I mí an Mhárta 2019, rinneadh sampla nua de malware macOS ón gcibearghrúpa OceanLotus a uaslódáil chuig VirusTotal, seirbhís scanta ar líne a bhfuil an-tóir uirthi. Tá na cumais chéanna ag an gcomhad inrite backdoor leis an leagan roimhe seo den malware macOS a ndearna muid staidéar air, ach tá a struchtúr athraithe agus tá sé níos deacra a bhrath. Ar an drochuair, ní rabhamar in ann dropper a aimsiú a bhain leis an sampla seo, mar sin níl an veicteoir ionfhabhtaithe ar eolas againn fós.
D’fhoilsíomar le déanaí agus conas atá oibreoirí ag iarraidh dianseasmhacht a sholáthar, forghníomhú cód a bhrostú, agus lorg ar chórais Windows a íoslaghdú. Tá sé ar eolas freisin go bhfuil comhpháirt ag an gcibearghrúpa seo le haghaidh macOS. Sonraíonn an postáil seo na hathruithe ar an leagan is déanaí den malware do macOS i gcomparáid leis an leagan roimhe seo (), agus cuireann sé síos freisin ar conas is féidir leat díchriptiú teaghráin a uathoibriú le linn anailíse ag baint úsáide as an IDA Hex-Rays API.
Anailís
Déanann na chéad trí chuid eile cur síos ar an anailís ar shampla le hash SHA-1 E615632C9998E4D3E5ACD8851864ED09B02C77D2. Tugtar an file flashlight, aimsíonn táirgí antivirus ESET é mar OSX/OceanLotus.D.
Frithdhífhabhtú agus cosaint bosca gainimh
Cosúil le gach binaries OceanLotus macOS, tá an sampla pacáistithe le UPX, ach ní aithníonn an chuid is mó d'uirlisí aitheantais pacálaithe é mar sin. Is dócha gurb é seo an fáth go bhfuil síniú iontu den chuid is mó ag brath ar láithreacht na teaghrán “UPX”, ina theannta sin, níl sínithe Mach-O chomh coitianta agus ní dhéantar iad a nuashonrú chomh minic. Déanann an ghné seo deacair a bhrath statach. Suimiúil go leor, tar éis díphacáil, tá an pointe iontrála ag tús an ailt __cfstring sa deighleog .TEXT. Tá tréithe bratacha ag an gcuid seo mar a thaispeántar san íomhá thíos.
Fíor 1. MACH-O __cfstring alt tréithe
Mar a léirítear i bhFíor 2, na suíomhanna cód sa rannóg __cfstring is féidir leat roinnt uirlisí díchóimeála a bhualadh trí chód a thaispeáint mar theaghráin.
Fíor 2. Cód cúldorais braite ag an IDA mar shonraí
Nuair a dhéantar é a fhorghníomhú, cruthaíonn an dénártha snáithe mar fhrithdhífhabhtóir arb é an t-aon chuspóir atá aige seiceáil go leanúnach an bhfuil dífhabhtóir ann. Don sreabhadh seo:
- Déanann sé iarracht aon dífhabhtóir a bhaint de, ag glaoch ptrace с PT_DENY_ATTACH mar pharaiméadar iarratais
- Seiceálann sé an bhfuil roinnt calafort eisiach oscailte trí fheidhm a ghlaoch task_get_exception_ports
- Seiceáil an bhfuil an dífhabhtóir ceangailte, mar a thaispeántar san fhigiúr thíos, trí láithreacht na brataí a sheiceáil P_TRACED sa phróiseas reatha
Fíor 3. An nasc dífhabhtóra a sheiceáil ag baint úsáide as an bhfeidhm sysctl
Má bhraitheann an faire láithreacht dífhabhtóir, tugtar an fheidhm exit. Ina theannta sin, seiceálann an sampla an timpeallacht trí dhá ordú a rith:
ioreg -l | grep -e "Manufacturer" и sysctl hw.model
Seiceálann an sampla ansin an luach tuairisceáin i gcoinne liosta teaghráin le cód crua ó chórais fíorúlaithe aitheanta: acail, vmware, virtualbox nó comhthreomhar. Ar deireadh, seiceálann an chéad ordú eile an bhfuil an meaisín ar cheann de na "MBP", "MBA", "MB", "MM", "IM", "MP" agus "XS". Is cóid mhúnla córais iad seo, mar shampla, ciallaíonn “MBP” MacBook Pro, ciallaíonn “MBA” MacBook Air, etc.
