ProHoster > ะ‘ะปะพะณ > เบเบฒเบ™เบšเปเบฅเบดเบซเบฒเบ™ > OceanLotus: เบญเบฑเบšเป€เบ”เบ” Malware เบชเปเบฒเบฅเบฑเบš macOS

OceanLotus: เบญเบฑเบšเป€เบ”เบ” Malware เบชเปเบฒเบฅเบฑเบš macOS

เปƒเบ™เป€เบ”เบทเบญเบ™เบกเบตเบ™เบฒ 2019, เบ•เบปเบงเบขเปˆเบฒเบ‡เปƒเบซเบกเปˆเบ‚เบญเบ‡ macOS malware เบˆเบฒเบเบเบธเปˆเบก cyber OceanLotus เป„เบ”เป‰เบ–เบทเบเบญเบฑเบšเป‚เบซเบฅเบ”เป„เบ›เบเบฑเบ‡ VirusTotal, เบšเปเบฅเบดเบเบฒเบ™เบชเบฐเปเบเบ™เบญเบญเบ™เป„เบฅเบ™เปŒเบ—เบตเปˆเบ™เบดเบเบปเบก. เป„เบŸเบฅเปŒเบ›เบฐเบ•เบดเบšเบฑเบ”เบเบฒเบ™ backdoor เบกเบตเบ„เบงเบฒเบกเบชเบฒเบกเบฒเบ”เบ”เบฝเบงเบเบฑเบ™เบเบฑเบš macOS malware เบฎเบธเปˆเบ™เบเปˆเบญเบ™เบ—เบตเปˆเบžเบงเบเป€เบฎเบปเบฒเป„เบ”เป‰เบชเบถเบเบชเบฒ, เปเบ•เปˆเป‚เบ„เบ‡เบชเป‰เบฒเบ‡เบ‚เบญเบ‡เบกเบฑเบ™เบกเบตเบเบฒเบ™เบ›เปˆเบฝเบ™เปเบ›เบ‡เปเบฅเบฐเบกเบฑเบ™เป„เบ”เป‰เบเบฒเบเป€เบ›เบฑเบ™เบ„เบงเบฒเบกเบซเบเบธเป‰เบ‡เบเบฒเบเบซเบผเบฒเบเบ—เบตเปˆเบˆเบฐเบเบงเบ”เบžเบปเบš. เปเบ•เปˆเบซเบ™เป‰เบฒเป€เบชเบเบ”เบฒเบ, เบžเบงเบเป€เบฎเบปเบฒเบšเปเปˆเบชเบฒเบกเบฒเบ”เบŠเบญเบเบซเบฒ dropper เบ—เบตเปˆเบเปˆเบฝเบงเบ‚เป‰เบญเบ‡เบเบฑเบšเบ•เบปเบงเบขเปˆเบฒเบ‡เบ™เบตเป‰, เบ”เบฑเปˆเบ‡เบ™เบฑเป‰เบ™เบžเบงเบเป€เบฎเบปเบฒเบเบฑเบ‡เบšเปเปˆเบฎเบนเป‰ vector เบเบฒเบ™เบ•เบดเบ”เป€เบŠเบทเป‰เบญ.

เบžเบงเบเป€เบฎเบปเบฒเบˆเบฑเบ”เบžเบตเบกเบกเบฒเบšเปเปˆเบ”เบปเบ™เบกเบฒเบ™เบตเป‰ เบ›เบฐเบเบฒเบ”เบเปˆเบฝเบงเบเบฑเบš OceanLotus เปเบฅเบฐเบงเบดเบ—เบตเบเบฒเบ™เบ—เบตเปˆเบœเบนเป‰เบ›เบฐเบเบญเบšเบเบฒเบ™เบžเบฐเบเบฒเบเบฒเบกเบชเบฐเบซเบ™เบญเบ‡เบ„เบงเบฒเบกเบ„เบปเบ‡เบ—เบปเบ™, เป€เบฅเบฑเปˆเบ‡เบเบฒเบ™เบ›เบฐเบ•เบดเบšเบฑเบ”เบฅเบฐเบซเบฑเบ”, เปเบฅเบฐเบซเบผเบธเบ”เบœเปˆเบญเบ™เบฎเบญเบเบ•เบตเบ™เปƒเบ™เบฅเบฐเบšเบปเบš Windows. เบกเบฑเบ™เบเบฑเบ‡เป€เบ›เบฑเบ™เบ—เบตเปˆเบฎเบนเป‰เบˆเบฑเบเบงเปˆเบฒเบเบธเปˆเบก cyber เบ™เบตเป‰เบเบฑเบ‡เบกเบตเบชเปˆเบงเบ™เบ›เบฐเบเบญเบšเบชเปเบฒเบฅเบฑเบš macOS. เป‚เบžเบชเบ™เบตเป‰เปƒเบซเป‰เบฅเบฒเบเบฅเบฐเบญเบฝเบ”เบเปˆเบฝเบงเบเบฑเบšเบเบฒเบ™เบ›เปˆเบฝเบ™เปเบ›เบ‡เบ‚เบญเบ‡ malware เบฅเบธเป‰เบ™เปƒเปเปˆเบซเบผเป‰เบฒเบชเบธเบ”เบชเบณเบฅเบฑเบš macOS เป€เบกเบทเปˆเบญเบ›เบฝเบšเบ—เบฝเบšเบเบฑเบšเป€เบงเบตเบŠเบฑเบ™เบเปˆเบญเบ™เปœเป‰เบฒเบ™เบตเป‰ (เบญเบฐเบ—เบดเบšเบฒเบเป‚เบ”เบ Trend Micro), เปเบฅเบฐเบเบฑเบ‡เบญเบฐเบ—เบดเบšเบฒเบเบงเบดเบ—เบตเบ—เบตเปˆเบ—เปˆเบฒเบ™เบชเบฒเบกเบฒเบ”เบญเบฑเบ”เบ•เบฐเป‚เบ™เบกเบฑเบ”เบเบฒเบ™เบ–เบญเบ”เบฅเบฐเบซเบฑเบ”เบชเบฐเบ•เบฃเบดเบ‡เปƒเบ™เบฅเบฐเบซเบงเปˆเบฒเบ‡เบเบฒเบ™เบงเบดเป€เบ„เบฒเบฐเป‚เบ”เบเปƒเบŠเป‰ IDA Hex-Rays API.

