本文将分析的样本是OSX.TinyShell的变种:TinyTim。早在2018年,我就发现有攻击者正在使用Tiny SHell的改良版。这个后门(Tiny SHell,是开放源码的)的运行方式类似于SSH的可疑版本。虽然我已经有一段时间没有遇到新的示例了,但是我完全相信攻击者仍然在使用它。
目前,尚未有专门的文章讨论讨论有关该恶意软件的技术细节。这可能是因为实际上,它相对于其开源形式几乎没有什么变化,但是这些修改的确使我们能够通过多种方式检测其独特性。由于该恶意软件已被恶意行为者修改,因此称其为Tiny SHell似乎并不准确。因此,我将这个特定的修改版本称为“TinyTim”(因为我开始尝试在假期前后撰写此博客文章,并将发布拖到现在为止)。
本文中使用的样本可以在VirusTotal上找到(SHA256:8029e7b12742d67fe13fcd53953e6b03ca4fa09b1d5755f8f8289eac08366efc)。
在VirusTotal页面上,你会注意到许多反病毒扫描程序将其标记为OSX.Keydnap,但我不知道这种联系是如何产生的,因为我看不到它们之间的共同点。
发现过程
第一次观察表明,这个恶意软件是由开发人员签名的。我不知道这是一个合法的被盗的签名证书,奇热还是它是由攻击者创建和拥有的。这很有趣,因为恶意软件通常仅用于攻击Gatekeeper的签名。正如我之前发现的那样,这个恶意软件是通过SSH使用受攻击的凭证在受害系统上释放的。也许攻击者是有意使用带符号的二进制代码来进行混合(因为macOS上的大多数二进制代码都是带符号的)。使用macOS的代码签名实用程序,我们可以转储恶意软件的代码签名信息:
如上所述,我们今天看到的这种变体是直接基于开源Tiny SHell后门的。Tiny SHell源代码进行的主要更改之一是添加了一个称为MyDecode的函数,攻击者使用此函数对二进制文件内的某些“敏感”字符串进行编码。如果我们想对这里发生的事情有个更好的了解,就必须在Hopper等反汇编程序中打开它。
在main函数内部,第一个检查显示TinyTim添加了一些基本的反调试函数。在开始时,我们看到ptrace与ptrace_deny_attach参数一起使用,如果程序在附加到调试器时执行,ptrace_deny_attach参数将立即关闭程序,我们必须记住这一点。
在检查调试器是否存在之后,它调用getuid,它返回执行程序的用户的用户ID。在这种情况下,恶意软件会检查根用户的UID是否为0。在这两种情况下,MyDecode函数最终运行在一个看起来像是乱码的字符串上。如果我们在左边的标签中选择_MyDecode并按下x,则可以很好地看到引用此函数的所有位置:
main调用11个,tshd_runshell调用2个,显然,这个恶意软件经常依赖于这个函数。如果我们把Hopper视图切换