macOS 上常见的七种混淆技术

最新推荐文章于 2024-08-26 16:34:35 发布

网络安全-旭师兄

最新推荐文章于 2024-08-26 16:34:35 发布

阅读量737

点赞数 7

文章标签： macos 学习安全网络 web安全系统安全

本文链接：https://blog.csdn.net/2401_84466361/article/details/139830011

版权

macOS 平台的威胁日渐增多，攻击者也越来越重视针对该平台的用户的攻击，本文将会介绍七种 macOS 上常见的混淆技术。

混淆的 Shell 脚本

Shell 脚本可能是 Linux 平台下最常见的恶意文件，在 macOS 上也不遑多让。许多恶意软件都将 Shell 脚本作为应用程序中的可执行文件，如下所示。

image.png-219kB

混淆的 Shell 脚本

也有攻击者直接将脚本内置在镜像文件中，通过别名来诱导用户执行：

image.png-290.6kB

文件中的脚本

在安装镜像文件时，会看到教育用户打开恶意软件并绕过内置的 Gatekeeper 安全机制。

image.png-305.1kB

提示信息

要求用户点击的安装 PKG 图标其实是一个隐藏目录中的 Shell 脚本的别名，名称为 .hidden。该脚本经过轻微混淆，在 /tmp 目录下使用随机 12 个字符创建一个目录后，会完成去混淆执行并删除从同一目录中的数据文件中提取的可执行文件。

/bin/bash -c eval  '$(echo ' openssl enc -aes-256-cbc -d -A -base64 -k \ '$archive\'  - in \ '$appDir/$archive\' -out \ '$ tmpDir/$binFile\' xattr -c \ '$tmpDir/\' * chmod 777\ '$tmpDir/$binFile\' \ '$tmpDir/$binFile\' && rm -rf $tmpDir ')'

混淆的 SHC

Shell Script Compiler 是将 Bash 脚本编译生成可执行文件的技术，尽管这些可执行文件并不能做到完全独立，仍然需要执行环境中包含指定的 Shell。

image.png-260.5kB

Shell Script Compiler

SHC 的 -U 参数可以使编译后的二进制文件无法使用 ptrace 进行跟踪，-e 参数支持设置程序终止运行的到期日期。如果使用不同的 -e 参数，相同的脚本就可以生成不同哈希的二进制文件。

image.png-179.1kB

Shell Script Compiler

SHC 被 SCSSET 恶意软件大量使用，在野能够持续发现相关样本。从攻击者的角度来看，使得编写无法通过静态分析读取的恶意脚本变得非常简单。而且，通过 -e 参数还能够无限生成不同哈希值的样本文件。

image.png-333.2kB

Shell Script Compiler

发现 SHC 编译的二进制文件，唯一的方法就是通过沙盒执行观察其行为。静态检测发现 SHC 编译的二进制文件时可以将其认为是可疑的，编译器生成的独特字符串也利于检测，但实际上只有通过执行才能准确区分是否恶意。

混淆的 Python 脚本

苹果公司已经在 Monterey 12.3 及更高版本的 macOS 设备上取消了对 Python 2.7 的支持，所以针对 macOS 平台的攻击者已经对 Python 不再热衷。

image.png-625.8kB

混淆的 Python 脚本

将 Python 脚本打包 .pyc 编译好的 Mach-O 文件仍然是存在的攻击媒介，更常见的则是将框架如 Meterpreter 经过多次 base64 编码混淆处理，这就足以绕过许多检测引擎。

image.png-450.6kB

混淆的 Python 脚本

混淆的 Cobalt Strike

Cobalt Strike 在 Windows 平台非常常见，在 macOS 上出现甚少，但也不是完全没有。

2021 年 9 月，OSX.Zuru 发起了供应链攻击，针对使用 iTerm2、Mac 版 MS 远程桌面、SecureCRT 和 Navicat 14 进行投毒。恶意软件使用 UPX 加壳，解压后是一个使用 C 语言编写的 Mach-O 文件。该可执行文件经过混淆，包含超过 4 万个垃圾函数。相同的混淆方式，后来也出现在针对 PyPI 的 pymafka 供应链攻击中。

image.png-852.8kB

混淆的 Cobalt Strike

该混淆技术能够通过二进制段的熵和哈希中进行识别。例如，__cstring 段的 MD5 哈希值为 c5a055de400ba07ce806eabb456adf0a，其熵值也能用于静态识别特征：

image.png-684.3kB

混淆的 Cobalt Strike

混淆的 AppleScript

AppleScript 一直是被低估的攻击向量，其在 macOS 系统中的存在时间甚至比 Python 都要长。最近几年苹果公司不再给予其过多的关注，但仍然通过 TCC 等其他机制来对其进行限制。

image.png-1686.3kB

混淆的 AppleScript

AppleScript 能够通过 run-only 选项来生成几乎不可逆向恢复的编译后代码。在野发现的恶意软件中，有使用四字节十六进制字符编码将一个 run-only 的脚本嵌入到另一个脚本中。

image.png-1328.1kB

混淆的 AppleScript

此类脚本无法使用内置工具进行反编译，需要进行动态分析或者手动的逆向工程。想要静态检测的话，可以检测嵌入的十六进制字符和标记 AppleScript 块结尾的 Magic Number：FADE DEAD。