system_profiler SPHardwareDataType 2>/dev/null | awk '/Boot ROM Version/ {split($0, line, ":");printf("%s", line[2]);}
Príomh bhreiseanna
Cé nár athraigh na horduithe backdoor ó thaighde Trend Micro, thugamar faoi deara roinnt modhnuithe eile. Tá na freastalaithe C&C a úsáidtear sa sampla seo sách nua agus cruthaíodh iad ar 22.10.2018/XNUMX/XNUMX.
- daff.faybilodeau[.]com
- sarc.onteagleroad[.]com
- au.charlineopkesston[.]com
Tá an URL acmhainne athraithe go /dp/B074WC4NHW/ref=gbps_img_m-9_62c3_750e6b35.
Sa chéad phaicéad a seoladh chuig an bhfreastalaí C&C tá tuilleadh faisnéise faoin meaisín óstach, lena n-áirítear na sonraí go léir a bhailíonn na horduithe sa tábla thíos.
Chomh maith leis an athrú cumraíochta seo, ní úsáideann an sampla leabharlann le haghaidh scagadh líonra , ach leabharlann sheachtrach. Chun é a aimsiú, déanann an backdoor iarracht gach comhad sa chomhadlann reatha a dhíchriptiú ag baint úsáide as AES-256-CBC leis an eochair gFjMXBgyXWULmVVVzyxy, stuáilte le nialais. Déantar gach comhad a dhíchriptiú agus a shábháil mar /tmp/store, agus déantar iarracht é a luchtú mar leabharlann ag baint úsáide as an bhfeidhm . Nuair a bhíonn glao rathúil mar thoradh ar iarracht díchriptithe dlopen, na sleachta backdoor feidhmeanna onnmhairithe Boriry и ChadylonV, atá freagrach de réir dealraimh as cumarsáid líonra leis an bhfreastalaí. Níl an dropper nó comhaid eile againn ó shuíomh bunaidh an tsampla, mar sin ní féidir linn an leabharlann seo a pharsáil. Ina theannta sin, ós rud é go bhfuil an chomhpháirt criptithe, ní bheidh riail YARA bunaithe ar na teaghráin seo ag teacht leis an gcomhad a fhaightear ar diosca.
Mar a thuairiscítear san alt thuas, cruthaíonn sé ID cliant. Is é an t-aitheantas seo an hash MD5 de luach aischuir ceann amháin de na horduithe seo a leanas:
- ioreg -rd1 -c IOPlatformExpertDevice | awk '/IOPlatformSerialNumber/ { split($0, line, """); printf("%s", line[4]); }'
- ioreg -rd1 -c IOPlatformExpertDevice | awk '/IOPlatformUUID/ { split($0, line, """); printf("%s", line[4]); }'
- ifconfig en0 | awk '/ether /{print $2}' (faigh seoladh MAC)
- foireann anaithnid ("x1ex72x0a"), a úsáidtear i samplaí roimhe seo
Roimh hashing, cuirtear "0" nó "1" leis an luach fillte chun bunphribhléidí a chur in iúl. seo ID cliant stóráilte i /Library/Storage/File System/HFS/25cf5d02-e50b-4288-870a-528d56c3cf6e/pivtoken.appex, má tá an cód á rith mar fhréamh nó i ~/Library/SmartCardsServices/Technology/PlugIns/drivers/snippets.ecgML i ngach cás eile. Tá an comhad i bhfolach de ghnáth ag baint úsáide as an fheidhm , athraítear a stampa ama ag baint úsáide as an ordú touch –t le luach randamach.
