這款可能來自伊朗的Mac惡意程序,已經在針對美國國防工業了。近期,研究人員發現了一款針對美國國防工業的macOS惡意軟件,該惡意軟件名叫MacDownloader,有一位人權倡導者還公開表示他曾受到過MacDownloader的攻擊。MacDownloader會偽裝成AdobeFlash和Bitdefender Adware Removal Tool的安裝程序,感染成功后會嘗試提取目標系統信息以及OSX的keychain數據庫。在對受感染的基礎設施以及惡意代碼進行了觀察和分析之后,我們認為此次事件是這款惡意軟件第一次真正試圖感染目標設備,而且代碼中類似“持久性感染”這樣的功能也無法正常工作。
MacDownloader目前只是一款簡單的數據提取工具,但它的野心肯定不僅于此。MacDownloader感染目標主機所使用的方法與ExtremDownloader的方法十分相似,而且研究人員在對惡意軟件樣本的代碼進行了分析之后發現,這款惡意軟件很可能與某個長期潛伏著的威脅組織有關。
雖然我們在美國的BlackHat黑客大會上曾對伊朗主導的網絡戰爭進行過技術論述,而且相關論文【傳送門】也正準備出版,但我們仍然會繼續披露當前伊朗黑客的一些網絡活動,并以此來積極推廣網絡安全教育,然后向安全廠商提供更多的IOC(入侵檢測指標)。
雖然這款惡意軟件不算復雜,功能也并不豐富,但它的突然出現肯定會給Mac用戶帶來不小的擔憂。隨著蘋果電腦的用戶數量越來越多,針對macOS的惡意軟件數量很有可能也會隨之上漲,macOS的安全性已經成為了一個未知數。
背景
自從“伊朗網絡威脅論”被曝光之后,我們也檢測到了各種各樣出自伊朗黑客之手的惡意軟件,這些惡意軟件普遍針對的是Windows和Android設備,目的是為了從目標設備中提取文件或記錄用戶鍵盤數據。雖然Windows仍是目前世界上使用人數最多的操作系統,但很多用戶出于安全性和穩定性的考慮,已經開始慢慢轉移到macOS平臺了。但實際上,macOS用戶的安全性遠遠沒有他們想象得那么高,而且他們的安全狀況甚至比Windows用戶的還要糟糕,專注伊朗問題的人權團體就是一個很好的例子。
事件及其影響
關于MacDownloader的一切起源于一個釣魚網站,這個網站冒充的是美國聯合技術公司(UTC)的官方網站,安全專家此前曾認定這個釣魚網站是伊朗黑客專門用來傳播Windows惡意軟件的,而研究人員發現MacDownloader也與這個網站有關,這也是我們首次檢測到MacDownloader。該釣魚網站聲稱可以提供一些“特殊培訓課程”,并專門提到了洛克希德馬丁公司、內華達山脈公司、雷神公司和波音公司的實習生崗位。
托管該網站的主機在此之前還曾用其子域名托管過瀏覽器攻擊框架BeEF,當時網站偽裝成的是一個牙科網站和美國空軍培訓網站。
我們可以看到,釣魚網站用法語提示了用戶:該插件可能存在安全問題,并在警告文字的下方提供了一個可以激活AdobeFlash插件的鏈接。在我們所觀察到的惡意軟件中,MacDownloader也是第一個如此誠實的惡意軟件。當用戶上鉤之后,遠程服務器會根據檢測到的目標系統信息來發送Windows或Mac端的惡意軟件,其中Windows平臺的dropper是采用Go語言編寫的。MacDownloader樣本的數據包名稱“addone flashplayer.app”也進一步證明了它來自伊朗,因為根據語法來看,這個文件名應該是一個說波斯語的人設置的。
Macdownloader
根據惡意代碼中嵌入的字符串信息來看,此次攻擊中的惡意軟件是一款針對macOS平臺的dropper,即Macdownloader。對代碼進行了分析之后,研究人員發現Macdownloader創建于2016年底,其代碼不僅寫得非常亂,而且很多代碼是從其他地方復制過來的,所以我們認為Macdownloader應該出自一位業余開發者之手。
研究人員認為,MacDownloader當前的主要目的是為了對受感染系統進行初步分析并提取一些系統數據,例如macOS的Keychain憑證。
看文倉www.kanwencang.com網友整理上傳,為您提供最全的知識大全,期待您的分享,轉載請注明出處。
歡迎轉載:http://www.kanwencang.com/bangong/20170215/102055.html
文章列表
留言列表
