OceanLotus: მავნე პროგრამის განახლება macOS-ისთვის

2019 წლის მარტში, macOS მავნე პროგრამის ახალი ნიმუში კიბერჯგუფი OceanLotus-დან აიტვირთა VirusTotal-ში, პოპულარულ ონლაინ სკანირების სერვისში. Backdoor-ის შესრულებად ფაილს აქვს იგივე შესაძლებლობები, რაც ჩვენ მიერ შესწავლილი macOS მავნე პროგრამის წინა ვერსიას, მაგრამ მისი სტრუქტურა შეიცვალა და მისი აღმოჩენა უფრო რთული გახდა. სამწუხაროდ, ჩვენ ვერ ვიპოვეთ ამ ნიმუშთან დაკავშირებული საწვეთური, ამიტომ ჯერ არ ვიცით ინფექციის ვექტორი.

ცოტა ხნის წინ გამოვაქვეყნეთ პოსტი OceanLotus-ის შესახებ და როგორ ცდილობენ ოპერატორები უზრუნველყონ გამძლეობა, დააჩქარონ კოდის შესრულება და მინიმუმამდე დაიყვანონ კვალი Windows სისტემებზე. ასევე ცნობილია, რომ ამ კიბერ ჯგუფს ასევე აქვს კომპონენტი macOS-ისთვის. ეს პოსტი დეტალურად აღწერს ცვლილებებს macOS-ისთვის მავნე პროგრამის უახლესი ვერსიაში წინა ვერსიასთან შედარებით (აღწერილია Trend Micro-ს მიერ), და ასევე აღწერს, თუ როგორ შეგიძლიათ ავტომატიზირება გაუკეთოთ სტრიქონების გაშიფვრას ანალიზის დროს IDA Hex-Rays API-ის გამოყენებით.

ანალიზი

შემდეგი სამი ნაწილი აღწერს ნიმუშის ანალიზს SHA-1 ჰეშით E615632C9998E4D3E5ACD8851864ED09B02C77D2. ფაილს ეძახიან ფანარი, ESET ანტივირუსული პროდუქტები ამოიცნობს მას როგორც OSX/OceanLotus.D.

გამართვისა და ქვიშის ყუთის დაცვა

macOS OceanLotus-ის ყველა ბინარის მსგავსად, ნიმუში შეფუთულია UPX-ით, მაგრამ შეფუთვის იდენტიფიკაციის ინსტრუმენტების უმეტესობა მას არ ცნობს, როგორც ასეთს. ეს ალბათ იმიტომ ხდება, რომ ისინი ძირითადად შეიცავს ხელმოწერას, რომელიც დამოკიდებულია "UPX" სტრიქონის არსებობაზე, გარდა ამისა, Mach-O ხელმოწერები ნაკლებად გავრცელებულია და არც ისე ხშირად განახლდება. ეს ფუნქცია ართულებს სტატიკური გამოვლენას. საინტერესოა, რომ გახსნის შემდეგ, შესვლის წერტილი არის განყოფილების დასაწყისში __cfstring სეგმენტში .TEXT. ამ განყოფილებას აქვს დროშის ატრიბუტები, როგორც ნაჩვენებია ქვემოთ მოცემულ სურათზე.

სურათი 1. MACH-O __cfstring განყოფილების ატრიბუტები

როგორც სურათზე 2-ზეა ნაჩვენები, კოდი მდებარეობს განყოფილებაში __cfstring საშუალებას გაძლევთ მოატყუოთ დაშლის ზოგიერთი ხელსაწყო კოდის სტრიქონების სახით ჩვენებით.

სურათი 2. Backdoor კოდი აღმოჩენილი IDA-ს მიერ, როგორც მონაცემები

შესრულების შემდეგ, ორობითი ქმნის ძაფს, როგორც ანტი-გამმართველი, რომლის ერთადერთი მიზანია მუდმივად შეამოწმოს გამართვის არსებობა. ამ ნაკადისთვის:

— ცდილობს ნებისმიერი გამმართველის გათიშვას, დარეკავს ptrace с PT_DENY_ATTACH როგორც მოთხოვნის პარამეტრი
- ამოწმებს, არის თუ არა ზოგიერთი ექსკლუზიური პორტი ღია ფუნქციის გამოძახებით task_get_exception_ports
- ამოწმებს, არის თუ არა გამამართველი დაკავშირებული, როგორც ეს ნაჩვენებია ქვემოთ მოცემულ სურათზე, დროშის არსებობის შემოწმებით P_TRACED მიმდინარე პროცესში