OceanLotus: เบญเบฑเบšเป€เบ”เบ” Malware เบชเปเบฒเบฅเบฑเบš macOS

ะะฝะฐะปะธะท

เบชเบฒเบกเบžเบฒเบเบชเปˆเบงเบ™เบ•เปเปˆเป„เบ›เบญเบฐเบ—เบดเบšเบฒเบเบเบฒเบ™เบงเบดเป€เบ„เบฒเบฐเบ•เบปเบงเบขเปˆเบฒเบ‡เบ—เบตเปˆเบกเบต SHA-1 hash E615632C9998E4D3E5ACD8851864ED09B02C77D2. เป„เบŸเบฅเปŒเปเบกเปˆเบ™เป€เบญเบตเป‰เบ™เบงเปˆเบฒ เป„เบŸเบชเบฒเบ, เบœเบฐเบฅเบดเบ”เบ•เบฐเบžเบฑเบ™เบ›เป‰เบญเบ‡เบเบฑเบ™เป„เบงเบฃเบฑเบ” ESET เบเบงเบ”เบžเบปเบšเบงเปˆเบฒเป€เบ›เบฑเบ™ OSX/OceanLotus.D.

เบ•เป‰เบฒเบ™เบเบฒเบ™เบ”เบตเบšเบฑเบ เปเบฅเบฐเบเบฒเบ™เบ›เป‰เบญเบ‡เบเบฑเบ™ sandbox

เป€เบŠเบฑเปˆเบ™เบ”เบฝเบงเบเบฑเบ™เบเบฑเบš macOS OceanLotus binaries เบ—เบฑเบ‡เบซเบกเบปเบ”, เบ•เบปเบงเบขเปˆเบฒเบ‡เป„เบ”เป‰เบ–เบทเบเบซเบธเป‰เบกเบซเปเปˆเบ”เป‰เบงเบ UPX, เปเบ•เปˆเป€เบ„เบทเปˆเบญเบ‡เบกเบทเบเบฒเบ™เบเปเบฒเบ™เบปเบ”เบ•เบปเบงเบซเบธเป‰เบกเบซเปเปˆเบชเปˆเบงเบ™เปƒเบซเบเปˆเบšเปเปˆเป„เบ”เป‰เบฎเบฑเบšเบฎเบนเป‰เบกเบฑเบ™. เบ™เบตเป‰เปเบกเปˆเบ™เบญเบฒเบ”เบˆเบฐเป€เบ›เบฑเบ™เบเป‰เบญเบ™เบงเปˆเบฒเบžเบงเบเป€เบ‚เบปเบฒเบชเปˆเบงเบ™เปƒเบซเบเปˆเบกเบตเบฅเบฒเบเป€เบŠเบฑเบ™เบ‚เบถเป‰เบ™เบเบฑเบšเบเบฒเบ™เบกเบต "UPX" string, เบ™เบญเบเบˆเบฒเบเบ™เบฑเป‰เบ™, เบฅเบฒเบเป€เบŠเบฑเบ™ Mach-O เปเบกเปˆเบ™เบซเบ™เป‰เบญเบเบเบงเปˆเบฒเปเบฅเบฐเบšเปเปˆเป„เบ”เป‰เบ–เบทเบเบ›เบฑเบšเบ›เบธเบ‡เป€เบฅเบทเป‰เบญเบเป†. เบ„เบธเบ™เบชเบปเบกเบšเบฑเบ”เบ™เบตเป‰เป€เบฎเบฑเบ”เปƒเบซเป‰เบเบฒเบ™เบเบงเบ”เบซเบฒเบชเบฐเบ–เบดเบ”เบเบฒเบ. เบซเบ™เป‰เบฒเบชเบปเบ™เปƒเบˆ, เบซเบผเบฑเบ‡เบˆเบฒเบ unpacking, เบˆเบธเบ”เป€เบ‚เบปเป‰เบฒเปเบกเปˆเบ™เบขเบนเปˆเปƒเบ™เบ•เบญเบ™เบ•เบปเป‰เบ™เบ‚เบญเบ‡เบžเบฒเบ __cfstring เบขเบนเปˆเปƒเบ™เบžเบฒเบเบชเปˆเบงเบ™ .TEXT. เบžเบฒเบเบชเปˆเบงเบ™เบ™เบตเป‰เบกเบตเบ„เบธเบ™เบชเบปเบกเบšเบฑเบ”เบ—เบธเบ‡เบ”เบฑเปˆเบ‡เบ—เบตเปˆเบชเบฐเปเบ”เบ‡เบขเบนเปˆเปƒเบ™เบฎเบนเบšเบ‚เป‰เบฒเบ‡เบฅเบธเปˆเบกเบ™เบตเป‰.

OceanLotus: เบญเบฑเบšเป€เบ”เบ” Malware เบชเปเบฒเบฅเบฑเบš macOS
เบฎเบนเบš 1. เบ„เบธเบ™เบฅเบฑเบเบชเบฐเบ™เบฐเบ‚เบญเบ‡เบžเบฒเบ MACH-O __cfstring

เบ”เบฑเปˆเบ‡เบ—เบตเปˆเบชเบฐเปเบ”เบ‡เบขเบนเปˆเปƒเบ™เบฎเบนเบšเบ—เบต 2, เบชเบฐเบ–เบฒเบ™เบ—เบตเปˆเบฅเบฐเบซเบฑเบ”เบขเบนเปˆเปƒเบ™เบžเบฒเบ __cfstring เบญเบฐเบ™เบธเบเบฒเบ”เปƒเบซเป‰เบ—เปˆเบฒเบ™เป€เบžเบทเปˆเบญเบซเบฅเบญเบเบฅเบงเบ‡เบšเบฒเบ‡เป€เบ„เบทเปˆเบญเบ‡เบกเบท disassembly เป‚เบ”เบเบเบฒเบ™เบชเบฐเปเบ”เบ‡เบฅเบฐเบซเบฑเบ”เป€เบ›เบฑเบ™เบชเบฒเบ.

