手机上怎么买彩票双色球 微信上有人推荐买彩票 能合买彩票的平台 夫妻买彩票狂中30亿 买彩票心态 买彩票就买大乐透开奖结果 哪个平台买彩票安全吗 买彩票有买一个号的吗 怎么看走势图买彩票 如何在电脑上买彩票 美国几岁可以买彩票? 福彩工作人员买彩票 彩客网买彩票 能在微信上买彩票吗 怎么买彩票容易中

利用Firefox 0day传播的macOS恶意软件(Part 3)

来源:本站整理 作者:佚名 时间:2019-07-03 TAG: 我要投稿


 
0x00 前言
大家可以从此处下载本文分析的恶意样本(密码:infect3d),注意别感染自己的系统。
最近有攻击者利用Firefox 0day针对?#29992;?#36135;币交易所的员工发起攻击,在前面两篇文章中(Part 1及Part 2),我们讨论了攻击过程,分析了攻击者利用漏洞植入的Mac恶意软件(OSX.Netwire.A),我们还详细分析了恶意软件的驻留机制,完全逆向分析了恶意样本,澄清该样本可以接受攻击者远程发出的指令。
来自Coinbase的安全研究员Philip Martin最近又提到了此次攻击中使用的第二款Mac恶意软件样本:

最开始时VirusTotal上的所有反病毒(AV)引擎都识别不了第二个样本(sha1:b639bca429778d24bda4f4a40c1bbc64de46fa79):

因此,我决定仔细分析该样本,与大家分享研究结果。
需要注意的是,(对于VirusTotal上的)AV引擎有可能只是全功能安全产品的一个(很小)子集。
因此,企业所部署的综合类安全产品可能还包括基于行为检测的引擎(未包含在VirusTotal上),通常情况下可能会检测到这个新的威?#30149;?br/>  
0x01 静态分析
今天我们分析的样本名为mac,最早于2019-06-20提交到VirusTotal上:
MD5: AF10AAD603FE227CA27077B83B26543B
SHA1: B639BCA429778D24BDA4F4A40C1BBC64DE46FA79
SHA256: 97200B2B005E60A1C6077EEA56FC4BB3E08196F14ED692B9422C96686FBFC3AD
虽然Vitali Kremez提到过该样本可能与OSX.Mokes有关(回头我们再来讨论这一点),但目前反病毒社区还没有正式命名该样本。
让我们开始分析这个样本文件。
根据file工具的输出结果,该恶意软件是一个64位的mach-O程序,但体积有点大(13M):
$ file ~/Downloads/mac
~/Downloads/mac: Mach-O 64-bit executable x86_64
$ du -h ~/Downloads/mac
13M ~/Downloads/mac
通过我开发的WhatsYourSign开源工具,可知恶意软件并没有经过签名:

从MachOView的输出结果中,我们还知道恶意软件链接了许多“有趣的”库/框架:

如果想使用终端来分析,可以考虑使用macOS内置的otool工具(加上-L参数)来查看恶意软件链接的库/框架。
我们可以根据这些“有趣的”库/框架,来一窥恶意软件可能包含的功能:
IOKit.framework
AVFoundation.framework
CoreWLAN.framework
OpenGL.framework
CoreVideo.framework
接下来,我们可以使用内置的strings工具(加上-a参数)来提取其中内置的(ascii)字符串:
$ strings -a ~/Downloads/mac
storeaccountd
com.apple.spotlight
Spotlightd
Skype
soagent
Dropbox
quicklookd
Google
Chrome
accountd
Firefox
Profiles
trustd
User-Agent
Connection
Close
screenshots/
desktop_
jpeg
*.doc
*.docx
*.xls
*.xlsx
transport.museum
nishinomiya.hyogo.jp
is-into-cars.com
...
其中有很多字符串与静态链接库有关(如OpenSSL),这(很有可能)能解释恶意软件体积为什么会这么大。
前面提到过,strings工具有个限制,就?#20405;?#33021;提取出ascii字符串。为了提取unicode(或者“宽”)字符串,我们可以使用如下python脚本:strings.py
1def unicode_strings(buf, n=4):
2    reg = b"((?:[%s]x00){%d,})" % (ASCII_BYTE, n)
3    uni_re = re.compile(reg)
4    for match in uni_re.finditer(buf):
5        try:
6            yield String(match.group().decode("utf-16"), match.start())
7        except UnicodeDecodeError:
8            pass
结果表明恶意软件中包含一些有趣的unicode字符串:
$ python ~/Downloads/strings.py ~/Downloads/mac
0x8f0018: :/keys/bot
0x8f01a8: %1/Library/LaunchAgents/%2.plist
0x8f0210: powershell.exe
0x8f0248: dd*.ddt
0x8f0270: kk*.kkt
0x8f0298: aa*.aat
0x8f02c0: ss*.sst
0x8f02e8: application/octet-stream
0x8f0338: Content-Type
0x8f0378: JPEG
0x8f03c0: auto-file-search
0x8f0400: :/file-search
0x8f0478: search%1
0x8f0910: s://
0x8f0957: keys
0x8f0963: dbot
此外恶意软件中还包含5000多个url,部分url列举如下:
mizunami.gifu.jp saitama.jp kimino.wakayama.jp int.bo cambridge.museum andasuolo.no lardal.no transport.museum nishinomiya.hyogo.jp is-into-cars.com karlsoy.no bungoono.oita.jp int.ci chikujo.fukuoka.jp franziskaner.museum cc.nj.us genkai.saga.jp tysfjord.no ra.it air-traffic-control.aero ina.ibaraki.jp in-the-band.net ainan.ehime.jp oita.oita.jp national-library-scotland.uk …

[1] [2] [3]  下一页

  • 最新更新
    • 相关阅读
      • 本类?#35753;?/li>
        • 最近下载
        购买彩票权威网址
        手机上怎么买彩票双色球 微信上有人推荐买彩票 能合买彩票的平台 夫妻买彩票狂中30亿 买彩票心态 买彩票就买大乐透开奖结果 哪个平台买彩票安全吗 买彩票有买一个号的吗 怎么看走势图买彩票 如何在电脑上买彩票 美国几岁可以买彩票? 福彩工作人员买彩票 彩客网买彩票 能在微信上买彩票吗 怎么买彩票容易中
        湖北快3跨度走势图 贵州麻将规则 雪诺和塞布尔试玩 德国奥格斯堡天气 和平精英怎么更改角色男女性别 女王至上登陆 欢乐生肖彩票 我叫mt4礼包 安徽麻将游戏 捕鱼真人游戏大厅