OSX.Mokes.a.后门恶意软件详解
来源:互联网 发布:淘宝购礼品盒 编辑:程序博客网 时间:2024/04/28 18:40
恶意软件概况
OSX.Mokes.a.后门木马是最新发现的OS X的变种,它是一个跨平台的后门程序,能够在几大主要操作系统(Windows,Linux,OS X)中运行。请参阅我们关于Windows和Linux的变种的分析。
该恶意软件Home族能够窃取各类从受害者的机器窃取不同类型的数据(截图、音频/视频捕捉、办公文件、按键)
此后门程序也能在受害者的计算机上执行任意命令。
为了感染,它使用AES-256-CBC强加密。
背景
回归今年一月,我们发现了一个桌面环境的跨平台后门的新家族。在发现Linux和Windows系统的二进制文件后,我们现在终于出现OS X版本的Mokes.a。这是使用Qt编写的C++,Qt是一个跨平台应用框架,它能静态链接到OpenSSL。这形成了约14 MB大小的文件。接下来,让我们把玩下非常新鲜的样品。
OSX.Mokes.a后门Unpacked
到手的文件名叫做“unpacked”,但我们假设在ItW (In-the-Wild)它是packed的,就像它的Linux变种。
OSX.Mokes.a后门 ,Mach-O x86_64文件类型。
启动
当第一次执行时,该恶意软件最有可能将自己复制到以下的位置,顺序由上到下:
$Home/Library/应用商店/ storeuserd
$Home/Library/com.apple.spotlight/spotlighthelper
$Home/Library/Dock/ com.apple.dock.cache
$Home/Library/ Skype / skypehelper
$Home/Library/ Dropbox / dropboxcache
$Home/Library/Google/Chrome/ nacld
$Home/Library/Firefox/Profiles/profiled
连接到对应的位置,它创建了一个plist文件来实现在此系统的持续运作:
现在,是时候来建立其与C&C服务器的第一连接,使用HTTP在TCP端口80的服务器。
HTTP连接转储
用户代理字符串是二进制文件和服务器应答中的硬编码,以208字节长的“text/html”内容回复此“心跳”的要求。然后此二进制文件在TCP端口443建立加密连接,使用AES-256-CBC算法。
_AES_set_encrypt_key
后门功能
下一个任务是设置后门功能:
EKoms用户活动方法
捕获音频
音频捕捉会话方法
监控移动存储
可移动存储监控服务方法
捕获屏幕(每30秒)
开始屏幕捕获
扫描办公文件的文件系统(XLS,XLSX,DOC,DOCX)
十六进制转储文件过滤器
攻击者控制的C&C服务器也能够定义自己的文件过滤器,以加强对文件系统的监控,以及在系统上执行任意命令。
正如在其他平台上,如果C&C服务器不可用,该恶意软件创建几个包含所收集数据的临时文件。
$TMPDIR/ ss0-ddmmyy-hhmmss-nnn.sst tmpdir(截图)
$TMPDIR/ aa0-ddmmyy-hhmmss-nnn.aat tmpdir(音频抓取)
$TMPDIR/ kk0-ddmmyy-hhmmss-nnn.kkt tmpdir(keylogs)
$TMPDIR/ dd0-ddmmyy-hhmmss-nnn.ddt tmpdir(任意数据)
DDMMyy = 日期: 070916 = 2016-09-07
HHmmss = 时间: 154411 = 15:44:11
nnn = 毫秒
如果未定义环境变量$TMPDIR,将”/tmp”作为定位 (http://doc.qt.io/qt-4.8/qdir.html#tempPath)
作者的暗示
该恶意软件的作者再次留下了一供些参考的源文件:
源文件引用
检测
我们检测这种恶意软件为: HEUR:Backdoor.OSX.Mokes.a
输入/输出控制系统(IOCs)
哈希散列:
664e0a048f61a76145b55d1f1a5714606953d69edccec5228017eb546049dc8c
文件夹:
$HOME/Library/App Store/storeuserd
$HOME/Library/com.apple.spotlight/SpotlightHelper
$HOME/Library/Dock/com.apple.dock.cache
$HOME/Library/Skype/SkypeHelper
$HOME/Library/Dropbox/DropboxCache
$HOME/Library/Google/Chrome/nacld
$HOME/Library/Firefox/Profiles/profiled
$HOME/Library/LaunchAgents/$filename.plist
$TMPDIR/ss*-$date-$time-$ms.sst
$TMPDIR/aa*-$date-$time-$ms.aat
$TMPDIR/kk*-$date-$time-$ms.kkt
$TMPDIR/dd*-$date-$time-$ms.ddt
主机:
158.69.241[.]141
jikenick12and67[.]com
cameforcameand33212[.]com
用户代理:
Mozilla/5.0 (Macintosh; Intel Mac OS X 10_9_3) AppleWebKit/537.75.14 (KHTML, like Gecko) Version/7.0.3 Safari/7046A194A
作者:柠檬
链接:http://www.bugbank.cn/news/detail/57d2693aa5fde7de48f912a5.html
来源:漏洞银行
著作权归作者所有。商业转载请联系作者获得授权,非商业转载请注明出处。
- OSX.Mokes.a.后门恶意软件详解
- OSX.Mokes.a.后门恶意软件详解
- 第六章:iOS恶意软件和后门 ——6.3 后门、恶意软件实例
- 第六章:iOS恶意软件和后门 ——6.1 iOS恶意软件史
- 第六章:iOS恶意软件和后门 ——6.4 iOS绑定和反向shell
- 第六章:iOS恶意软件和后门 ——6.5 针对iOS使用Metasploit
- 软件后门
- 第六章:iOS恶意软件和后门 ——6.2 后台任务,守护进程和启动服务
- 后门软件谈
- 给软件装后门
- 【软件后门】 PowerISO5 虚拟光驱
- 恶意软件一大把
- 抵御内核恶意软件
- 手机恶意软件
- 阻止Linux恶意软件
- Linux恶意软件简史
- 恶意PPT文件夹带漏洞攻击和后门程序
- Android恶意软件增多专家建议装反恶意软件
- 7.4 L UVA 11806Cheerleaders
- Ubuntu server PostgreSQL安装以及基本操作
- CSS3弹性伸缩布局(一)——box布局
- linux文件系统的类型
- ucosii的实时操作系统(任哲)——第一章
- OSX.Mokes.a.后门恶意软件详解
- mysql
- Ugly Number II
- 电脑快捷键大全
- bzoj 1513 树套树
- Hadoop之——Combiner编程
- DDM内存检测
- java static 关键字详解
- Python中正则表达式sub函数用法总结