mac以管理员身份运行文件_没想到,真的可以有 | 一个可以在Mac上运行、窃取信息并下载广告软件的EXE文件...

于 2020-11-28 15:10:57 发布
阅读量509 收藏
点赞数
文章标签: mac以管理员身份运行文件 mac解压错误22无效的参数 sqlserver安装程序在运行windows installer windows上dmg转换cdr 如何让一个exe文件开机自启动 安卓运行exe文件

ef22a3661a28c1c0bdc108e7a302c79f.gif

EXE是用于Windows的官方可执行文件格式,仅在Windows平台上运行。默认情况下,试图在Mac或Linux操作系统上运行EXE文件都是不可行的。

然而近日,trendmicro在野外发现了一种EXE文件,其恶意payload能够绕过Mac的内置保护机制(比如Gatekeeper),原因是Gatekeeper仅检查本机Mac文件而不会检查EXE文件,因此该EXE文件能轻易绕过编码签名检查和验证的步骤。当前并没有观察达到具体的攻击模式,但我们的遥测数据显示,在英国、澳大利亚、亚美尼亚、卢森堡、南非和美国等国家,感染已经有蔓延开的趋势。

8f51656bee01981b9aced6d57abf58fc.png表现

我们检查的样本是Mac和Windows上流行的防火墙应用程序Little Snitch的安装程序,可以从各种torrent网站上下载。.NET编译的Windows可执行文件的名称如下:

· Paragon_NTFS_for_Mac_OS_Sierra_Fully_Activated.zip

· Wondershare_Filmora_924_Patched_Mac_OSX_X.zip

· LennarDigital_Sylenth1_VSTi_AU_v3_203_MAC_OSX.zip

· Sylenth1_v331_Purple_Skin__Sound_Radix_32Lives_v109.zip

· TORRENTINSTANT.COM+ - + Traktor_Pro_2_for_MAC_v321.zip

· Little_Snitch_583_MAC_OS_X.zip

解压缩下载的.ZIP文件时,发现它包含一个托管Little Snitch安装程序的.DMG文件。

c57a97170d4316600ee1991bc021fdef.png

图1.从解压的Windows可执行文件中发现的文件示例

b4e3ef065633d0cd6371d4528edb7563.png

图2.对.DMG样本分析后,发现其中包含Little Snitch的安装程序

检查安装程序内容后,我们发现该应用程序中捆绑的.EXE文件存在异常,该文件后被验证为负责恶意payload的Windows可执行文件。

851a2d46c8e04d8ad0ee61a570e126ed.png

图3.该Mac应用程序中绑定的可疑的.EXE文件

当安装程序执行时,主文件也会启动可执行文件,因为它是由包中包含的mono框架启用的,该框架允许跨平台(如OSX)执行Microsoft . net应用程序。

运行后,该恶意软件会收集下列的系统信息:

· ModelName

· ModelIdentifier

· ProcessorSpeed

· ProcessorDetails

· NumberofProcessors

· NumberofCores

· Memory

· BootROMVersion

· SMCVersion

· SerialNumber

· UUID

在/Application目录下,该恶意软件还扫描所有基础和已安装的应用程序,并将所有信息发送到C&C服务器:

· App Store.app

· Automator.app

· Calculator.app

· Calendar.app

· Chess.app

· Contacts.app

· DVD Player.app

· Dashboard.app

· FaceTime.app

· Font Book.app

· Image Capture.app

· iTunes.app

· Launchpad.app

· Mail.app

· Maps.app

· Messages.app

· Mission Control.app

· Notes.app

· Photo Booth.app

· Photos.app

· Preview.app

· QuickTime Player.app

· Reminders.app

· Safari.app

· Siri.app

· Stickies.app

· System Preferences.app

· TextEdit.app

· Time Machine.app

· UtilitiesiBooks.app

接着,它能从互联网上下载以下文件并保存到目录~/Library/X2441139MAC/Temp/:

· hxxp: / /install.osxappdownload.com/download/mcwnet

· hxxp: / /reiteration-a.akamaihd.net/INSREZBHAZUIKGLAASDZFAHUYDWNBYTRWMFSOGZQNJYCAP/FlashPlayer.dmg

· hxxp:/ /cdn.macapproduct.com/installer/macsearch.dmg

ebeda67b21ff56f6d759b3a8fcd5e031.png

图4.目录中的保存已下载文件。

这些.DMG文件会在准备就绪后立即安装和执行,并在执行期间显示PUA。

d6677f9a2bca658c4fcc09c008d9996f.png

图5.一个广告软件正假装成一个常见的应用程序进行下载

cdb9504d3d87ebee09f2c3149f43151a.png

图6.运行文件时显示的一个PUA

此恶意软件专门针对Mac用户,当在Windows中运行时会显示错误警告。

7e4e3c56684cd8739528aa244146c369.png

图7.在Windows中执行此安装程序时发出的错误警告

目前,在其他非windows系统(如MacOS)上运行EXE通常需要在系统中安装mono框架来编译或加载可执行文件和库。然而,在此类情况下,攻击者利用了EXE不是MacOS安全功能可识别的二进制可执行文件这一特性,将文件与mono框架绑定,继而绕过了检测系统。至于Windows和MacOS之间的本机库差异,mono框架能支持DLL映射,进而支持从Windows到MacOS的对应关系。

004d8a9cc784cda2b06ef3971b74b62b.png结论

我们推测该恶意软件可以作为一种逃避技术,绕过一些内置的安全措施,用于其他攻击或感染,比如绕过数字认证检查。至少在当前,MacOS安全功能无法识别EXE的这一特性不被更改的情况下,我们认为网络犯罪分子仍在研究这款捆绑在app和torrent网站上的恶意软件的发展机会,因此我们将继续调查网络犯罪分子如何使用这些信息和程序。用户应避免或避免从未经验证的来源和网站下载文件、程序和软件,并应为其个人和企业系统安装多层保护机制。

0ba2092cb43e8472c1d589b149934054.png

f4acd09a7c02556a86201d8b2b86a676.png

weixin_39616056
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值