Poseidon 恶意软件

Poseidon 是攻击框架 Mythic 的 Golang 版本，可以使攻击者操纵失陷主机。最近一次高调的攻击，是针对 Rust 开发社区的 CreateDepression 供应链攻击。

image.png-719.2kB

Poseidon 恶意软件

左侧为源代码，右侧是反汇编代码。Poseidon 支持攻击者与失陷主机中间发送与接收文件，还支持获取按键记录、屏幕截图并进行持久化等。已编译的 Poseidon 二进制文件中的字符串具有独特的特征，很容易检测。

Sliver 恶意软件

开源框架 Sliver 被在野使用的越来越频繁，可以通过 DNS、HTTPS、双向 TLS 和 Wireguard 为攻击者提供 C&C 信道。

Sliver 二进制文件多达 10MB 甚至更多，尽管 Sliver 本身不支持混淆或加壳，但在野发现了原始与定制的 UPX 加壳方案。

image.png-2730.5kB

Sliver 恶意软件

近期发现的 macOS 恶意软件，伪装成 Apple 软件更新二进制文件并在用户的 Library LaunchAgents 文件夹中进行持久化。该攻击避免使用任何 Apple 专有软件，并使用各种免费的工具（UPX、MacDriver 与 Platypus）。

结论

以上介绍的混淆机制并不是全部，攻击者也在不断精进，研究更多、更先进的混淆方式，例如 Pirrit、Adload 与 SliverSparrow 等。

苹果仍然在尝试阻止绕过 Gatekeeper 安全设置的各种下载，预计以后会有更多的恶意软件在初始载荷中就嵌入后续的 Payload，并且结合更多的混淆和规避技术。

题外话

初入计算机行业的人或者大学计算机相关专业毕业生，很多因缺少实战经验，就业处处碰壁。下面我们来看两组数据：

2023届全国高校毕业生预计达到1158万人，就业形势严峻；
国家网络安全宣传周公布的数据显示，到2027年我国网络安全人员缺口将达327万。

一方面是每年应届毕业生就业形势严峻，一方面是网络安全人才百万缺口。

6月9日，麦可思研究2023年版就业蓝皮书（包括《2023年中国本科生就业报告》《2023年中国高职生就业报告》）正式发布。

2022届大学毕业生月收入较高的前10个专业

本科计算机类、高职自动化类专业月收入较高。2022届本科计算机类、高职自动化类专业月收入分别为6863元、5339元。其中，本科计算机类专业起薪与2021届基本持平，高职自动化类月收入增长明显，2022届反超铁道运输类专业（5295元）排在第一位。

具体看专业，2022届本科月收入较高的专业是信息安全（7579元）。对比2018届，电子科学与技术、自动化等与人工智能相关的本科专业表现不俗，较五年前起薪涨幅均达到了19%。数据科学与大数据技术虽是近年新增专业但表现亮眼，已跻身2022届本科毕业生毕业半年后月收入较高专业前三。五年前唯一进入本科高薪榜前10的人文社科类专业——法语已退出前10之列。

“没有网络安全就没有国家安全”。当前，网络安全已被提升到国家战略的高度，成为影响国家安全、社会稳定至关重要的因素之一。

网络安全行业特点

1、就业薪资非常高，涨薪快 2021年猎聘网发布网络安全行业就业薪资行业最高人均33.77万！

2、人才缺口大，就业机会多

2019年9月18日《中华人民共和国中央人民政府》官方网站发表：我国网络空间安全人才需求140万人，而全国各大学校每年培养的人员不到1.5W人。猎聘网《2021年上半年网络安全报告》预测2027年网安人才需求300W，现在从事网络安全行业的从业人员只有10W人。

行业发展空间大，岗位非常多

网络安全行业产业以来，随即新增加了几十个网络安全行业岗位︰网络安全专家、网络安全分析师、安全咨询师、网络安全工程师、安全架构师、安全运维工程师、渗透工程师、信息安全管理员、数据安全工程师、网络安全运营工程师、网络安全应急响应工程师、数据鉴定师、网络安全产品经理、网络安全服务工程师、网络安全培训师、网络安全审计员、威胁情报分析工程师、灾难恢复专业人员、实战攻防专业人员…

职业增值潜力大

网络安全专业具有很强的技术特性，尤其是掌握工作中的核心网络架构、安全技术，在职业发展上具有不可替代的竞争优势。

随着个人能力的不断提升，所从事工作的职业价值也会随着自身经验的丰富以及项目运作的成熟，升值空间一路看涨，这也是为什么受大家欢迎的主要原因。

从某种程度来讲，在网络安全领域，跟医生职业一样，越老越吃香，因为技术愈加成熟，自然工作会受到重视，升职加薪则是水到渠成之事。