新发现的Mac恶意软件使用“无文件”感染保持隐身状态
内存中执行(也称为无文件感染),不是向计算机硬盘驱动器写入任何内容,相反,它是将恶意代码直接加载到内存中执行。因为没有文件可分析或标记可疑,使得该技术成为逃避防病毒检测的有效方法。
在过去,无文件感染曾是政府背景黑客的专用手段,但到了2017年,出于经济动机的黑客采用了这种技术,此后,这种手段越来越普遍。
UnionCryptoTrader.dmg
无文件感染并非完全没有文件。只不过它们在大部分时间里会通过进驻内存来保持隐身。比如在上周首次曝光的一个名为UnionCryptoTrader.dmg的加密货币应用程序,57款杀毒产品中只有两款检测出其可疑。到了周五,根据VirusTotal的数据,检测结果略有改善,但57种产品中也只有17款产品对其做了标记。
根据企业Mac软件提供商Jamf的Mac安全专家Patrick Wardle 的分析,该恶意软件具有一个“后安装”脚本,一旦启动,会执行以下操作:
将隐藏的plist(.vip.unioncrypto.plist)从应用程序的Resources目录移至/ Library / LaunchDaemons
将其设置为由根拥有
创建一个/ Library / UnionCrypto目录
将隐藏的二进制文件(.unioncryptoupdater)从应用程序的Resources目录移至/ Library / UnionCrypto /
执行此二进制文件(/ Library / UnionCrypto / unioncryptoupdater)
这个UnionCryptoTrader.dmg,以根身份运行并具有“持久性”,这意味着它在重新启动后仍然可以持续运行。
Wardle表示,安装启动守护程序(其plist和二进制文件隐藏在应用程序的资源目录中)是朝鲜黑客组织Lazarus常用的技术。此外,朝鲜黑客组织活动的另一个特征是对加密货币的兴趣。比如美国财政部在9月份的报道,指出行业组织已经发现证据表明,朝鲜黑客从交易所那里窃取了价值数亿美元的加密货币,试图为该国的核武器开发计划提供资金。
这些都佐证了该恶意软件与Lazarus的关联。
内存感染开始
在感染链上,无文件执行开始。受感染的Mac开始联系位于hxxps://unioncrypto[.]vip/update的服务器,以检查第二阶段的负载。如果有可用的恶意软件,则该恶意软件将其下载并解密,然后使用macOS编程界面创建所谓的目标文件映像。该映像允许恶意有效载荷在内存中运行,而无需接触被感染Mac的硬盘。
Wardle写道:“由于内存中过程映像的布局与磁盘上映像的布局不同,因此无法简单地将文件复制到内存中并直接执行它,相反,必须调用诸如NSCreateObjectFileImageFromMemory和NSLinkModule之类的API(它们负责准备内存中的映射和链接)。”
由于无法获得第二阶段有效载荷的副本,因此尚不清楚它的作用。考虑到文件和域名中的加密货币主题,以及朝鲜黑客对数字货币的关注,后续感染可以在访问钱包或类似资产上。
上周,位于hxxps:// unioncrypto [.] vip /的控制服务器仍处于联机状态,但响应为0,这表明受感染的计算机没有可用的其他有效负载。
尽管无文件感染进一步表明Lazarus越来越擅长于开发隐形恶意软件,但Wardle称其为最近发现的恶意软件,AppleJeus.c仍警告用户检测,这都是因为它不是由Apple信任的开发人员签名的,该漏洞导致macOS在右侧显示一个警告。与安装应用程序时一样,macOS也要求用户输入其Mac密码,不过这也确实阻止了第一阶段通过偷渡或其他秘密方法进行安装。
最后,这种恶意软件不太可能针对加密货币交易所以外的任何人。但如果想要检测,可以查找:
(1)/Library/LaunchDaemons/vip.unioncrypto.plist
(2)正在运行的进程或二进制文件/ Library / UnionCrypto / unioncryptoupdater的存在。
*参考来源: arstechnica
,kirazhou编译整理,转载请注明来自 FreeBuf.COM
About The Author
