欢迎来到 黑吧安全网 聚焦网络安全前沿资讯,精华内容,交流技术心得!

MacOS恶意软件Shlayer分析

来源:本站整理 作者:佚名 时间:2020-03-17 TAG: 我要投稿

近两年来,Shlayer木马一直是Mac OS平台上最常见的恶意软件,十分之一的Mac OS用户受到它的攻击,占该操作系统检测到攻击行为的30%。第一批样本发现于2018年2月,此后收集了近32000个不同的木马恶意样本,并确定了143个C&C服务器。

自Shlayer首次被发现以来,其使用的算法几乎没有变化,活动行为保持平稳。

技术细节
从技术角度来看,Shlaye是一个相当普通的恶意软件。在所有变体中,只有最新的木马下载程序OSX.Shlayer.e与众不同。此恶意软件的变体是用Python编写的,其算法也有不同。具体分析如下(样本MD5:4d86ae25913374cfcb80a8d798b9016e):
感染第一阶段
安装此DMG映像后,将提示用户运行“安装”文件,安装程序是Python脚本。

应用程序包内可执行文件目录包含两个Python脚本:GJPWVUUD847 DZQPYBI(main)和GoqWajdBuV6(auxiliary)。后者用来实现数据加密功能:


接下来,主脚本生成唯一用户和系统ID,收集macOS版本的信息。基于这些数据生成GET query参数,下载ZIP文件:

下载到/tmp/%(sessionID)目录的ZIP文件使用unzip函数解压到/tmp/tmp目录:

ZIP包含可执行文件84cd5bba3870应用程序包:

解压文件后,python脚本使用chmod赋予文件84cd5bba3870在系统中运行的权限:

样本使用moveIcon和findVolumePath函数将原始DMG图标复制到新下载的应用程序包所在的目录中:

木马程序使用内置工具下载和解压,并删除下载的文件及其解压内容:

感染第二阶段
Shlayer本身只执行攻击的初始阶段,穿透系统,加载payload运行。调查AdWare.OSX.Cimpli可以看出其对用户的负面影响。
Cimpli安装程序看起来无害,只是提供安装:

但实际上Cimpli执行用户看不到的操作。首先,它在Safari中安装一个恶意扩展,将操作系统安全通知隐藏在恶意软件伪造窗口后。单击通知中的按钮,用户就会同意安装扩展。

其中一个扩展名为ManagementMark,检测为非病毒:HEUR:AdWare.Script.SearchExt.gen。它监视用户搜索并将其重定向到地址hxxp://lkysearchex41343-a.akamaihd[.]net/as?q=c:

样本还加载PyInstaller打包的mitmdump工具。系统中添加了一个特殊的可信证书,允许mitmdump查看HTTPS流量,所有的用户流量被重定向到mitmdump的SOCKS5代理。

通过mitmdump(SearchSkilledData)的所有流量都由脚本SearchSkilledData.py(-s选项)处理:

此脚本将所有用户搜索查询重定向到hxxp://lkysearchds3822-a.akamaihd[.]net。Cimpli并不是Shlayer唯一一个广告软件应用程序系列,还包括AdWare.OSX.Bnodlero、AdWare.OSX.Geonei和AdWare.OSX.Pirrit。

[1] [2]  下一页

【声明】:黑吧安全网(http://www.myhack58.com)登载此文出于传递更多信息之目的,并不代表本站赞同其观点和对其真实性负责,仅适于网络安全技术爱好者学习研究使用,学习中请遵循国家相关法律法规。如有问题请联系我们,联系邮箱admin@myhack58.com,我们会在最短的时间内进行处理。
  • 最新更新
    • 相关阅读
      • 本类热门
        • 最近下载