OceanLotus: macOS 用のマルウェア アップデート

2019 年 XNUMX 月、サイバー グループ OceanLotus の macOS マルウェアの新しいサンプルが、人気のあるオンライン スキャン サービスである VirusTotal にアップロードされました。 バックドア実行可能ファイルは、調査対象となった以前のバージョンの macOS マルウェアと同じ機能を備えていますが、その構造が変更されており、検出がより困難になっています。 残念ながら、このサンプルに関連するスポイトを見つけることができなかったため、感染経路はまだわかりません。

最近出版しました OceanLotus についての投稿 また、オペレーターが永続性を提供し、コードの実行を高速化し、Windows システム上のフットプリントを最小限に抑えようとしている方法についても説明します。 このサイバーグループは macOS 用のコンポーネントも持っていることも知られています。 この投稿では、macOS 用マルウェアの最新バージョンの変更点を以前のバージョンと比較して詳しく説明します (トレンドマイクロによる説明)、IDA Hex-Rays API を使用して分析中に文字列の復号化を自動化する方法についても説明します。

の分析

次の 1 つのパートでは、SHA-XNUMX ハッシュを使用したサンプルの分析について説明します。 E615632C9998E4D3E5ACD8851864ED09B02C77D2。 ファイルの名前は 懐中電灯付き, ESET ウイルス対策製品は OSX/OceanLotus.D として検出します。

アンチデバッグとサンドボックス保護

すべての macOS OceanLotus バイナリと同様、サンプルは UPX でパッケージ化されていますが、ほとんどのパッケージャ識別ツールはそれを UPX として認識しません。 これはおそらく、それらの署名のほとんどが「UPX」文字列の存在に依存する署名を含んでいることに加え、Mach-O 署名はあまり一般的ではなく、頻繁に更新されないためであると考えられます。 この機能により、静的な検出が困難になります。 興味深いことに、開梱後のエントリ ポイントはセクションの先頭にあります。 __cfstring セグメント内 .TEXT。 このセクションには、次の図に示すようなフラグ属性があります。

図 1. MACH-O __cfstring セクションの属性

図 2 に示すように、セクション内のコードの位置は __cfstring コードを文字列として表示することで、一部の逆アセンブリ ツールを騙すことができます。

図 2. IDA によってデータとして検出されたバックドア コード

実行されると、バイナリはアンチデバッガとしてスレッドを作成します。その唯一の目的は、デバッガの存在を継続的にチェックすることです。 このフローの場合:

— デバッガのフックを解除しようとします。 ptrace с PT_DENY_ATTACH リクエストパラメータとして
- 関数を呼び出して、いくつかの専用ポートが開いているかどうかを確認します task_get_exception_ports
- 下図に示すように、フラグの有無を確認することで、デバッガが接続されているかどうかを確認します。 P_TRACED 現在のプロセスで

図 3. sysctl 関数を使用したデバッガ接続の確認

ウォッチドッグがデバッガの存在を検出すると、関数が呼び出されます。 exit。 さらに、サンプルは次の XNUMX つのコマンドを実行して環境をチェックします。

ioreg -l | grep -e "Manufacturer" и sysctl hw.model

次に、サンプルは、既知の仮想化システムからのハードコーディングされた文字列リストと照合して戻り値をチェックします。 アクル, ヴイエムウェア, のvirtualbox または 類似。 最後に、次のコマンドは、マシンが「MBP」、「MBA」、「MB」、「MM」、「IM」、「MP」、および「XS」のいずれかであるかどうかを確認します。 これらはシステム モデル コードです。たとえば、「MBP」は MacBook Pro を意味し、「MBA」は MacBook Air を意味します。

system_profiler SPHardwareDataType 2>/dev/null | awk '/Boot ROM Version/ {split($0, line, ":");printf("%s", line[2]);}

基本的な追加

バックドア コマンドはトレンドマイクロの調査以来変更されていませんが、他にもいくつかの変更が加えられていることに気付きました。 このサンプルで使用されている C&C サーバーはかなり新しく、22.10.2018 年 XNUMX 月 XNUMX 日に作成されました。

- daff.faybilodeau[.]com
- sarc.onteagleroad[.]com
- au.charlineopkesston[.]com

リソースの URL が次のように変更されました。 /dp/B074WC4NHW/ref=gbps_img_m-9_62c3_750e6b35.
C&C サーバーに送信される最初のパケットには、以下の表のコマンドによって収集されたすべてのデータを含む、ホスト マシンに関する詳細情報が含まれています。

