最近,恶意软件研究者发现一个名为Fruitfly的macOS与OS X恶意程序,这款恶意程序至少潜伏了5年时间。据估计,已有400台左右的设备受到感染,这一数字很可能更高。
Fruitfly是一个后门,攻击者可利用其对受感染系统的进行完全控制,实现众多监视操作。
Fruitfly可以捕捉屏幕截图、按键、网络摄像头图像,并从受感染Mac偷取数据。
Patrick Wardle(Synack首席安全研究员和前NSA分析师)对Fruitfly的样本进行了分析,搭建了自定义命令和控制服务器,对FruitFly后门进行检查,它能执行shell命令、截图、控制鼠标动作、结束进程、甚至会在用户使用Mac时为攻击者发出警示信息。
随后他将在黑帽安全技术大会上公布分析结果,并公布用于分析的若干工具,其中包括一个用户模式下的进程监视器。
潜伏多年 功能强大
Wardle指出,“FruitFly采用交互性设计,它能移动鼠标、按下按钮并跟操作系统的UI元素交互。” FruitFly后门在安全分析师和安全软件的眼皮底下潜伏多年,具有很多隐秘且强大的监控能力。
”Wardle分析的FruitFly样本为一款专家们一月份在Malwarebytes上发现的恶意软件的变体,首次发现时已至少存在两年之久。
一月份该恶意软件被发现后,苹果公司更新了macOS对其进行自动检测,但macOS安全系统和杀毒产品仍然无法检测到Wardle发现的恶意软件类型。
Fruitfly恶意软件依赖早已弃用的功能,使用了原始方法保持存活,与其他Mac恶意软件相比更加容易检测。
一项提交至VirusTotal恶意软件检测服务的统计显示:57款杀毒软件中,仅有22款可以检测到Fruitfly。
通过分析Fruitfly,Wardle解密了数个硬编码备份域,幸运的是这些域仍然可用,允许对其中一个进行注册。Wardle利用注册的域建立了一个“sink hole (坑洞)”,发现有接近400台受感染Mac连接到该服务器,受害者具有不规则特征,因为他们是正常的普通用户,其中大部分来自美国,集中在美国俄亥俄州。
Wardle解释说,他可以向受感染机器发送命令,对受害者进行监视。但目前感染手段仍是未知数,他怀疑是通过诱引受害者点击恶意链接导致的。
Wardle还解释说,攻击者的真正动机不明,恶意软件无法偷取支付卡信息或发送其他恶意载荷实现获利(即勒索软件)。
总之,由于Fruitfly的选择家庭用户作为目标,研究者排除了其有意进行国家攻击的可能性。Wardle说到:“我不知道这款软件是谁在无聊打发时间还是有不正当目的,但是被一个无聊小子监视的感觉会非常糟糕,如果网络摄像头被打开,就肯定有不正当目的。
Fruitfly的创作者已经放弃开发,但研究者在分析过程中在代码中注册了很多备份CC服务器并且获得了有价值的受害者信息。Wardle向执法部门报告了这些分析结果,并未查看这些受害者信息而是将其移交给执法部门。
利用工具 降低风险
Wardle指出可以利用一些工具来降低对用户的风险。其中一些工具如BlockBlock用于检测权限维持机制,而OverSight用于检测网络摄像头警告信息。他指出并不清楚初始感染向量是什么,但他认为鉴于受害者数量较少,可能管理攻击行为的人员只有一个,而这种体量也是让它保持隐秘的原因。
TIPS:
Wardle在拉斯维加斯黑帽安全技术大会上的演讲,主题是Offensive Malware Analysis: Dissecting OSX/Fruitfly via a custom C&C Server(攻击性恶意软件分析:通过自定义C&C服务器进行的OSX/Fruitfly剖析)。
原文链接
http://securityaffairs.co/wordpress/61342/breaking-news/fruitfly-macos-backdoor.html
免责声明:
本公众号的海外版块中所有文章及图片出于传递更多信息之目的,属于非营利性的翻译转载。如无意中侵犯了某个媒体或个人的知识产权,请联系我们,我们将立即删除。其他媒体、网络或个人从本网下载使用须自负版权等法律责任。
END
596
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
