歡迎來到 黑吧安全網 聚焦網絡安全前沿資訊,精華內容,交流技術心得!

對2019全年的Mac惡意軟件的全面分析(BirdMiner,Netwire,Mokes.B)

來源:本站整理 作者:佚名 時間:2020-01-19 TAG: 我要投稿

OSX.BirdMiner(OSX.LoudMiner)
BirdMiner(LoudMiner)提供了基于Linux的cryptominer,可通過QEMU仿真在macOS上運行。
感染媒介:盜版軟件
BirdMiner是通過“VST Crack”網站上的盜版(破解)應用程序傳播的,Mac惡意軟件分析師已經在高端音樂制作軟件Ableton Live的破解安裝程序中發現了Bird Miner。
ESET也分析了惡意軟件,并討論了它的感染機制。具體來說,他們的研究發現了將近100個與數字音頻/虛擬演播室技術(VST)有關的盜版應用程序,例如,破解的Ableton Live軟件包可能包含BirdMiner惡意軟件。
當然,下載并安裝了這些盜版應用程序的用戶將被惡意軟件感染。
請注意,下載的軟件包(Ableton Live Suite 10.1.pkg)是未簽名的,因此將被macOS阻止:

但有趣的是,Instructions.txt文件明確告訴用戶如何手動繞過這個保護。不過你有可能受到以下消息:
1.無法打開,因為它來自身份不明的開發人員。
2.進入:“系統偏好設置”>“安全性和隱私”>“常規”,然后通過“始終打開”來“允許”安裝。
持久性攻擊的能力來自啟動守護程序
被OSX.BirdMiner感染的盜版應用程序之一是Ableton Live,它是macOS的數字音頻工作站。被感染的應用程序作為標準磁盤映像傳播; Ableton.Live.10.Suite.v10.1.dmg
當安裝磁盤映像并執行應用程序安裝程序(Ableton Live Suite 10.1.pkg)時,它將首先請求用戶的憑據:

現在,具有根權限的BirdMiner可以持久化多個啟動守護進程。這可以通過Objective-See的FileMonitor實用工具觀察到:
{
  "event": "ES_EVENT_TYPE_NOTIFY_CREATE",
  "timestamp": "2019-12-03 06:36:21 +0000",
  "file": {
    "destination": "/Library/LaunchDaemons/com.decker.plist",
    "process": {
      "pid": 1073,
      "path": "/bin/cp",
      "uid": 0,
      "arguments": [],
      "ppid": 1000,
      "ancestors": [1000, 986, 969, 951, 1],
      "signing info": {
        "csFlags": 603996161,
        "signatureIdentifier": "com.apple.cp",
        "cdHash": "D2E8BBC6DB7E2C468674F829A3991D72AA196FD",
        "isPlatformBinary": 1
      }
    }
  }
}
...
{
  "event": "ES_EVENT_TYPE_NOTIFY_CREATE",
  "timestamp": "2019-12-03 06:36:21 +0000",
  "file": {
    "destination": "/Library/LaunchDaemons/com.tractableness.plist",
    "process": {
      "pid": 1077,
      "path": "/bin/cp",
      "uid": 0,
      "arguments": [],
      "ppid": 1000,
      "ancestors": [1000, 986, 969, 951, 1],
      "signing info": {
        "csFlags": 603996161,
        "signatureIdentifier": "com.apple.cp",
        "cdHash": "D2E8BBC6DB7E2C468674F829A3991D72AA196FD",
        "isPlatformBinary": 1
      }
    }
  }
}
屬性列表的名稱(com.decker.plist,com.tractableness.plist)和它們持久保存的文件的名稱是隨機生成的。有關更多詳細信息,請參見此文。
com.decker.plist啟動守護程序將持久保存一個名為vicontiel的文件(位于/ usr / local / bin /中):
# defaults read /Library/LaunchDaemons/com.decker.plist
{
    KeepAlive = 1;
    Label = "com.decker.plist";
    ProgramArguments =     (
        "/usr/local/bin/vicontiel"
    );
    RunAtLoad = 1;
}
同樣,com.tractableness.plist啟動守護程序會保留一個名為Tortulaceae的文件(同樣在/ usr / local / bin /中):
# defaults read /Library/LaunchDaemons/com.tractableness.plist

[1] [2] [3] [4] [5]  下一頁

【聲明】:黑吧安全網(http://www.650547.live)登載此文出于傳遞更多信息之目的,并不代表本站贊同其觀點和對其真實性負責,僅適于網絡安全技術愛好者學習研究使用,學習中請遵循國家相關法律法規。如有問題請聯系我們,聯系郵箱[email protected],我們會在最短的時間內進行處理。
  • 最新更新
    • 相關閱讀
      • 本類熱門
        • 最近下載
        安徽快3自由的百科 快三河南开奖结果今天 大乐透走势 股票跌黄金涨 江西快三下期预测 秒速时时彩在线预测 11选5中奖号码走势图 十一选五开奖宁夏规则 疯狂飞艇官网 体彩电子投注单怎么扫码出票 在哪可以玩江西快三