OceanLotus: เบญเบฑเบšเป€เบ”เบ” Malware เบชเปเบฒเบฅเบฑเบš macOS
เบฎเบนเบš 2. เบฅเบฐเบซเบฑเบ” Backdoor เบเบงเบ”เบžเบปเบšเป‚เบ”เบ IDA เป€เบ›เบฑเบ™เบ‚เปเป‰เบกเบนเบ™

เป€เบกเบทเปˆเบญเบ–เบทเบเบ›เบฐเบ•เบดเบšเบฑเบ”เปเบฅเป‰เบง, เป„เบšเบ™เบฒเบฃเบตเบˆเบฐเบชเป‰เบฒเบ‡เบเบฐเบ—เบนเป‰เป€เบ›เบฑเบ™เบ•เบปเบงเบ•เป‰เบฒเบ™เบเบฒเบ™เบ”เบตเบšเบฑเบเบ—เบตเปˆเบกเบตเบˆเบธเบ”เบ›เบฐเบชเบปเบ‡เบญเบฑเบ™เบ”เบฝเบงเป€เบžเบทเปˆเบญเบชเบทเบšเบ•เปเปˆเบเบงเบ”เบชเบญเบšเบเบฒเบ™เบกเบตเบ•เบปเบงเบ”เบตเบšเบฑเบ. เบชเปเบฒเบฅเบฑเบšเบเบฒเบ™เป„เบซเบผเป€เบ‚เบปเป‰เบฒเบ™เบตเป‰:

โ€” เบžเบฐโ€‹เบเบฒโ€‹เบเบฒเบก unhook debugger เปƒเบ”, เป‚เบ—โ€‹เบซเบฒ ptrace ั PT_DENY_ATTACH เป€เบ›เบฑเบ™เบ•เบปเบงเบเปเบฒเบ™เบปเบ”เบเบฒเบ™เบฎเป‰เบญเบ‡เบ‚เป
- เบเบงเบ”เป€เบšเบดเปˆเบ‡เบงเปˆเบฒเบšเบฒเบ‡เบžเบญเบ”เบชเบฐเป€เบžเบฒเบฐเป€เบ›เบตเบ”เป‚เบ”เบเบเบฒเบ™เป‚เบ—เบซเบฒเบŸเบฑเบ‡เบŠเบฑเบ™ task_get_exception_ports
- เบเบงเบ”เป€เบšเบดเปˆเบ‡เบงเปˆเบฒเบกเบตเบเบฒเบ™เป€เบŠเบทเปˆเบญเบกเบ•เปเปˆ debugger, เบ”เบฑเปˆเบ‡เบ—เบตเปˆเบชเบฐเปเบ”เบ‡เบขเบนเปˆเปƒเบ™เบฎเบนเบšเบ‚เป‰เบฒเบ‡เบฅเบธเปˆเบกเบ™เบตเป‰, เป‚เบ”เบเบเบฒเบ™เบเบงเบ”เบชเบญเบšเบเบฒเบ™เบ›เบฐเบเบปเบ”เบ•เบปเบงเบ‚เบญเบ‡เบ—เบธเบ‡เบŠเบฒเบ” P_TRACED เปƒเบ™เบ‚เบฐเบšเบงเบ™เบเบฒเบ™เบ›เบฐเบˆเบธเบšเบฑเบ™

OceanLotus: เบญเบฑเบšเป€เบ”เบ” Malware เบชเปเบฒเบฅเบฑเบš macOS
เบฎเบนเบš 3. เบเบฒเบ™เบเบงเบ”เบชเบญเบšเบเบฒเบ™เป€เบŠเบทเปˆเบญเบกเบ•เปเปˆ debugger เป‚เบ”เบเปƒเบŠเป‰เบŸเบฑเบ‡เบŠเบฑเบ™ sysctl

เบ–เป‰เบฒ watchdog เบเบงเบ”เบžเบปเบšเบเบฒเบ™เบ›เบฐเบเบปเบ”เบ•เบปเบงเบ‚เบญเบ‡ debugger, เบŸเบฑเบ‡เบŠเบฑเบ™เบˆเบฐเบ–เบทเบเป€เบญเบตเป‰เบ™เบงเปˆเบฒ exit. เบ™เบญเบเบˆเบฒเบเบ™เบฑเป‰เบ™, เบ•เบปเบงเบขเปˆเบฒเบ‡เบซเบผเบฑเบ‡เบˆเบฒเบเบ™เบฑเป‰เบ™เบเบงเบ”เป€เบšเบดเปˆเบ‡เบชเบฐเบžเบฒเบšเปเบงเบ”เบฅเป‰เบญเบกเป‚เบ”เบเบเบฒเบ™เปเบฅเปˆเบ™เบชเบญเบ‡เบ„เปเบฒเบชเบฑเปˆเบ‡:

ioreg -l | grep -e "Manufacturer" ะธ sysctl hw.model

เบ•เบปเบงเบขเปˆเบฒเบ‡เบซเบผเบฑเบ‡เบˆเบฒเบเบ™เบฑเป‰เบ™เบเบงเบ”เป€เบšเบดเปˆเบ‡เบ„เปˆเบฒเบเบฑเบšเบ„เบทเบ™เบ•เปเปˆเบเบฑเบšเบšเบฑเบ™เบŠเบตเบฅเบฒเบเบŠเบทเปˆเบ‚เบญเบ‡เบชเบฐเบ•เบฃเบดเบ‡เบ—เบตเปˆเบกเบตเบฅเบฐเบซเบฑเบ”เปเบ‚เบ‡เบˆเบฒเบเบฅเบฐเบšเบปเบš virtualization เบ—เบตเปˆเบฎเบนเป‰เบˆเบฑเบ: acle, vmware, virtualbox เบซเบผเบท เบ‚เบฐเบซเบ™เบฒเบ™. เบชเบธเบ”เบ—เป‰เบฒเบ, เบ„เปเบฒเบชเบฑเปˆเบ‡เบ•เปเปˆเป„เบ›เบˆเบฐเบเบงเบ”เป€เบšเบดเปˆเบ‡เบงเปˆเบฒเป€เบ„เบทเปˆเบญเบ‡เป€เบ›เบฑเบ™เบซเบ™เบถเปˆเบ‡เปƒเบ™ "MBP", "MBA", "MB", "MM", "IM", "MP" เปเบฅเบฐ "XS". เป€เบซเบผเบปเปˆเบฒเบ™เบตเป‰เปเบกเปˆเบ™เบฅเบฐเบซเบฑเบ”เบ•เบปเบงเปเบšเบšเบ‚เบญเบ‡เบฅเบฐเบšเบปเบš, เบชเปเบฒเบฅเบฑเบšเบเบฒเบ™เบเบปเบเบ•เบปเบงเบขเปˆเบฒเบ‡, "MBP" เบซเบกเบฒเบเบ„เบงเบฒเบกเบงเปˆเบฒ MacBook Pro, "MBA" เบซเบกเบฒเบเบ„เบงเบฒเบกเบงเปˆเบฒ MacBook Air, เปเบฅเบฐเบญเบทเปˆเบ™เป†.