この構成変更に加えて、サンプルではネットワーク フィルタリング用のライブラリは使用されていません。 リブカールですが、外部ライブラリです。 それを見つけるために、バックドアは、AES-256-CBC とキーを使用して、現在のディレクトリ内のすべてのファイルを復号化しようとします。 gFjMXBgyXWULmVVVzyxy、ゼロが埋め込まれます。 各ファイルは復号化され、次のように保存されます。 /tmp/store、関数を使用してそれをライブラリとしてロードしようとします ドロペン。 復号化の試行が成功した場合 dlopen、バックドアはエクスポートされた関数を抽出します Boriry и ChadylonV、サーバーとのネットワーク通信を担当しているようです。 サンプルの元の場所にドロッパーやその他のファイルがないため、このライブラリを解析できません。 さらに、コンポーネントは暗号化されているため、これらの文字列に基づく YARA ルールはディスク上にあるファイルと一致しません。

上記の記事で説明したように、 クライアントID。 この ID は、次のいずれかのコマンドの戻り値の MD5 ハッシュです。

- ioreg -rd1 -c IOPlatformExpertDevice | awk '/IOPlatformSerialNumber/ { split($0, line, """); printf("%s", line[4]); }'
- ioreg -rd1 -c IOPlatformExpertDevice | awk '/IOPlatformUUID/ { split($0, line, """); printf("%s", line[4]); }'
- ifconfig en0 | awk '/ether /{print $2}' (MACアドレスを取得)
- 未知のチーム ("x1ex72x0a")、前のサンプルで使用されています

ハッシュする前に、root 権限を示すために「0」または「1」が戻り値に追加されます。 これ クライアントID に保存されている /Library/Storage/File System/HFS/25cf5d02-e50b-4288-870a-528d56c3cf6e/pivtoken.appex、コードが root として実行される場合、または他のすべての場合は ~/Library/SmartCardsServices/Technology/PlugIns/drivers/snippets.ecgML で実行される場合。 通常、ファイルは関数を使用して非表示になります。 _chflags、そのタイムスタンプはコマンドを使用して変更されます touch –t ランダムな値を使用します。

文字列のデコード

前のオプションと同様に、文字列は AES-256-CBC (XNUMX 進キー: 9D7274AD7BCEF0DED29BDBB428C251DF8B350B92 ゼロで埋められ、IV はゼロで埋められます）関数を介して CCCクリプト。 キーは以前のバージョンから変更されていますが、グループは依然として同じ文字列暗号化アルゴリズムを使用しているため、復号化を自動化できます。 この投稿に加えて、Hex-Rays API を使用してバイナリ ファイルに存在する文字列を復号化する IDA スクリプトをリリースします。 このスクリプトは、OceanLotus の今後の分析や、まだ入手できていない既存のサンプルの分析に役立つ可能性があります。 このスクリプトは、関数に渡される引数を受け取るための汎用メソッドに基づいています。 さらに、パラメータの割り当ても検索します。 このメソッドを再利用して関数の引数のリストを取得し、それをコールバックに渡すことができます。

関数プロトタイプを知る 復号化を実行すると、スクリプトはこの関数へのすべての相互参照とすべての引数を見つけて、データを復号化し、相互参照アドレスのコメント内にプレーン テキストを配置します。 スクリプトが正しく動作するには、base64 デコード関数で使用されるカスタム アルファベットに設定し、キーの長さを含むグローバル変数を定義する必要があります (この場合は DWORD、図 4 を参照)。

図 4. グローバル変数 key_len の定義

[関数] ウィンドウで復号化関数を右クリックし、[引数の抽出と復号化] をクリックします。 図 5 に示すように、スクリプトは復号化された行をコメント内に配置する必要があります。

図 5. 復号化されたテキストがコメントに配置される

このようにして、復号化された文字列が IDA ウィンドウにまとめて配置されるのが便利です。 外部参照 この関数の場合は、図 6 に示すようになります。

図 6. f_decrypt 関数への外部参照

最終的なスクリプトは次の場所にあります。 Githubリポジトリ.

出力

すでに述べたように、OceanLotus はツールキットを常に改善し、更新しています。 今回、サイバーグループはこのマルウェアをMacユーザー向けに改良した。 コードはあまり変わっていませんが、多くの Mac ユーザーはセキュリティ製品を無視しているため、マルウェアを検出から保護することは二の次です。

ESET 製品は調査時点ですでにこのファイルを検出していました。 C&C 通信に使用されるネットワーク ライブラリはディスク上で暗号化されているため、攻撃者が使用する正確なネットワーク プロトコルはまだ不明です。

侵入の痕跡

侵害の兆候と MITRE ATT&CK 属性も、次の場所で利用できます。 GitHubの.

出所： habr.com