首页
社区
课程
招聘
安全研究人员发现 Hacking Team 新开发不易察觉的Mac恶意软件
发表于: 2016-3-2 10:22 1552

安全研究人员发现 Hacking Team 新开发不易察觉的Mac恶意软件

2016-3-2 10:22
1552
新闻链接:http://www.freebuf.com/news/97551.html
新闻时间:2016-03-02
新闻正文:

研究者在HackingTeam上发现了新开发的Mac恶意软件,这项发现促使了投机活动。自从去年七月以来,这款臭名昭著的恶意软件造成了数Gbytes集团私人邮件和源代码的流出,如今这款软件作者再次出现在公众视野中。

大量泄漏的资料揭露了Hacking Team在混乱中最私人的时刻。公司的CEO上个月开玩笑道:想象一下,解释地球上最邪恶的技术。

二月四日,样品上传到了谷歌所属的VirusTotal扫描服务器,而此时它并没有受任何主要反病毒程序检测。在本周星期一的报告中,检测到了56个中的10个音视频服务。SentinelOne安全研究员Pedro Vilaça在周一早上发布了技术分析,安装程序最后在十月或是十一月更新,嵌入式加密密钥在十一月十六日更新,也就是HackingTeam入侵的三个月之后。样品安装了一份HackingTeam的签名远程代码系统入侵平台,这使得Vilaça得到一种结论,尽管集团承诺在七月份回归新代码,设备配置的复原大部分依赖于一般的源代码。

 Vilaça 写到:HackingTeam依旧十分活跃,正如电子邮件泄露事件,我们依然无济于事。如果你对OS X恶意软件反向工程不了解,那它是一个很好的练习样品。我最关心的问题已有了答案,其他的事情我便不再感兴趣。泄露事件之后我不会再记得这些人了。

 Synack的Mac安全专家Patrick Wardle测试样本后表明,安装一个新版 HackingTeam,需要一些先进技术躲避检测分析。举例来说,用苹果本地加密计划保护二进制文件的目录,让其成为Wardle曾经做过的恶意植入安装程序。然而Wardle不能破解加密,因为苹果使用了一种静态硬编码密钥——通过这些文字防御努力守护,请不要窃取AppleC——这是逆向工程专家长久以来众所周知的事。即便如此,他还是发现安装程序被数字包封束缚。这也限制了他想进行的不同种逆向工程以及分析。

样品仍然遗留许多未解决的问题。例如,恶意软件的安装仍不明确。有一种可能是欺骗目标安装良性应用程序文件。另一种可能是执行安装时被秘密捆绑。想知道Mac是否被感染的人们会检查~/Library/Preferences/8pHbqThW/目录中名为 Bs-V7qIU.cYL的文档。

 Vilaça说他不能确凿地肯定新样品是HackingTeam的成果。自从七月,包括Remote Code Systems源代码在内的400G数据被攻破以来,其他人或者集团也有可能重新编译代码并发布到新型安装程序中。然而Vilaça 说Shodan调查中心的证据和VirusTotal的IP地址扫描表明,样品中提到的指令和控制服务器在一月份又活跃起来。也就是说新型恶意软件不仅仅是单纯的骗局。

[培训]内核驱动高级班,冲击BAT一流互联网大厂工作,每周日13:00-18:00直播授课

收藏
免费 0
支持
分享
最新回复 (0)
游客
登录 | 注册 方可回帖
返回
//