system_profiler SPHardwareDataType 2>/dev/null | awk '/Boot ROM Version/ {split($0, line, ":");printf("%s", line[2]);}

เบเบฒเบ™เป€เบžเบตเปˆเบกเป€เบ•เบตเบกเบ•เบปเป‰เบ™เบ•เป

เปƒเบ™เบ‚เบฐเบ™เบฐเบ—เบตเปˆเบ„เปเบฒเบชเบฑเปˆเบ‡ backdoor เบšเปเปˆเป„เบ”เป‰เบ›เปˆเบฝเบ™เปเบ›เบ‡เบ™เบฑเบšเบ•เบฑเป‰เบ‡เปเบ•เปˆเบเบฒเบ™เบ„เบปเป‰เบ™เบ„เบงเป‰เบฒเบ‚เบญเบ‡ Trend Micro, เบžเบงเบเป€เบฎเบปเบฒเบชเบฑเบ‡เป€เบเบ”เป€เบซเบฑเบ™เบเบฒเบ™เบ”เบฑเบ”เปเบเป‰เบญเบทเปˆเบ™เป†เบˆเปเบฒเบ™เบงเบ™เบซเบ™เบถเปˆเบ‡. เป€เบŠเบตเบšเป€เบงเบต C&C เบ—เบตเปˆเปƒเบŠเป‰เปƒเบ™เบ•เบปเบงเบขเปˆเบฒเบ‡เบ™เบตเป‰เปเบกเปˆเบ™เปƒเปเปˆเบžเปเบชเบปเบกเบ„เบงเบ™ เปเบฅเบฐเบ–เบทเบเบชเป‰เบฒเบ‡เบ‚เบทเป‰เบ™เปƒเบ™เบงเบฑเบ™เบ—เบต 22.10.2018/XNUMX/XNUMX.

- daff.faybilodeau[.]com
- sarc.onteagleroad[.]com
- au.charlineopkesston[.]com

URL เบŠเบฑเบšเบžเบฐเบเบฒเบเบญเบ™เป„เบ”เป‰เบ›เปˆเบฝเบ™เป€เบ›เบฑเบ™ /dp/B074WC4NHW/ref=gbps_img_m-9_62c3_750e6b35.
เปเบžเบฑเบเป€เบเบฑเบ”เบ—เปเบฒเบญเบดเบ”เบ—เบตเปˆเบ–เบทเบเบชเบปเปˆเบ‡เป„เบ›เบซเบฒเป€เบŠเบตเบšเป€เบงเบต C&C เบกเบตเบ‚เปเป‰เบกเบนเบ™เป€เบžเบตเปˆเบกเป€เบ•เบตเบกเบเปˆเบฝเบงเบเบฑเบšเป€เบ„เบทเปˆเบญเบ‡เป‚เบฎเบ”, เบฅเบงเบกเบ—เบฑเบ‡เบ‚เปเป‰เบกเบนเบ™เบ—เบฑเบ‡เบซเบกเบปเบ”เบ—เบตเปˆเป€เบเบฑเบšเบเปเบฒเป‚เบ”เบเบ„เปเบฒเบชเบฑเปˆเบ‡เปƒเบ™เบ•เบฒเบ•เบฐเบฅเบฒเบ‡เบ‚เป‰เบฒเบ‡เบฅเบธเปˆเบกเบ™เบตเป‰.

