Na Machị 2019, ebugoro ihe nlele ọhụrụ nke macOS malware sitere na otu cyber OceanLotus na VirusTotal, ọrụ nyocha n'ịntanetị ama ama. Faịlụ nwere ike imegharị azụ nwere otu ikike dị ka ụdị nke macOS malware anyị mụrụ na mbụ, mana usoro ya agbanweela ma ọ na-esiwanye ike ịchọpụta. N'ụzọ dị mwute, anyị enweghị ike ịchọta dropper jikọtara ya na nlele a, yabụ na anyị amabeghị vector ọrịa.
Anyị bipụtara na nso nso a
Анализ
Akụkụ atọ ndị na-esote na-akọwa nyocha nke nlele na hash SHA-1 E615632C9998E4D3E5ACD8851864ED09B02C77D2
. A na-akpọ faịlụ ahụ ọkụ ọkụ, ESET antivirus ngwaahịa na-achọpụta ya dị ka OSX/OceanLotus.D.
Mgbochi nbibi na nchekwa igbe ájá
Dị ka ọnụọgụ abụọ nke MacOS OceanLotus niile, ejiri UPX mee ihe nlele ahụ, mana ọtụtụ ngwaọrụ njirimara anaghị aghọta ya dị ka nke a. Nke a nwere ike ịbụ n'ihi na ha na-enwekarị mbinye aka na-adabere na ọnụnọ nke eriri "UPX", na mgbakwunye, mbinye aka Mach-O adịghị adịkarị ma anaghị emelite ya mgbe niile. Njirimara a na-eme ka nchọpụta kwụ ọtọ sie ike. N'ụzọ na-akpali mmasị, mgbe ewepụchara, ntinye ntinye dị na mmalite nke ngalaba __cfstring
na ngalaba .TEXT
. Akụkụ a nwere njirimara ọkọlọtọ dị ka egosiri na foto dị n'okpuru.
Ọgụgụ 1. MACH-O __cfstring ngalaba njirimara
Dị ka e gosiri na Figure 2, koodu ọnọdụ na ngalaba __cfstring
na-enye gị ohere ịghọgbu ụfọdụ ngwaọrụ mkposa site na igosipụta koodu dị ka eriri.
Ọgụgụ 2. Koodu azụ azụ IDA achọpụtara dị ka data
Ozugbo e gburu ya, ọnụọgụ abụọ na-emepụta eri dị ka ihe mgbochi nbibi nke naanị ebumnuche ya bụ ka ọ na-elele anya maka ọnụnọ nke nbibi. Maka usoro a:
- Na-agbalị ịpụpụ ihe nbibi ọ bụla, na-akpọ ptrace
с PT_DENY_ATTACH
dị ka arịrịọ paramita
- Lelee ma ọ bụrụ na ụfọdụ ọdụ ụgbọ mmiri ghe oghe site n'ịkpọ ọrụ task_get_exception_ports
- Lelee ma ọ bụrụ na ejikọrọ onye nbibi, dị ka egosiri na foto dị n'okpuru ebe a, site na ịlele ọnụnọ nke ọkọlọtọ P_TRACED
na usoro nke ugbu a
Ọgụgụ 3. Nyochaa njikọ debugger site na iji ọrụ sysctl
Ọ bụrụ na onye nche na-achọpụta ọnụnọ nke onye nbibi, a na-akpọ ọrụ ahụ exit
. Na mgbakwunye, ihe nlele ahụ na-enyocha gburugburu ebe obibi site na ịme iwu abụọ:
ioreg -l | grep -e "Manufacturer" и sysctl hw.model
Ihe nlele ahụ na-enyocha uru nloghachi megide ndepụta eriri nwere koodu siri ike sitere na sistemụ arụmọrụ ama ama: acle, VMware, bọtịnụ ma ọ bụ aghota. N'ikpeazụ, iwu na-esote na-enyocha ma igwe bụ otu n'ime "MBP", "MBA", "MB", "MM", "IM", "MP" na "XS". Ndị a bụ koodu ụdị sistemụ, dịka ọmụmaatụ, "MBP" pụtara MacBook Pro, "MBA" pụtara MacBook Air, wdg.
system_profiler SPHardwareDataType 2>/dev/null | awk '/Boot ROM Version/ {split($0, line, ":");printf("%s", line[2]);}
Ihe mgbakwunye ntọala
Ọ bụ ezie na iwu azụ azụ agbanwebeghị kemgbe nyocha Trend Micro, anyị hụrụ mgbanwe ole na ole ndị ọzọ. Sava C&C ndị e ji mee ihe na nlele a bụ ihe ọhụrụ ma emebere ya na 22.10.2018/XNUMX/XNUMX.
- daff.faybilodeau[.]com
- sarc.onteagleroad[.]com
- au.charlineopkesston[.]com
URL akụrụngwa agbanweela ka ọ bụrụ /dp/B074WC4NHW/ref=gbps_img_m-9_62c3_750e6b35
.
Akpa mbụ ezigara na sava C&C nwere ozi ndị ọzọ gbasara igwe nnabata, gụnyere data niile anakọtara site n'iwu dị na tebụl dị n'okpuru.