სურათი 3. გამართვის კავშირის შემოწმება sysctl ფუნქციის გამოყენებით

თუ მცველი აღმოაჩენს გამართვის არსებობას, ფუნქცია გამოიძახება exit. გარდა ამისა, ნიმუში შემდეგ ამოწმებს გარემოს ორი ბრძანების გაშვებით:

ioreg -l | grep -e "Manufacturer" и sysctl hw.model

ამის შემდეგ ნიმუში ამოწმებს დაბრუნებულ მნიშვნელობას ცნობილი ვირტუალიზაციის სისტემებიდან სტრიქონების მყარად კოდირებულ სიაში: აკული, VMware, VirtualBox ან პარალელები. დაბოლოს, შემდეგი ბრძანება ამოწმებს, არის თუ არა მანქანა შემდეგი „MBP“, „MBA“, „MB“, „MM“, „IM“, „MP“ და „XS“. ეს არის სისტემის მოდელის კოდები, მაგალითად, "MBP" ნიშნავს MacBook Pro, "MBA" ნიშნავს MacBook Air და ა.შ.

system_profiler SPHardwareDataType 2>/dev/null | awk '/Boot ROM Version/ {split($0, line, ":");printf("%s", line[2]);}

ძირითადი დამატებები

მიუხედავად იმისა, რომ უკანა კარის ბრძანებები არ შეცვლილა Trend Micro-ს კვლევის შემდეგ, ჩვენ შევამჩნიეთ რამდენიმე სხვა მოდიფიკაცია. ამ ნიმუშში გამოყენებული C&C სერვერები საკმაოდ ახალია და შეიქმნა 22.10.2018/XNUMX/XNUMX.

- daff.faybilodeau[.]com
- sarc.onteagleroad[.]com
- au.charlineopkesston[.]com

რესურსის URL შეიცვალა /dp/B074WC4NHW/ref=gbps_img_m-9_62c3_750e6b35.
C&C სერვერზე გაგზავნილი პირველი პაკეტი შეიცავს დამატებით ინფორმაციას მასპინძელი მანქანის შესახებ, მათ შორის ყველა მონაცემს, რომელიც შეგროვებულია ბრძანებებით ქვემოთ მოცემულ ცხრილში.

გარდა ამ კონფიგურაციის ცვლილებისა, ნიმუში არ იყენებს ბიბლიოთეკას ქსელის ფილტრაციისთვის ლიბკურლი, მაგრამ გარე ბიბლიოთეკა. მის საპოვნელად, backdoor ცდილობს გაშიფროს ყველა ფაილი მიმდინარე დირექტორიაში AES-256-CBC გასაღებით. gFjMXBgyXWULmVVVzyxy, შეფუთული ნულებით. თითოეული ფაილი გაშიფრულია და ინახება როგორც /tmp/storeდა ბიბლიოთეკის სახით ჩატვირთვის მცდელობა ხდება ფუნქციის გამოყენებით dlopen. როდესაც გაშიფვრის მცდელობა იწვევს წარმატებულ ზარს dlopen, backdoor ექსპორტირებული ფუნქციები ამოიღებს Boriry и ChadylonV, რომლებიც აშკარად პასუხისმგებელნი არიან სერვერთან ქსელურ კომუნიკაციაზე. ჩვენ არ გვაქვს წვეთოვანი ან სხვა ფაილები ნიმუშის თავდაპირველი მდებარეობიდან, ამიტომ ამ ბიბლიოთეკის გაანალიზება არ შეგვიძლია. უფრო მეტიც, ვინაიდან კომპონენტი დაშიფრულია, ამ სტრიქონებზე დაფუძნებული YARA წესი არ ემთხვევა დისკზე ნაპოვნი ფაილს.

როგორც ზემოთ სტატიაშია აღწერილი, ის ქმნის კლიენტის ID. ეს ID არის ერთ-ერთი შემდეგი ბრძანების დაბრუნების მნიშვნელობის MD5 ჰეში:

- ioreg -rd1 -c IOPlatformExpertDevice | awk '/IOPlatformSerialNumber/ { split($0, line, """); printf("%s", line[4]); }'
- ioreg -rd1 -c IOPlatformExpertDevice | awk '/IOPlatformUUID/ { split($0, line, """); printf("%s", line[4]); }'
- ifconfig en0 | awk '/ether /{print $2}' (მიიღეთ MAC მისამართი)
- უცნობი გუნდი ("x1ex72x0a"), რომელიც გამოიყენება წინა ნიმუშებში

ჰეშირებამდე, "0" ან "1" ემატება დაბრუნებულ მნიშვნელობას, რათა მიუთითოს root პრივილეგიები. ეს კლიენტის ID ინახება /Library/Storage/File System/HFS/25cf5d02-e50b-4288-870a-528d56c3cf6e/pivtoken.appex, თუ კოდი გაშვებულია როგორც root ან ~/Library/SmartCardsServices/Technology/PlugIns/drivers/snippets.ecgML ყველა სხვა შემთხვევაში. ფაილი ჩვეულებრივ იმალება ფუნქციის გამოყენებით _ჩდროშები, მისი დროის შტამპი იცვლება ბრძანების გამოყენებით touch –t შემთხვევითი მნიშვნელობით.

