恶意软件概况
-
OSX.Mokes.a.后门木马是最新发现的OS X的变种,它是一个跨平台的后门程序,能够在几大主要操作系统(Windows,Linux,OS X)中运行。请参阅我们关于Windows和Linux的变种的分析。
-
该恶意软件Home族能够窃取各类从受害者的机器窃取不同类型的数据(截图、音频/视频捕捉、办公文件、按键)
-
此后门程序也能在受害者的计算机上执行任意命令。
-
为了感染,它使用AES-256-CBC强加密。
背景
回归今年一月,我们发现了一个桌面环境的跨平台后门的新家族。在发现Linux和Windows系统的二进制文件后,我们现在终于出现OS X版本的Mokes.a。这是使用Qt编写的C++,Qt是一个跨平台应用框架,它能静态链接到OpenSSL。这形成了约14 MB大小的文件。接下来,让我们把玩下非常新鲜的样品。
OSX.Mokes.a后门Unpacked
到手的文件名叫做“unpacked”,但我们假设在ItW (In-the-Wild)它是packed的,就像它的Linux变种。
OSX.Mokes.a后门 ,Mach-O x86_64文件类型。
启动
当第一次执行时,该恶意软件最有可能将自己复制到以下的位置,顺序由上到下:
$Home/Library/应用商店/ storeuserd
$Home/Library/com.apple.spotlight/spotlighthelper
$Home/Library/Dock/ com.apple.dock.cache
$Home/Library/ Skype / skypehelper
$Home/Library/ Dropbox / dropboxcache
$Home/Library/Google/Chrome/ nacld
$Home/Library/Firefox/Profiles/profiled
连接到对应的位置,它创建了一个plist文件来实现在此系统的持续运作:
现在,是时候来建立其与C&C服务器的第一连接,使用HTTP在TCP端口80的服务器。
HTTP连接转储
用户代理字符串是二进制文件和服务器应答中的硬编码,以208字节长的“text/html”内容回复此“心跳”的要求。然后此二进制文件在TCP端口443建立加密连接,使用AES-256-CBC算法。
_AES_set_encrypt_key
后门功能
下一个任务是设置后门功能:
EKoms用户活动方法
捕获音频
音频捕捉会话方法
监控移动存储
可移动存储监控服务方法
捕获屏幕(每30秒)
开始屏幕捕获
扫描办公文件的文件系统(XLS,XLSX,DOC,DOCX)
十六进制转储文件过滤器
攻击者控制的C&C服务器也能够定义自己的文件过滤器,以加强对文件系统的监控,以及在系统上执行任意命令。
正如在其他平台上,如果C&C服务器不可用,该恶意软件创建几个包含所收集数据的临时文件。
$TMPDIR/ ss0-ddmmyy-hhmmss-nnn.sst tmpdir(截图)
$TMPDIR/ aa0-ddmmyy-hhmmss-nnn.aat tmpdir(音频抓取)
$TMPDIR/ kk0-ddmmyy-hhmmss-nnn.kkt tmpdir(keylogs)
$TMPDIR/ dd0-ddmmyy-hhmmss-nnn.ddt tmpdir(任意数据)
DDMMyy = 日期: 070916 = 2016-09-07
HHmmss = 时间: 154411 = 15:44:11
nnn = 毫秒
如果未定义环境变量$TMPDIR,将”/tmp”作为定位 (http://doc.qt.io/qt-4.8/qdir.html#tempPath)
作者的暗示
该恶意软件的作者再次留下了一供些参考的源文件:
源文件引用
检测
我们检测这种恶意软件为: HEUR:Backdoor.OSX.Mokes.a
输入/输出控制系统(IOCs)
哈希散列:
664e0a048f61a76145b55d1f1a5714606953d69edccec5228017eb546049dc8c
文件夹:
$HOME/Library/App Store/storeuserd
$HOME/Library/com.apple.spotlight/SpotlightHelper
$HOME/Library/Dock/com.apple.dock.cache
$HOME/Library/Skype/SkypeHelper
$HOME/Library/Dropbox/DropboxCache
$HOME/Library/Google/Chrome/nacld
$HOME/Library/Firefox/Profiles/profiled
$HOME/Library/LaunchAgents/$filename.plist
$TMPDIR/ss*-$date-$time-$ms.sst
$TMPDIR/aa*-$date-$time-$ms.aat
$TMPDIR/kk*-$date-$time-$ms.kkt
$TMPDIR/dd*-$date-$time-$ms.ddt
主机:
158.69.241[.]141
jikenick12and67[.]com
cameforcameand33212[.]com
用户代理:
Mozilla/5.0 (Macintosh; Intel Mac OS X 10_9_3) AppleWebKit/537.75.14 (KHTML, like Gecko) Version/7.0.3 Safari/7046A194A
作者:柠檬
链接:http://www.bugbank.cn/news/detail/57d2693aa5fde7de48f912a5.html
来源:漏洞银行
著作权归作者所有。商业转载请联系作者获得授权,非商业转载请注明出处。