OceanLotus: เบญเบฑเบšเป€เบ”เบ” Malware เบชเปเบฒเบฅเบฑเบš macOS

เบ™เบญเบเป€เบซเบ™เบทเบญเบˆเบฒเบเบเบฒเบ™เบ›เปˆเบฝเบ™เปเบ›เบ‡เบเบฒเบ™เบ•เบฑเป‰เบ‡เบ„เปˆเบฒเบ™เบตเป‰, เบ•เบปเบงเบขเปˆเบฒเบ‡เบšเปเปˆเป„เบ”เป‰เปƒเบŠเป‰เบซเป‰เบญเบ‡เบชเบฐเบซเบกเบธเบ”เบชเปเบฒเบฅเบฑเบšเบเบฒเบ™เบเบฑเปˆเบ™เบ•เบญเบ‡เป€เบ„เบทเบญเบ‚เปˆเบฒเบ libcurl, เปเบ•เปˆเบซเป‰เบญเบ‡เบชเบฐเบซเบกเบธเบ”เบžเบฒเบเบ™เบญเบ. เป€เบžเบทเปˆเบญเบŠเบญเบเบซเบฒเบกเบฑเบ™, backdoor เบžเบฐเบเบฒเบเบฒเบกเบ–เบญเบ”เบฅเบฐเบซเบฑเบ”เบ—เบธเบเป„เบŸเบฅเปŒเปƒเบ™เป„เบ”เป€เบฅเบเบฐเบ—เปเบฅเบตเบ›เบฐเบˆเบธเบšเบฑเบ™เป‚เบ”เบเปƒเบŠเป‰ AES-256-CBC เบ”เป‰เบงเบเบเบฐเปเบˆ. gFjMXBgyXWULmVVVzyxy, padded เบเบฑเบšเบชเบนเบ™. เปเบ•เปˆเบฅเบฐเป„เบŸเบฅเปŒเบ–เบทเบเบ–เบญเบ”เบฅเบฐเบซเบฑเบ” เปเบฅเบฐเบšเบฑเบ™เบ—เบถเบเป€เบ›เบฑเบ™ /tmp/store, เปเบฅเบฐโ€‹เบ„เบงเบฒเบกโ€‹เบžเบฐโ€‹เบเบฒโ€‹เบเบฒเบกโ€‹เบ—เบตเปˆโ€‹เบˆเบฐโ€‹เป‚เบซเบผเบ”โ€‹เบกเบฑเบ™โ€‹เป€เบ›เบฑเบ™โ€‹เบซเป‰เบญเบ‡โ€‹เบชเบฐโ€‹เบซเบกเบธเบ”โ€‹เปเบกเปˆเบ™โ€‹เป€เบฎเบฑเบ”โ€‹เป„เบ”เป‰โ€‹เป‚เบ”เบโ€‹เบเบฒเบ™โ€‹เบ™เปเบฒโ€‹เปƒเบŠเป‰โ€‹เบซเบ™เป‰เบฒโ€‹เบ—เบตเปˆโ€‹ dlopen. เป€เบกเบทเปˆเบญเบ„เบงเบฒเบกเบžเบฐเบเบฒเบเบฒเบกเบ—เบตเปˆเบˆเบฐเบ–เบญเบ”เบฅเบฐเบซเบฑเบ”เป€เบฎเบฑเบ”เปƒเบซเป‰เบเบฒเบ™เป‚เบ—เบชเบปเบšเบœเบปเบ™เบชเปเบฒเป€เบฅเบฑเบ” dlopen, backdoor เบชเบฒเบ™เบชเบฐเบเบฑเบ”เบˆเบฒเบเบซเบ™เป‰เบฒเบ—เบตเปˆเบชเบปเปˆเบ‡เบญเบญเบ Boriry ะธ ChadylonV, เป€เบŠเบดเปˆเบ‡เป€เบšเบดเปˆเบ‡เบ„เบทเบงเปˆเบฒเบกเบตเบ„เบงเบฒเบกเบฎเบฑเบšเบœเบดเบ”เบŠเบญเบšเบ•เปเปˆเบเบฒเบ™เบชเบทเปˆเบชเบฒเบ™เป€เบ„เบทเบญเบ‚เปˆเบฒเบเบเบฑเบšเป€เบ„เบทเปˆเบญเบ‡เปเบกเปˆเบ‚เปˆเบฒเบ. เบžเบงเบเป€เบฎเบปเบฒเบšเปเปˆเบกเบต dropper เบซเบผเบทเป„เบŸเบฅเปŒเบญเบทเปˆเบ™เป†เบˆเบฒเบเบชเบฐเบ–เบฒเบ™เบ—เบตเปˆเบ•เบปเป‰เบ™เบชเบฐเบšเบฑเบšเบ‚เบญเบ‡เบ•เบปเบงเบขเปˆเบฒเบ‡, เบ”เบฑเปˆเบ‡เบ™เบฑเป‰เบ™เบžเบงเบเป€เบฎเบปเบฒเบšเปเปˆเบชเบฒเบกเบฒเบ”เบงเบดเป€เบ„เบฒเบฐเบซเป‰เบญเบ‡เบชเบฐเบซเบกเบธเบ”เบ™เบตเป‰เป„เบ”เป‰. เบเบดเปˆเบ‡เป„เบ›เบเบงเปˆเบฒเบ™เบฑเป‰เบ™, เป€เบ™เบทเปˆเบญเบ‡เบˆเบฒเบเบญเบปเบ‡เบ›เบฐเบเบญเบšเบ–เบทเบเป€เบ‚เบปเป‰เบฒเบฅเบฐเบซเบฑเบ”, เบเบปเบ”เบฅเบฐเบšเบฝเบš YARA เป‚เบ”เบเบญเบตเบ‡เปƒเบชเปˆเบชเบฐเบ•เบฃเบดเบ‡เป€เบซเบผเบปเปˆเบฒเบ™เบตเป‰เบˆเบฐเบšเปเปˆเบเบปเบ‡เบเบฑเบšเป„เบŸเบฅเปŒเบ—เบตเปˆเบžเบปเบšเป€เบซเบฑเบ™เบขเบนเปˆเปƒเบ™เปเบœเปˆเบ™.

เบ”เบฑเปˆเบ‡เบ—เบตเปˆเป„เบ”เป‰เบญเบฐเบ—เบดเบšเบฒเบเป„เบงเป‰เปƒเบ™เบšเบปเบ”เบ„เบงเบฒเบกเบ‚เป‰เบฒเบ‡เป€เบ—เบดเบ‡, เบกเบฑเบ™เบชเป‰เบฒเบ‡ clientID. ID เบ™เบตเป‰เปเบกเปˆเบ™ MD5 hash เบ‚เบญเบ‡เบ„เปˆเบฒเบเบฑเบšเบ„เบทเบ™เบ‚เบญเบ‡เบซเบ™เบถเปˆเบ‡เปƒเบ™เบ„เปเบฒเบชเบฑเปˆเบ‡เบ•เปเปˆเป„เบ›เบ™เบตเป‰:

- ioreg -rd1 -c IOPlatformExpertDevice | awk '/IOPlatformSerialNumber/ { split($0, line, """); printf("%s", line[4]); }'
- ioreg -rd1 -c IOPlatformExpertDevice | awk '/IOPlatformUUID/ { split($0, line, """); printf("%s", line[4]); }'
- ifconfig en0 | awk '/ether /{print $2}' (เป„เบ”เป‰โ€‹เบฎเบฑเบšโ€‹เบ—เบตเปˆโ€‹เบขเบนเปˆ MACโ€‹)
- เบ—เบตเบกโ€‹เบ‡เบฒเบ™โ€‹เบ—เบตเปˆโ€‹เบšเปเปˆโ€‹เบฎเบนเป‰โ€‹เบˆเบฑเบ ("x1ex72x0a"), เป€เบŠเบดเปˆเบ‡เบ–เบทเบเบ™เปเบฒเปƒเบŠเป‰เปƒเบ™เบ•เบปเบงเบขเปˆเบฒเบ‡เบ—เบตเปˆเบœเปˆเบฒเบ™เบกเบฒ

