全專(zhuān)家Patrick Wardle 的分析,該惡意軟件具有一個(gè)“后安裝”腳本,一旦啟動(dòng),會(huì)執(zhí)行以下操作:
1、將隱藏的plist(.vip.unioncrypto.plist)從應(yīng)用程序的Resources目錄移至/ Library / LaunchDaemons
2、將其設(shè)置為由根擁有
3、創(chuàng)建一個(gè)/ Library / UnionCrypto目錄
4、將隱藏的二進(jìn)制文件(.unioncryptoupdater)從應(yīng)用程序的Resources目錄移至/ Library / UnionCrypto /
5、執(zhí)行此二進(jìn)制文件(/ Library / UnionCrypto / unioncryptoupdater)
這個(gè)UnionCryptoTrader.dmg,以根身份運(yùn)行并具有“持久性”,這意味著它在重新啟動(dòng)后仍然可以持續(xù)運(yùn)行。
Wardle表示,安裝啟動(dòng)守護(hù)程序(其plist和二進(jìn)制文件隱藏在應(yīng)用程序的資源目錄中)是朝鮮黑客組織Lazarus常用的技術(shù)。此外,朝鮮黑客組織活動(dòng)的另一個(gè)特征是對(duì)加密貨幣的興趣。比如美國(guó)財(cái)政部在9月份的報(bào)道,指出行業(yè)組織已經(jīng)發(fā)現(xiàn)證據(jù)表明,朝鮮黑客從交易所那里竊取了價(jià)值數(shù)億美元的加密貨幣,試圖為該國(guó)的核武器開(kāi)發(fā)計(jì)劃提供資金。
這些都佐證了該惡意軟件與Lazarus的關(guān)聯(lián)。
內(nèi)存感染開(kāi)始
在感染鏈上,無(wú)文件執(zhí)行開(kāi)始。受感染的Mac開(kāi)始聯(lián)系位于hxxps://unioncrypto[.]vip/update的服務(wù)器,以檢查第二階段的負(fù)載。如果有可用的惡意軟件,則該惡意軟件將其下載并解密,然后使用macOS編程界面創(chuàng)建所謂的目標(biāo)文件映像。該映像允許惡意有效載荷在內(nèi)存中運(yùn)行,而無(wú)需接觸被感染Mac的硬盤(pán)。
Wardle寫(xiě)道:“由于內(nèi)存中過(guò)程映像的布局與磁盤(pán)上映像的布局不同,因此無(wú)法簡(jiǎn)單地將文件復(fù)制到內(nèi)存中并直接執(zhí)行它,相反,必須調(diào)用諸如NSCreateObjectFileImageFromMemory和NSLinkModule之類(lèi)的API(它們負(fù)責(zé)準(zhǔn)備內(nèi)存中的映射和鏈接)?!?
由于無(wú)法獲得第二階段有效載荷的副本,因此尚不清楚它的作用。考慮到文件和域名中的加密貨幣主題,以及朝鮮黑客對(duì)數(shù)字貨幣的關(guān)注,后續(xù)感染可以在訪問(wèn)錢(qián)包或類(lèi)似資產(chǎn)上。
上周,位于hxxps:// unioncrypto [.] vip /的控制服務(wù)器仍處于聯(lián)機(jī)狀態(tài),但響應(yīng)為0,這表明受感染的計(jì)算機(jī)沒(méi)有可用的其他有效負(fù)載。
盡管無(wú)文件感染進(jìn)一步表明Lazarus越來(lái)越擅長(zhǎng)于開(kāi)發(fā)隱形惡意軟件,但Wardle稱(chēng)其為最近發(fā)現(xiàn)的惡意軟件,AppleJeus.c仍警告用戶(hù)檢測(cè),這都是因?yàn)樗皇怯葾pple信任的開(kāi)發(fā)人員簽名的,該漏洞導(dǎo)致macOS在右側(cè)顯示一個(gè)警告。與安裝應(yīng)用程序時(shí)一樣,macOS也要求用戶(hù)輸入其Mac密碼,不過(guò)這也確實(shí)阻止了第一階段通過(guò)偷渡或其他秘密方法進(jìn)行安裝。
最后,這種惡意軟件不太可能針對(duì)加密貨幣交易所以外的任何人。但如果想要檢測(cè),可以查找:
(1)/Library/LaunchDaemons/vip.unioncrypto.plist
(2)正在運(yùn)行的進(jìn)程或二進(jìn)制文件/ Library / UnionCrypto / unioncryptoupdater的存在。