OSX.Mokes.a.后门恶意软件详解

恶意软件概况

•  OSX.Mokes.a.后门木马是最新发现的OS X的变种，它是一个跨平台的后门程序，能够在几大主要操作系统（Windows，Linux，OS X）中运行。请参阅我们关于Windows和Linux的变种的分析。

• 该恶意软件Home族能够窃取各类从受害者的机器窃取不同类型的数据（截图、音频/视频捕捉、办公文件、按键）

• 此后门程序也能在受害者的计算机上执行任意命令。

• 为了感染，它使用AES-256-CBC强加密。

背景

回归今年一月，我们发现了一个桌面环境的跨平台后门的新家族。在发现Linux和Windows系统的二进制文件后，我们现在终于出现OS X版本的Mokes.a。这是使用Qt编写的C++，Qt是一个跨平台应用框架，它能静态链接到OpenSSL。这形成了约14 MB大小的文件。接下来，让我们把玩下非常新鲜的样品。

OSX.Mokes.a后门Unpacked

到手的文件名叫做“unpacked”，但我们假设在ItW (In-the-Wild)它是packed的，就像它的Linux变种。

OSX.Mokes.a后门 ，Mach-O x86_64文件类型。

启动

当第一次执行时，该恶意软件最有可能将自己复制到以下的位置，顺序由上到下：

$Home/Library/应用商店/ storeuserd

$Home/Library/com.apple.spotlight/spotlighthelper

$Home/Library/Dock/ com.apple.dock.cache

$Home/Library/ Skype / skypehelper

$Home/Library/ Dropbox / dropboxcache

$Home/Library/Google/Chrome/ nacld

$Home/Library/Firefox/Profiles/profiled

连接到对应的位置，它创建了一个plist文件来实现在此系统的持续运作：

现在，是时候来建立其与C&C服务器的第一连接，使用HTTP在TCP端口80的服务器。

HTTP连接转储

用户代理字符串是二进制文件和服务器应答中的硬编码，以208字节长的“text/html”内容回复此“心跳”的要求。然后此二进制文件在TCP端口443建立加密连接，使用AES-256-CBC算法。

_AES_set_encrypt_key

后门功能

下一个任务是设置后门功能：

EKoms用户活动方法

捕获音频

音频捕捉会话方法

监控移动存储

可移动存储监控服务方法

捕获屏幕（每30秒）

开始屏幕捕获

扫描办公文件的文件系统（XLS，XLSX，DOC，DOCX）

十六进制转储文件过滤器

攻击者控制的C&C服务器也能够定义自己的文件过滤器，以加强对文件系统的监控，以及在系统上执行任意命令。

正如在其他平台上，如果C&C服务器不可用，该恶意软件创建几个包含所收集数据的临时文件。

$TMPDIR/ ss0-ddmmyy-hhmmss-nnn.sst tmpdir（截图）

$TMPDIR/ aa0-ddmmyy-hhmmss-nnn.aat tmpdir（音频抓取）

$TMPDIR/ kk0-ddmmyy-hhmmss-nnn.kkt tmpdir（keylogs）

$TMPDIR/ dd0-ddmmyy-hhmmss-nnn.ddt tmpdir（任意数据）

DDMMyy = 日期: 070916 = 2016-09-07

HHmmss = 时间: 154411 = 15:44:11

nnn = 毫秒

如果未定义环境变量$TMPDIR，将”/tmp”作为定位 (http://doc.qt.io/qt-4.8/qdir.html#tempPath)

作者的暗示

该恶意软件的作者再次留下了一供些参考的源文件：

源文件引用

检测

我们检测这种恶意软件为： HEUR:Backdoor.OSX.Mokes.a

输入/输出控制系统（IOCs)

哈希散列:

664e0a048f61a76145b55d1f1a5714606953d69edccec5228017eb546049dc8c

文件夹:

$HOME/Library/App Store/storeuserd

$HOME/Library/com.apple.spotlight/SpotlightHelper

$HOME/Library/Dock/com.apple.dock.cache

$HOME/Library/Skype/SkypeHelper

$HOME/Library/Dropbox/DropboxCache

$HOME/Library/Google/Chrome/nacld

$HOME/Library/Firefox/Profiles/profiled

$HOME/Library/LaunchAgents/$filename.plist

$TMPDIR/ss*-$date-$time-$ms.sst

$TMPDIR/aa*-$date-$time-$ms.aat

$TMPDIR/kk*-$date-$time-$ms.kkt

$TMPDIR/dd*-$date-$time-$ms.ddt

主机:

158.69.241[.]141

jikenick12and67[.]com

cameforcameand33212[.]com

用户代理:

Mozilla/5.0 (Macintosh; Intel Mac OS X 10_9_3) AppleWebKit/537.75.14 (KHTML, like Gecko) Version/7.0.3 Safari/7046A194A

作者：柠檬
链接：http://www.bugbank.cn/news/detail/57d2693aa5fde7de48f912a5.html
来源：漏洞银行
著作权归作者所有。商业转载请联系作者获得授权，非商业转载请注明出处。