เบเปˆเบญเบ™เบ—เบตเปˆเบˆเบฐ hashing, "0" เบซเบผเบท "1" เบˆเบฐเบ–เบทเบเป€เบžเบตเปˆเบกเปƒเบชเปˆเบ„เปˆเบฒเบเบฑเบšเบ„เบทเบ™เป€เบžเบทเปˆเบญเบŠเบตเป‰เปƒเบซเป‰เป€เบซเบฑเบ™เบชเบดเบ”เบ—เบดเบ‚เบญเบ‡เบฎเบฒเบ. เบ™เบตเป‰ clientID เป€เบเบฑเบšเป„เบงเป‰เปƒเบ™ /Library/Storage/File System/HFS/25cf5d02-e50b-4288-870a-528d56c3cf6e/pivtoken.appex, เบ–เป‰เบฒเบฅเบฐเบซเบฑเบ”เบ–เบทเบเบ”เปเบฒเป€เบ™เบตเบ™เบเบฒเบ™เป€เบ›เบฑเบ™เบฎเบฒเบเบซเบผเบทเบขเบนเปˆเปƒเบ™ ~/Library/SmartCardsServices/Technology/PlugIns/drivers/snippets.ecgML เปƒเบ™เบ—เบธเบเบเปเบฅเบฐเบ™เบตเบญเบทเปˆเบ™เป†. เบ›เบปเบเบเบฐเบ•เบดเปเบฅเป‰เบงเป„เบŸเบฅเปŒเบ–เบทเบเป€เบŠเบทเปˆเบญเบ‡เป„เบงเป‰เป‚เบ”เบเปƒเบŠเป‰เบŸเบฑเบ‡เบŠเบฑเบ™ _chflags, เป€เบงเบฅเบฒเบ‚เบญเบ‡เบกเบฑเบ™เบ–เบทเบเบ›เปˆเบฝเบ™เปเบ›เบ‡เป‚เบ”เบเปƒเบŠเป‰เบ„เปเบฒเบชเบฑเปˆเบ‡ touch โ€“t เบ”เป‰เบงเบเบ„เปˆเบฒเบชเบธเปˆเบก.

เบเบฒเบ™เบ–เบญเบ”เบฅเบฐเบซเบฑเบ”เบชเบฐเบ•เบฃเบดเบ‡

เป€เบŠเบฑเปˆเบ™เบ”เบฝเบงเบเบฑเบ™เบเบฑเบšเบ—เบฒเบ‡เป€เบฅเบทเบญเบเบ—เบตเปˆเบœเปˆเบฒเบ™เบกเบฒ, เบชเบฐเบ•เบฃเบดเบ‡เบ–เบทเบเป€เบ‚เบปเป‰เบฒเบฅเบฐเบซเบฑเบ”เป‚เบ”เบเปƒเบŠเป‰ AES-256-CBC (เบฅเบฐเบซเบฑเบ”เป€เบฅเบเบ–เบฒเบ™เบชเบดเบšเบซเบปเบ: 9D7274AD7BCEF0DED29BDBB428C251DF8B350B92 padded เบเบฑเบšเบชเบนเบ™, เปเบฅเบฐ IV เป€เบ•เบฑเบกเป„เบ›เบ”เป‰เบงเบเบชเบนเบ™) เป‚เบ”เบเบœเปˆเบฒเบ™เบเบฒเบ™เบ—เปเบฒเบ‡เบฒเบ™ CCCrypt. เบฅเบฐเบซเบฑเบ”เบกเบตเบเบฒเบ™เบ›เปˆเบฝเบ™เปเบ›เบ‡เบˆเบฒเบเบฅเบธเป‰เบ™เบเปˆเบญเบ™, เปเบ•เปˆเป€เบ™เบทเปˆเบญเบ‡เบˆเบฒเบเบเบธเปˆเบกเบเบฑเบ‡เปƒเบŠเป‰เบฅเบฐเบšเบปเบšเบเบฒเบ™เป€เบ‚เบปเป‰เบฒเบฅเบฐเบซเบฑเบ”เบชเบฐเบ•เบฃเบดเบ‡เปเบšเบšเบ”เบฝเบงเบเบฑเบ™, เบเบฒเบ™เบ–เบญเบ”เบฅเบฐเบซเบฑเบ”เบชเบฒเบกเบฒเบ”เบญเบฑเบ”เบ•เบฐเป‚เบ™เบกเบฑเบ”เป„เบ”เป‰. เบ™เบญเบเป€เปœเบทเบญเป„เบ›เบˆเบฒเบเป‚เบžเบชเบ™เบตเป‰, เบžเบงเบเป€เบฎเบปเบฒเบเปเบฒเบฅเบฑเบ‡เบ›เปˆเบญเบเบ•เบปเบงเบชเบฐเบ„เบฃเบดเบš IDA เบ—เบตเปˆเปƒเบŠเป‰ Hex-Rays API เป€เบžเบทเปˆเบญเบ–เบญเบ”เบฅเบฐเบซเบฑเบ”เบชเบฐเบ•เบฃเบดเบ‡เบ—เบตเปˆเบกเบตเบขเบนเปˆเปƒเบ™เป„เบŸเบฅเปŒเป„เบšเบ™เบฒเบฃเบต. script เบ™เบตเป‰เบญเบฒเบ”เบˆเบฐเบŠเปˆเบงเบเปƒเบ™เบเบฒเบ™เบงเบดเป€เบ„เบฒเบฐเปƒเบ™เบญเบฐเบ™เบฒเบ„เบปเบ”เบ‚เบญเบ‡ OceanLotus เปเบฅเบฐเบเบฒเบ™เบงเบดเป€เบ„เบฒเบฐเบ•เบปเบงเบขเปˆเบฒเบ‡เบ—เบตเปˆเบกเบตเบขเบนเปˆเปเบฅเป‰เบงเบ—เบตเปˆเบžเบงเบเป€เบฎเบปเบฒเบเบฑเบ‡เบšเปเปˆเบ—เบฑเบ™เบชเบฒเบกเบฒเบ”เป„เบ”เป‰เบฎเบฑเบš. script เปเบกเปˆเบ™เบญเบตเบ‡เปƒเบชเปˆเบงเบดเบ—เบตเบเบฒเบ™เบ—เบปเปˆเบงเป„เบ›เบชเปเบฒเบฅเบฑเบšเบเบฒเบ™เบฎเบฑเบš arguments เบœเปˆเบฒเบ™เป„เบ›เบซเบฒเบŸเบฑเบ‡เบŠเบฑเบ™. เบ™เบญเบเบˆเบฒเบเบ™เบฑเป‰เบ™, เบกเบฑเบ™เบŠเบญเบเบซเบฒเบเบฒเบ™เบกเบญเบšเบซเบกเบฒเบเบžเบฒเบฅเบฒเบกเบดเป€เบ•เบต. เบงเบดเบ—เบตเบเบฒเบ™เบชเบฒเบกเบฒเบ”เบ–เบทเบเบ™เปเบฒเบกเบฒเปƒเบŠเป‰เบ„เบทเบ™เปƒเบซเบกเปˆเป€เบžเบทเปˆเบญเป€เบญเบปเบฒเบฅเบฒเบเบŠเบทเปˆเบ‚เบญเบ‡เบญเบฒเบเบดเบงเป€เบกเบฑเบ™เบŸเบฑเบ‡เบŠเบฑเบ™เปเบฅเบฐเบซเบผเบฑเบ‡เบˆเบฒเบเบ™เบฑเป‰เบ™เบชเบปเปˆเบ‡เบกเบฑเบ™เป„เบ›เบซเบฒเบเบฒเบ™เป‚เบ—เบเบฑเบšเบ„เบทเบ™.

