欢迎来到 黑吧安全网 聚焦网络安全前沿资讯,精华内容,交流技术心得!

了解macOS上的恶意木马--OSX/Dok

来源:本站整理 作者:佚名 时间:2017-07-07 TAG: 我要投稿

近期,由CheckPoint发现了一款针对macOS的恶意木马--OSX/Dok,该恶意木马主要通过诱使受害者下载后强制性要求“系统升级”,从而骗取你的管理员口令,再通过一些手段监控受害者的http/https流量,窃取到有价值的数据。
 
0x0 感染方式
该木马主要活跃于欧洲,打着税务局账单的旗号发送钓鱼邮件,诱使中招者下载一个名为“Dokument”的软件,这个软件还伪造成了“预览”的样子,但是当你打开它后,会显示一个提示框提示文件可能损坏不能打开,但是你以为这就完了??恰好相反,当你点击“OK”的时候,恰好中招~


 
0x1 OSX/Dok
OSX/Dok的主要功能比较明确:
1. 强制性“更新”,要求输入管理员密码
2. 下载berw,tor,socket等工具
3. 使用下载的这些工具,重定向中招者的http/https流量进行监控
 
0x2 详细分析
我们先本地看看目标binary的一些签名信息

看得出来这签名还是有些正规的~~~不过Apple已经把这个给撤销了 在运行程序之前,恶意程序会被复制到`/Users/Share`中

当这个恶意程序运行时,会弹出警告框,点击OK之后,等到5s之后就会开始运行,并删除应用程序,然后会出现一个覆盖全屏幕的窗口,提示要更新系统


然后弹出一个弹框要求输入密码,等等,你没看错,它的binary名称就叫做“AppStore”,而正常的应该是“App Store”


而恶意程序还把自己添加在了`系统偏好设置->用户与群组->登录项`中,以便于当没安装完成就关机,重启后继续安装

但是等程序安装完成后,登录项中的“AppStore”就会被删掉


在“更新”的过程中,会弹出几次要求你输入管理员密码,猜想应该是在安装一些命令行工具或者进行一些系统操作时需要管理员身份,但之后为什么不需要了呢?

我们在`/etc/sudoers`文件中可以看到最底下多了一条`ALL=(ALL) NOPASSWD: ALL`命令,这条命令主要作用就是在之后的操作中免输入密码

我们来看看,这些就是攻击者通过brew下载的一些工具


然后恶意程序会偷偷更改用户的的网络配置

 
其中的`paoyu7gub72lykuk.onion`一看就是暗网的网址,tor就是暗网搜索引擎
以上命令大概说的就是通过TCP ipv4协议,本地监听5555端口,来自这个端口的请求通过本地的9050端口转到目标`paoyu7gub72lykuk.onion`的80端口(第二个同样的说法)

[1] [2]  下一页

【声明】:黑吧安全网(http://www.myhack58.com)登载此文出于传递更多信息之目的,并不代表本站赞同其观点和对其真实性负责,仅适于网络安全技术爱好者学习研究使用,学习中请遵循国家相关法律法规。如有问题请联系我们,联系邮箱admin@myhack58.com,我们会在最短的时间内进行处理。
  • 最新更新
    • 相关阅读
      • 本类热门
        • 最近下载