Teaghráin díchódaithe
Mar a bhí le roghanna roimhe seo, déantar na teaghráin a chriptiú le AES-256-CBC (eochair heicsidheachúlach: 9D7274AD7BCEF0DED29BDBB428C251DF8B350B92 padded le nialais, agus IV líonadh le nialais) tríd an fheidhm . Tá an eochair athraithe ó leaganacha roimhe seo, ach ós rud é go n-úsáideann an grúpa an t-algartam criptithe teaghrán céanna fós, is féidir an díchriptiú a uathoibriú. Chomh maith leis an bpost seo, táimid ag scaoileadh script IDA a úsáideann an Hex-Rays API chun na teaghráin atá sa chomhad dénártha a dhíchriptiú. D'fhéadfadh an script seo cabhrú le hanailís amach anseo ar OceanLotus agus anailís ar shamplaí atá ann cheana féin nach bhfuil muid in ann a fháil go fóill. Tá an script bunaithe ar mhodh uilíoch chun argóintí a chuirtear ar aghaidh chuig feidhm a fháil. Ina theannta sin, féachann sé suas tascanna paraiméadar. Is féidir an modh a athúsáid chun liosta argóintí feidhme a fháil agus ansin é a chur ar aghaidh chuig an aisghlao.
Eolas ar an fhréamhshamhail feidhme díchriptigh, aimsíonn an script gach crostagairt don fheidhm seo, gach argóint, ansin díchriptíonn sé na sonraí agus cuireann sé gnáth-théacs taobh istigh de nóta tráchta ag an seoladh crostagartha. Le go n-oibreoidh an script i gceart, ní mór é a shocrú don aibítir saincheaptha a úsáideann an fheidhm díchódaithe base64, agus ní mór athróg dhomhanda a shainiú ina bhfuil fad na heochrach (DWORD sa chás seo, féach Fíor 4).
Fíor 4. Sainmhíniú ar an athróg dhomhanda key_len
I bhfuinneog na Feidhme, is féidir leat cliceáil ar dheis ar an bhfeidhm díchriptithe agus cliceáil "Sliocht agus díchriptiú argóintí." Ba cheart go gcuirfeadh an script na línte díchriptithe i dtuairimí, mar a thaispeántar i bhFíor 5.
Fíor 5. Cuirtear an téacs díchriptithe sna tuairimí
Ar an mbealach seo cuirtear na teaghráin dhíchriptithe le chéile go háisiúil i bhfuinneog an IDA xrefs don fheidhm seo mar a thaispeántar i bhFíor 6.
Fíor 6. Feidhm Xrefs go f_decrypt
Is féidir an script deiridh a fháil ag .
Aschur
Mar a luadh cheana, tá OceanLotus ag feabhsú agus ag nuashonrú a fhoireann uirlisí i gcónaí. An uair seo, d'fheabhsaigh an cibearghrúpa an malware chun oibriú le húsáideoirí Mac. Níor athraigh an cód mórán, ach ós rud é go ndéanann go leor úsáideoirí Mac neamhaird ar tháirgí slándála, tá tábhacht thánaisteach ag baint le malware a chosaint ó bhrath.
Bhí an comhad seo á bhrath ag táirgí ESET cheana féin tráth an taighde. Toisc go bhfuil an leabharlann líonra a úsáidtear le haghaidh cumarsáide C&C criptithe ar diosca anois, níl an prótacal líonra cruinn a úsáideann na hionsaitheoirí ar eolas go fóill.
Indikatorы comprometации
Tá táscairí comhréitigh chomh maith le tréithe MITER ATT&CK ar fáil freisin ar .
Foinse: will.com