เบฎเบนเป‰เบˆเบฑเบเบ•เบปเป‰เบ™เปเบšเบšเบเบฒเบ™เบ—เปเบฒเบ‡เบฒเบ™ เบ–เบญเบ”เบฅเบฐเบซเบฑเบ”, script เบŠเบญเบเบซเบฒเบเบฒเบ™เบญเป‰เบฒเบ‡เบญเบดเบ‡เบ‚เป‰เบฒเบกเบ—เบฑเบ‡เบซเบกเบปเบ”เบเบฑเบšเบŸเบฑเบ‡เบŠเบฑเบ™เบ™เบตเป‰, เบเบฒเบ™เป‚เบ•เป‰เบ–เบฝเบ‡เบ—เบฑเบ‡เบซเบกเบปเบ”, เบซเบผเบฑเบ‡เบˆเบฒเบเบ™เบฑเป‰เบ™เบ–เบญเบ”เบฅเบฐเบซเบฑเบ”เบ‚เปเป‰เบกเบนเบ™เปเบฅเบฐเบงเบฒเบ‡เบ‚เปเป‰เบ„เบงเบฒเบกเบ—เปเบฒเบกเบฐเบ”เบฒเบžเบฒเบเปƒเบ™เบ„เปเบฒเป€เบซเบฑเบ™เบขเบนเปˆเบ—เบตเปˆเบ—เบตเปˆเบขเบนเปˆเบญเป‰เบฒเบ‡เบญเบตเบ‡เบ‚เป‰เบฒเบก. เป€เบžเบทเปˆเบญเปƒเบซเป‰เบชเบฐเบ„เบฃเบดเบšเป€เบฎเบฑเบ”เบงเบฝเบเบขเปˆเบฒเบ‡เบ–เบทเบเบ•เป‰เบญเบ‡, เบกเบฑเบ™เบ•เป‰เบญเบ‡เบ–เบทเบเบ•เบฑเป‰เบ‡เป€เบ›เบฑเบ™เบ•เบปเบงเบญเบฑเบเบชเบญเบ™เบ—เบตเปˆเบเปเบฒเบซเบ™เบปเบ”เป€เบญเบ‡เบ—เบตเปˆเปƒเบŠเป‰เป‚เบ”เบเบŸเบฑเบ‡เบŠเบฑเบ™เบเบฒเบ™เบ–เบญเบ”เบฅเบฐเบซเบฑเบ” base64, เปเบฅเบฐเบ•เบปเบงเปเบ›เบ—เบปเปˆเบงเป‚เบฅเบเบ•เป‰เบญเบ‡เบ–เบทเบเบเปเบฒเบ™เบปเบ”เบ—เบตเปˆเบกเบตเบ„เบงเบฒเบกเบเบฒเบงเบ‚เบญเบ‡เบ„เบต (เปƒเบ™เบเปเบฅเบฐเบ™เบตเบ™เบตเป‰ DWORD, เป€เบšเบดเปˆเบ‡เบฎเบนเบš 4).

OceanLotus: เบญเบฑเบšเป€เบ”เบ” Malware เบชเปเบฒเบฅเบฑเบš macOS
เบฎเบนเบšเบ—เบต 4. เบ™เบดเบเบฒเบกเบ‚เบญเบ‡เบ•เบปเบงเปเบ›เบ—เบปเปˆเบงเป‚เบฅเบ key_len

เปƒเบ™เบซเบ™เป‰เบฒเบ•เปˆเบฒเบ‡ Function, เบ—เปˆเบฒเบ™เบชเบฒเบกเบฒเบ”เบ„เบฅเบดเบเบ‚เบงเบฒเปƒเบชเปˆเบซเบ™เป‰เบฒเบ—เบตเปˆเบ–เบญเบ”เบฅเบฐเบซเบฑเบ”เปเบฅเบฐเบ„เบฅเบดเบ "Extract and decrypt arguments." เบชเบฐเบ„เบฃเบดเบšเบ„เบงเบ™เบงเบฒเบ‡เบชเบฒเบเบ—เบตเปˆเบ–เบญเบ”เบฅเบฐเบซเบฑเบ”เป„เบงเป‰เปƒเบ™เบ„เปเบฒเป€เบซเบฑเบ™, เบ”เบฑเปˆเบ‡เบ—เบตเปˆเบชเบฐเปเบ”เบ‡เปƒเบ™เบฎเบนเบš 5.

