欢迎来到 黑吧安全网 聚焦网络安全前沿资讯,精华内容,交流技术心得!

对2019全年的Mac恶意软件的全面分析(BirdMiner,Netwire,Mokes.B)

来源:本站整理 作者:佚名 时间:2020-01-19 TAG: 我要投稿

OSX.BirdMiner(OSX.LoudMiner)
BirdMiner(LoudMiner)提供了基于Linux的cryptominer,可通过QEMU仿真在macOS上运行。
感染媒介:盗版软件
BirdMiner是通过“VST Crack”网站上的盗版(破解)应用程序传播的,Mac恶意软件分析师已经在高端音乐制作软件Ableton Live的破解安装程序中发现了Bird Miner。
ESET也分析了恶意软件,并讨论了它的感染机制。具体来说,他们的研究发现了将近100个与数字音频/虚拟演播室技术(VST)有关的盗版应用程序,例如,破解的Ableton Live软件包可能包含BirdMiner恶意软件。
当然,下载并安装了这些盗版应用程序的用户将被恶意软件感染。
请注意,下载的软件包(Ableton Live Suite 10.1.pkg)是未签名的,因此将被macOS阻止:

但有趣的是,Instructions.txt文件明确告诉用户如何手动绕过这个保护。不过你有可能受到以下消息:
1.无法打开,因为它来自身份不明的开发人员。
2.进入:“系统偏好设置”>“安全性和隐私”>“常规”,然后通过“始终打开”来“允许”安装。
持久性攻击的能力来自启动守护程序
被OSX.BirdMiner感染的盗版应用程序之一是Ableton Live,它是macOS的数字音频工作站。被感染的应用程序作为标准磁盘映像传播; Ableton.Live.10.Suite.v10.1.dmg
当安装磁盘映像并执行应用程序安装程序(Ableton Live Suite 10.1.pkg)时,它将首先请求用户的凭据:

现在,具有根权限的BirdMiner可以持久化多个启动守护进程。这可以通过Objective-See的FileMonitor实用工具观察到:
{
  "event": "ES_EVENT_TYPE_NOTIFY_CREATE",
  "timestamp": "2019-12-03 06:36:21 +0000",
  "file": {
    "destination": "/Library/LaunchDaemons/com.decker.plist",
    "process": {
      "pid": 1073,
      "path": "/bin/cp",
      "uid": 0,
      "arguments": [],
      "ppid": 1000,
      "ancestors": [1000, 986, 969, 951, 1],
      "signing info": {
        "csFlags": 603996161,
        "signatureIdentifier": "com.apple.cp",
        "cdHash": "D2E8BBC6DB7E2C468674F829A3991D72AA196FD",
        "isPlatformBinary": 1
      }
    }
  }
}
...
{
  "event": "ES_EVENT_TYPE_NOTIFY_CREATE",
  "timestamp": "2019-12-03 06:36:21 +0000",
  "file": {
    "destination": "/Library/LaunchDaemons/com.tractableness.plist",
    "process": {
      "pid": 1077,
      "path": "/bin/cp",
      "uid": 0,
      "arguments": [],
      "ppid": 1000,
      "ancestors": [1000, 986, 969, 951, 1],
      "signing info": {
        "csFlags": 603996161,
        "signatureIdentifier": "com.apple.cp",
        "cdHash": "D2E8BBC6DB7E2C468674F829A3991D72AA196FD",
        "isPlatformBinary": 1
      }
    }
  }
}
属性列表的名称(com.decker.plist,com.tractableness.plist)和它们持久保存的文件的名称是随机生成的。有关更多详细信息,请参见此文。
com.decker.plist启动守护程序将持久保存一个名为vicontiel的文件(位于/ usr / local / bin /中):
# defaults read /Library/LaunchDaemons/com.decker.plist
{
    KeepAlive = 1;
    Label = "com.decker.plist";
    ProgramArguments =     (
        "/usr/local/bin/vicontiel"
    );
    RunAtLoad = 1;
}
同样,com.tractableness.plist启动守护程序会保留一个名为Tortulaceae的文件(同样在/ usr / local / bin /中):
# defaults read /Library/LaunchDaemons/com.tractableness.plist

[1] [2] [3] [4] [5]  下一页

【声明】:黑吧安全网(http://www.myhack58.com)登载此文出于传递更多信息之目的,并不代表本站赞同其观点和对其真实性负责,仅适于网络安全技术爱好者学习研究使用,学习中请遵循国家相关法律法规。如有问题请联系我们,联系邮箱admin@myhack58.com,我们会在最短的时间内进行处理。
  • 最新更新
    • 相关阅读
      • 本类热门
        • 最近下载