სიმების დეკოდირება

წინა ვარიანტების მსგავსად, სტრიქონები დაშიფრულია AES-256-CBC (თექვსმეტობითი გასაღების) გამოყენებით: 9D7274AD7BCEF0DED29BDBB428C251DF8B350B92 შეფუთული ნულებით და IV ივსება ნულებით) ფუნქციის მეშვეობით CCCcrypt. გასაღები შეიცვალა წინა ვერსიებისგან, მაგრამ რადგან ჯგუფი კვლავ იყენებს იგივე სიმებიანი დაშიფვრის ალგორითმს, გაშიფვრა შეიძლება ავტომატიზირებული იყოს. ამ პოსტის გარდა, ჩვენ გამოვაქვეყნებთ IDA სკრიპტს, რომელიც იყენებს Hex-Rays API-ს ბინარულ ფაილში არსებული სტრიქონების გასაშიფრად. ეს სკრიპტი შეიძლება დაგვეხმაროს OceanLotus-ის სამომავლო ანალიზში და არსებული ნიმუშების ანალიზში, რომლებიც ჯერ ვერ მივიღეთ. სკრიპტი ეფუძნება ფუნქციაზე გადაცემული არგუმენტების მიღების უნივერსალურ მეთოდს. გარდა ამისა, ის ეძებს პარამეტრებს. მეთოდი შეიძლება ხელახლა იქნას გამოყენებული ფუნქციის არგუმენტების სიის მისაღებად და შემდეგ გადასაცემად გამოძახებისთვის.

ფუნქციის პროტოტიპის ცოდნა გაშიფვრა, სკრიპტი პოულობს ამ ფუნქციის ყველა ჯვარედინი მითითებას, ყველა არგუმენტს, შემდეგ შიფრავს მონაცემებს და ათავსებს მარტივ ტექსტს კომენტარში ჯვარედინი მითითების მისამართზე. იმისათვის, რომ სკრიპტმა სწორად იმუშაოს, ის უნდა იყოს დაყენებული პერსონალურ ანბანზე, რომელსაც იყენებს base64 დეკოდირების ფუნქცია და უნდა განისაზღვროს გლობალური ცვლადი, რომელიც შეიცავს კლავიშის სიგრძეს (ამ შემთხვევაში DWORD, იხილეთ სურათი 4).

სურათი 4. გლობალური ცვლადის key_len განმარტება

ფუნქციის ფანჯარაში შეგიძლიათ დააწკაპუნოთ გაშიფვრის ფუნქციაზე და დააწკაპუნოთ "არგუმენტების ამოღება და გაშიფვრა". სკრიპტმა უნდა მოათავსოს გაშიფრული ხაზები კომენტარებში, როგორც ეს ნაჩვენებია სურათზე 5.

სურათი 5. გაშიფრული ტექსტი მოთავსებულია კომენტარებში

ამ გზით გაშიფრული სტრიქონები მოხერხებულად მოთავსებულია ერთად IDA ფანჯარაში xrefs ამ ფუნქციისთვის, როგორც ნაჩვენებია სურათზე 6.

სურათი 6. Xrefs to f_decrypt ფუნქცია

საბოლოო სკრიპტი შეგიძლიათ იხილოთ აქ გიტუბის საცავი.

გამოყვანის

როგორც უკვე აღვნიშნეთ, OceanLotus მუდმივად აუმჯობესებს და აახლებს თავის ინსტრუმენტთა კომპლექტს. ამჯერად, კიბერ ჯგუფმა გააუმჯობესა მავნე პროგრამა Mac-ის მომხმარებლებისთვის. კოდი დიდად არ შეცვლილა, მაგრამ რადგან Mac-ის ბევრი მომხმარებელი უგულებელყოფს უსაფრთხოების პროდუქტებს, მავნე პროგრამის დაცვას მეორეხარისხოვანი მნიშვნელობა აქვს.

ESET პროდუქტები უკვე აღმოაჩენდა ამ ფაილს კვლევის დროს. იმის გამო, რომ C&C კომუნიკაციისთვის გამოყენებული ქსელის ბიბლიოთეკა ახლა დაშიფრულია დისკზე, ზუსტი ქსელის პროტოკოლი, რომელსაც იყენებენ თავდამსხმელები, ჯერ არ არის ცნობილი.

კომპრომისის მაჩვენებლები

კომპრომისის ინდიკატორები, ასევე MITER ATT&CK ატრიბუტები ასევე ხელმისაწვდომია GitHub.

წყარო: www.habr.com