首页 >新闻 > 科技 > 内容

新发现的Mac恶意软件使用无文件技术来保持隐秘

科技 2019-12-09 15:14:24

据信正在为朝鲜政府工作的黑客利用最近发现的MAC特洛伊木马程序来提升他们的游戏,该特洛伊木马程序使用内存中的执行来保持隐身。

内存中的执行,也称为无文件感染,从不将任何东西写入计算机硬盘.相反,它直接将恶意代码加载到内存中,并从那里执行它。该技术是规避防病毒保护的有效方法,因为没有任何文件需要分析或标记为可疑文件。

记忆中的感染曾经是国家资助的攻击者的唯一省份。到2017年,更先进的出于财务动机的黑客已经采用了这项技术。自那时以来,这种情况变得越来越普遍。

恶意软件并非完全没有文件。第一阶段是一个加密货币应用程序,文件名为UnionCryptoTrader.dmg。当它在本周早些时候首次被发现时,57个防病毒产品中只有两个发现它是可疑的。上周五,根据VirusTotal的数据,检测只有轻微的改进,57种产品中有17种已经失效。

一旦被执行,该文件使用安装后二进制,根据由企业Mac软件提供商Jamf的Mac安全专家帕特里克·沃德尔的详细分析,可以执行以下操作:

其结果是一个名为unioncryptoupdate的恶意二进制文件,它作为根用户运行,具有“持久性”,这意味着它能够继续重新启动,以确保其不断运行。

Wardle说,安装一个发射守护进程,其plist和二进制文件被隐藏在应用程序的资源目录中,这是一种与Lazarus相匹配的技术。Lazarus是许多研究人员和情报人员为朝鲜黑客组织使用的名称。另一款名为AppleJeus的Mac恶意软件也做了同样的事情。

与朝鲜有关的另一个特点是对加密货币的兴趣。正如美国财政部(US Department Of Treasury)9月份报道的那样,行业组织发现了证据,表明朝鲜黑客从交易所窃取了价值数亿美元的加密货币,试图为朝鲜的核武器开发项目提供资金。


Wardle写道:“由于内存进程映像的布局与磁盘映像不同,所以不能简单地将文件复制到内存中并直接执行。”“相反,必须调用API,如NSCreateObjectFileImageFromMemory和NSLinkModule(它们负责准备内存中的映射和链接)。”

Wardle无法获得第二阶段有效载荷的副本,因此不清楚它是做什么的。鉴于文件和域名中的加密货币主题--以及朝鲜黑客对窃取数字硬币的关注--这是一个不错的押注,即后续感染被用来获取钱包或类似资产。

Wardle本周早些时候分析了恶意软件时,HXXPS的控制服务器://工会密码[.]VIP/仍然在线,但它响应了一个0,它向受感染的计算机发出信号,没有其他有效负载可用。到周五,域名不再对ping做出响应。

与安装应用程序时的典型情况一样,MacOS还要求用户输入他们的Mac密码。这不是自动提示可疑的事情正在发生,但它确实阻止了第一阶段的安装通过驱动器或其他秘密的方法。


郑重声明:本文版权归原作者所有,转载文章仅为传播更多信息之目的,如作者信息标记有误,请第一时候联系我们修改或删除,多谢。