OceanLotus: เบญเบฑเบšเป€เบ”เบ” Malware เบชเปเบฒเบฅเบฑเบš macOS
เบฎเบนเบš 5. เบ‚เปเป‰เบ„เบงเบฒเบกเบ—เบตเปˆเบ–เบญเบ”เบฅเบฐเบซเบฑเบ”เบ–เบทเบเบงเบฒเบ‡เป„เบงเป‰เปƒเบ™เบ„เปเบฒเป€เบซเบฑเบ™

เบ”เป‰เบงเบเบงเบดเบ—เบตเบ™เบตเป‰, เบชเบฐเบ•เบฃเบดเบ‡เบ—เบตเปˆเบ–เบญเบ”เบฅเบฐเบซเบฑเบ”เบ–เบทเบเบˆเบฑเบ”เปƒเบชเปˆเป€เบ‚เบปเป‰เบฒเบเบฑเบ™เบขเปˆเบฒเบ‡เบชเบฐเบ”เบงเบเบขเบนเปˆเปƒเบ™เบ›เปˆเบญเบ‡เบขเป‰เบฝเบก IDA xrefs เบชเปเบฒเบฅเบฑเบšเบŸเบฑเบ‡เบŠเบฑเบ™เบ™เบตเป‰เบ•เบฒเบกเบ—เบตเปˆเบชเบฐเปเบ”เบ‡เบขเบนเปˆเปƒเบ™เบฎเบนเบš 6.

OceanLotus: เบญเบฑเบšเป€เบ”เบ” Malware เบชเปเบฒเบฅเบฑเบš macOS
เบฎเบนเบš 6. Xrefs เบเบฑเบš f_decrypt function

script เบชเบธเบ”เบ—เป‰เบฒเบเบชเบฒเบกเบฒเบ”เบžเบปเบšเป„เบ”เป‰เบ—เบตเปˆ เบ„เบฑเบ‡เป€เบเบฑเบšเบ‚เปเป‰เบกเบนเบ™ Github.

เบชเบฐเบซเบฅเบธเบš

เบ”เบฑเปˆเบ‡เบ—เบตเปˆเป„เบ”เป‰เบเปˆเบฒเบงเบกเบฒเปเบฅเป‰เบง, OceanLotus เบเปเบฒเบฅเบฑเบ‡เบ›เบฑเบšเบ›เบธเบ‡เปเบฅเบฐเบ›เบฑเบšเบ›เบธเบ‡เบŠเบธเบ”เป€เบ„เบทเปˆเบญเบ‡เบกเบทเบ‚เบญเบ‡เบ•เบปเบ™เบขเปˆเบฒเบ‡เบ•เปเปˆเป€เบ™เบทเปˆเบญเบ‡. เป€เบงเบฅเบฒเบ™เบตเป‰, เบเบธเปˆเบก cyber เป„เบ”เป‰เบ›เบฑเบšเบ›เบธเบ‡ malware เป€เบžเบทเปˆเบญเป€เบฎเบฑเบ”เบงเบฝเบเบเบฑเบšเบœเบนเป‰เปƒเบŠเป‰ Mac. เบฅเบฐเบซเบฑเบ”เบšเปเปˆเป„เบ”เป‰เบ›เปˆเบฝเบ™เปเบ›เบ‡เบซเบผเบฒเบ, เปเบ•เปˆเป€เบ™เบทเปˆเบญเบ‡เบˆเบฒเบเบœเบนเป‰เปƒเบŠเป‰ Mac เบซเบผเบฒเบเบ„เบปเบ™เบšเปเปˆเบชเบปเบ™เปƒเบˆเบœเบฐเบฅเบดเบ”เบ•เบฐเบžเบฑเบ™เบ„เบงเบฒเบกเบ›เบญเบ”เป„เบž, เบเบฒเบ™เบ›เบปเบเบ›เป‰เบญเบ‡ malware เบˆเบฒเบเบเบฒเบ™เบเบงเบ”เบชเบญเบšเปเบกเปˆเบ™เบกเบตเบ„เบงเบฒเบกเบชเปเบฒเบ„เบฑเบ™เบญเบฑเบ™เบ”เบฑเบšเบชเบญเบ‡.

เบœเบฐเบฅเบดเบ”เบ•เบฐเบžเบฑเบ™ ESET เป„เบ”เป‰เบเบงเบ”เบžเบปเบšเป„เบŸเบฅเปŒเบ™เบตเป‰เปเบฅเป‰เบงเปƒเบ™เป€เบงเบฅเบฒเบ„เบปเป‰เบ™เบ„เป‰เบงเบฒ. เป€เบ™เบทเปˆเบญเบ‡เบˆเบฒเบเบงเปˆเบฒเบซเป‰เบญเบ‡เบชเบฐเบซเบกเบธเบ”เป€เบ„เบทเบญเบ‚เปˆเบฒเบเบ—เบตเปˆเปƒเบŠเป‰เบชเปเบฒเบฅเบฑเบšเบเบฒเบ™เบชเบทเปˆเบชเบฒเบ™ C&C เบ•เบญเบ™เบ™เบตเป‰เบ–เบทเบเป€เบ‚เบปเป‰เบฒเบฅเบฐเบซเบฑเบ”เบขเบนเปˆเปƒเบ™เปเบœเปˆเบ™, เป‚เบ›เป‚เบ•เบ„เบญเบ™เป€เบ„เบทเบญเบ‚เปˆเบฒเบเบ—เบตเปˆเปเบ™เปˆเบ™เบญเบ™เบ—เบตเปˆเปƒเบŠเป‰เป‚เบ”เบเบœเบนเป‰เป‚เบˆเบกเบ•เบตเปเบกเปˆเบ™เบเบฑเบ‡เบšเปเปˆเบ—เบฑเบ™เบฎเบนเป‰เป€เบ—เบทเปˆเบญ.

เบ•เบปเบงเบŠเบตเป‰เบงเบฑเบ”เบ‚เบญเบ‡เบเบฒเบ™เบ›เบฐเบ™เบตเบ›เบฐเบ™เบญเบก

เบ•เบปเบงเบŠเบตเป‰เบงเบฑเบ”เบ‚เบญเบ‡เบเบฒเบ™เบ›เบฐเบ™เบตเบ›เบฐเบ™เบญเบกเป€เบŠเบฑเปˆเบ™เบ”เบฝเบงเบเบฑเบ™เบเบฑเบšเบ„เบธเบ™เบฅเบฑเบเบชเบฐเบ™เบฐ MITER ATT&CK เปเบกเปˆเบ™เบกเบตเบขเบนเปˆเปƒเบ™ GitHub.

เปเบซเบผเปˆเบ‡เบ‚เปเป‰เบกเบนเบ™: www.habr.com

เป€เบžเบตเปˆเบกเบ„เบงเบฒเบกเบ„เบดเบ”เป€เบซเบฑเบ™