Na mgbakwunye na mgbanwe nhazi a, ihe nlele anaghị eji ọbá akwụkwọ maka nzacha netwọkụ gFjMXBgyXWULmVVVzyxy
, kpuchie ya na efu. A na-emebi ezoro ezo ma chekwaa faịlụ ọ bụla dịka /tmp/store
, na a na-eme mgbalị iji buo ya dị ka ụlọ akwụkwọ ọbá akwụkwọ site na iji ọrụ ahụ dlopen
, backdoor extracts exported ọrụ Boriry
и ChadylonV
, ndị o doro anya na ọ bụ ha na-ahụ maka nkwukọrịta netwọkụ na sava ahụ. Anyị enweghị dropper ma ọ bụ faịlụ ndị ọzọ sitere na ebe izizi ihe nlele ahụ, yabụ anyị enweghị ike ịtụgharị ọba akwụkwọ a. Ọzọkwa, ebe ọ bụ na ezoro ezo na mpaghara ahụ, iwu YARA dabere na eriri ndị a agaghị adaba na faịlụ ahụ dị na diski.
Dị ka akọwara n'isiokwu dị n'elu, ọ na-emepụta clientID. NJ a bụ hash MD5 nke uru nloghachi nke otu n'ime iwu ndị a:
- ioreg -rd1 -c IOPlatformExpertDevice | awk '/IOPlatformSerialNumber/ { split($0, line, """); printf("%s", line[4]); }'
- ioreg -rd1 -c IOPlatformExpertDevice | awk '/IOPlatformUUID/ { split($0, line, """); printf("%s", line[4]); }'
- ifconfig en0 | awk '/ether /{print $2}'
(nweta adreesị MAC)
- amaghị otu ("x1ex72x0a
"), nke a na-eji na nlele mbụ
Tupu hashing, a na-agbakwunye "0" ma ọ bụ "1" na uru nloghachi iji gosi ikike mgbọrọgwụ. Nke a clientID echekwara na /Library/Storage/File System/HFS/25cf5d02-e50b-4288-870a-528d56c3cf6e/pivtoken.appex
, ma ọ bụrụ na koodu ahụ na-agba ọsọ dị ka mgbọrọgwụ ma ọ bụ na ~/Library/SmartCardsServices/Technology/PlugIns/drivers/snippets.ecgML na ndị ọzọ niile. A na-ezokarị faịlụ a site na iji ọrụ ahụ touch –t
na a random uru.
Ụrụ ngbanwe
Dị ka ọ dị na nhọrọ ndị gara aga, ejiri AES-256-CBC (igodo hexadecimal: 9D7274AD7BCEF0DED29BDBB428C251DF8B350B92
padded na zeros, na IV jupụtara na efu) site na ọrụ ahụ
Ịmara prototype ọrụ decrypt, edemede ahụ na-achọta ntụaka aka niile maka ọrụ a, arụmụka niile, wee mebie data ahụ wee debe ederede doro anya n'ime nkọwa na adreesị ntụgharị. Ka edemede ahụ rụọ ọrụ nke ọma, a ga-edobe ya na mkpụrụedemede omenala nke ọrụ ngbanwe base64 na-eji, a ghaghị ịkọwapụta mgbanwe zuru ụwa ọnụ nke nwere ogologo igodo (na nke a DWORD, lee foto 4).
Ọgụgụ 4. Nkọwa nke igodo_len agbanwe ụwa
Na mpio ọrụ, ị nwere ike pịa aka nri ọrụ decryption wee pịa "Wepụ na decrypt arụmụka." Edemede ahụ kwesịrị idowe ahịrị ndị ahụ ezoro ezo na nkọwa, dị ka egosiri na eserese 5.
Ọgụgụ 5. A na-etinye ederede decrypted na nkọwa
N'ụzọ dị otú a, a na-edobe eriri ndị ahụ ezoro ezo nke ọma na windo IDA xrefs maka ọrụ a dị ka egosiri na foto 6.
Ọgụgụ 6. Xrefs na-arụ ọrụ f_decrypt
Enwere ike ịchọta edemede ikpeazụ na
nkwubi
Dịka e kwurula, OceanLotus na-akawanye mma ma na-emelite ngwa ngwa ya. Oge a, ndị otu cyber emela ka malware rụọ ọrụ na ndị ọrụ Mac. Koodu agbanwebeghị nke ukwuu, mana ebe ọ bụ na ọtụtụ ndị ọrụ Mac na-eleghara ngwaahịa nchekwa anya, ichebe malware site na nchọpụta dị mkpa nke abụọ.
Ngwaahịa ESET achọpụtalarị faịlụ a n'oge nyocha. N'ihi na ọbá akwụkwọ netwọk ejiri maka nkwukọrịta C&C ezoro ezo ugbu a na diski, amabeghị usoro netwọkụ nke ndị mwakpo ahụ ji.
Ndị na -egosi nkwenye
Ihe ngosi nke nkwekọrịta yana njirimara MITER ATT&CK dịkwa na
isi: www.habr.com