I mí an Mhárta 2019, rinneadh sampla nua de malware macOS ón gcibearghrúpa OceanLotus a uaslódáil chuig VirusTotal, seirbhís scanta ar líne a bhfuil an-tóir uirthi. Tá na cumais chéanna ag an gcomhad inrite backdoor leis an leagan roimhe seo den malware macOS a ndearna muid staidéar air, ach tá a struchtúr athraithe agus tá sé níos deacra a bhrath. Ar an drochuair, ní rabhamar in ann dropper a aimsiú a bhain leis an sampla seo, mar sin níl an veicteoir ionfhabhtaithe ar eolas againn fós.
D’fhoilsíomar le déanaí
Anailís
Déanann na chéad trí chuid eile cur síos ar an anailís ar shampla le hash SHA-1 E615632C9998E4D3E5ACD8851864ED09B02C77D2
. Tugtar an file flashlight, aimsíonn táirgí antivirus ESET é mar OSX/OceanLotus.D.
Frithdhífhabhtú agus cosaint bosca gainimh
Cosúil le gach binaries OceanLotus macOS, tá an sampla pacáistithe le UPX, ach ní aithníonn an chuid is mó d'uirlisí aitheantais pacálaithe é mar sin. Is dócha gurb é seo an fáth go bhfuil síniú iontu den chuid is mó ag brath ar láithreacht na teaghrán “UPX”, ina theannta sin, níl sínithe Mach-O chomh coitianta agus ní dhéantar iad a nuashonrú chomh minic. Déanann an ghné seo deacair a bhrath statach. Suimiúil go leor, tar éis díphacáil, tá an pointe iontrála ag tús an ailt __cfstring
sa deighleog .TEXT
. Tá tréithe bratacha ag an gcuid seo mar a thaispeántar san íomhá thíos.
Fíor 1. MACH-O __cfstring alt tréithe
Mar a léirítear i bhFíor 2, na suíomhanna cód sa rannóg __cfstring
is féidir leat roinnt uirlisí díchóimeála a bhualadh trí chód a thaispeáint mar theaghráin.
Fíor 2. Cód cúldorais braite ag an IDA mar shonraí
Nuair a dhéantar é a fhorghníomhú, cruthaíonn an dénártha snáithe mar fhrithdhífhabhtóir arb é an t-aon chuspóir atá aige seiceáil go leanúnach an bhfuil dífhabhtóir ann. Don sreabhadh seo:
- Déanann sé iarracht aon dífhabhtóir a bhaint de, ag glaoch ptrace
с PT_DENY_ATTACH
mar pharaiméadar iarratais
- Seiceálann sé an bhfuil roinnt calafort eisiach oscailte trí fheidhm a ghlaoch task_get_exception_ports
- Seiceáil an bhfuil an dífhabhtóir ceangailte, mar a thaispeántar san fhigiúr thíos, trí láithreacht na brataí a sheiceáil P_TRACED
sa phróiseas reatha
Fíor 3. An nasc dífhabhtóra a sheiceáil ag baint úsáide as an bhfeidhm sysctl
Má bhraitheann an faire láithreacht dífhabhtóir, tugtar an fheidhm exit
. Ina theannta sin, seiceálann an sampla an timpeallacht trí dhá ordú a rith:
ioreg -l | grep -e "Manufacturer" и sysctl hw.model
Seiceálann an sampla ansin an luach tuairisceáin i gcoinne liosta teaghráin le cód crua ó chórais fíorúlaithe aitheanta: acail, vmware, virtualbox nó comhthreomhar. Ar deireadh, seiceálann an chéad ordú eile an bhfuil an meaisín ar cheann de na "MBP", "MBA", "MB", "MM", "IM", "MP" agus "XS". Is cóid mhúnla córais iad seo, mar shampla, ciallaíonn “MBP” MacBook Pro, ciallaíonn “MBA” MacBook Air, etc.
system_profiler SPHardwareDataType 2>/dev/null | awk '/Boot ROM Version/ {split($0, line, ":");printf("%s", line[2]);}
Príomh bhreiseanna
Cé nár athraigh na horduithe backdoor ó thaighde Trend Micro, thugamar faoi deara roinnt modhnuithe eile. Tá na freastalaithe C&C a úsáidtear sa sampla seo sách nua agus cruthaíodh iad ar 22.10.2018/XNUMX/XNUMX.
- daff.faybilodeau[.]com
- sarc.onteagleroad[.]com
- au.charlineopkesston[.]com
Tá an URL acmhainne athraithe go /dp/B074WC4NHW/ref=gbps_img_m-9_62c3_750e6b35
.
Sa chéad phaicéad a seoladh chuig an bhfreastalaí C&C tá tuilleadh faisnéise faoin meaisín óstach, lena n-áirítear na sonraí go léir a bhailíonn na horduithe sa tábla thíos.
Chomh maith leis an athrú cumraíochta seo, ní úsáideann an sampla leabharlann le haghaidh scagadh líonra gFjMXBgyXWULmVVVzyxy
, stuáilte le nialais. Déantar gach comhad a dhíchriptiú agus a shábháil mar /tmp/store
, agus déantar iarracht é a luchtú mar leabharlann ag baint úsáide as an bhfeidhm dlopen
, na sleachta backdoor feidhmeanna onnmhairithe Boriry
и ChadylonV
, atá freagrach de réir dealraimh as cumarsáid líonra leis an bhfreastalaí. Níl an dropper nó comhaid eile againn ó shuíomh bunaidh an tsampla, mar sin ní féidir linn an leabharlann seo a pharsáil. Ina theannta sin, ós rud é go bhfuil an chomhpháirt criptithe, ní bheidh riail YARA bunaithe ar na teaghráin seo ag teacht leis an gcomhad a fhaightear ar diosca.
Mar a thuairiscítear san alt thuas, cruthaíonn sé ID cliant. Is é an t-aitheantas seo an hash MD5 de luach aischuir ceann amháin de na horduithe seo a leanas:
- ioreg -rd1 -c IOPlatformExpertDevice | awk '/IOPlatformSerialNumber/ { split($0, line, """); printf("%s", line[4]); }'
- ioreg -rd1 -c IOPlatformExpertDevice | awk '/IOPlatformUUID/ { split($0, line, """); printf("%s", line[4]); }'
- ifconfig en0 | awk '/ether /{print $2}'
(faigh seoladh MAC)
- foireann anaithnid ("x1ex72x0a
"), a úsáidtear i samplaí roimhe seo
Roimh hashing, cuirtear "0" nó "1" leis an luach fillte chun bunphribhléidí a chur in iúl. seo ID cliant stóráilte i /Library/Storage/File System/HFS/25cf5d02-e50b-4288-870a-528d56c3cf6e/pivtoken.appex
, má tá an cód á rith mar fhréamh nó i ~/Library/SmartCardsServices/Technology/PlugIns/drivers/snippets.ecgML i ngach cás eile. Tá an comhad i bhfolach de ghnáth ag baint úsáide as an fheidhm touch –t
le luach randamach.
Teaghráin díchódaithe
Mar a bhí le roghanna roimhe seo, déantar na teaghráin a chriptiú le AES-256-CBC (eochair heicsidheachúlach: 9D7274AD7BCEF0DED29BDBB428C251DF8B350B92
padded le nialais, agus IV líonadh le nialais) tríd an fheidhm
Eolas ar an fhréamhshamhail feidhme díchriptigh, aimsíonn an script gach crostagairt don fheidhm seo, gach argóint, ansin díchriptíonn sé na sonraí agus cuireann sé gnáth-théacs taobh istigh de nóta tráchta ag an seoladh crostagartha. Le go n-oibreoidh an script i gceart, ní mór é a shocrú don aibítir saincheaptha a úsáideann an fheidhm díchódaithe base64, agus ní mór athróg dhomhanda a shainiú ina bhfuil fad na heochrach (DWORD sa chás seo, féach Fíor 4).
Fíor 4. Sainmhíniú ar an athróg dhomhanda key_len
I bhfuinneog na Feidhme, is féidir leat cliceáil ar dheis ar an bhfeidhm díchriptithe agus cliceáil "Sliocht agus díchriptiú argóintí." Ba cheart go gcuirfeadh an script na línte díchriptithe i dtuairimí, mar a thaispeántar i bhFíor 5.
Fíor 5. Cuirtear an téacs díchriptithe sna tuairimí
Ar an mbealach seo cuirtear na teaghráin dhíchriptithe le chéile go háisiúil i bhfuinneog an IDA xrefs don fheidhm seo mar a thaispeántar i bhFíor 6.
Fíor 6. Feidhm Xrefs go f_decrypt
Is féidir an script deiridh a fháil ag
Aschur
Mar a luadh cheana, tá OceanLotus ag feabhsú agus ag nuashonrú a fhoireann uirlisí i gcónaí. An uair seo, d'fheabhsaigh an cibearghrúpa an malware chun oibriú le húsáideoirí Mac. Níor athraigh an cód mórán, ach ós rud é go ndéanann go leor úsáideoirí Mac neamhaird ar tháirgí slándála, tá tábhacht thánaisteach ag baint le malware a chosaint ó bhrath.
Bhí an comhad seo á bhrath ag táirgí ESET cheana féin tráth an taighde. Toisc go bhfuil an leabharlann líonra a úsáidtear le haghaidh cumarsáide C&C criptithe ar diosca anois, níl an prótacal líonra cruinn a úsáideann na hionsaitheoirí ar eolas go fóill.
Indikatorы comprometации
Tá táscairí comhréitigh chomh maith le tréithe MITER ATT&CK ar fáil freisin ar
Foinse: will.com