OceanLotus: ļaunprātīgas programmatūras atjauninājums operētājsistēmai macOS

2019. gada martā populārajā tiešsaistes skenēšanas pakalpojumā VirusTotal tika augšupielādēts jauns macOS ļaunprātīgas programmatūras paraugs no kibergrupas OceanLotus. Aizmugurējo durvju izpildāmajam failam ir tādas pašas iespējas kā iepriekšējai mūsu pētītās macOS ļaunprātīgas programmatūras versijai, taču tā struktūra ir mainījusies, un to ir kļuvis grūtāk noteikt. Diemžēl mēs nevarējām atrast ar šo paraugu saistītu pilinātāju, tāpēc mēs vēl nezinām infekcijas vektoru.

Mēs nesen publicējām ziņa par OceanLotus un to, kā operatori cenšas nodrošināt noturību, paātrināt koda izpildi un samazināt Windows sistēmu nospiedumu. Ir arī zināms, ka šai kibergrupai ir arī macOS komponents. Šajā ziņojumā ir sniegta informācija par izmaiņām jaunākajā MacOS ļaunprātīgas programmatūras versijā salīdzinājumā ar iepriekšējo versiju (aprakstījis Trend Micro), kā arī aprakstīts, kā analīzes laikā varat automatizēt virkņu atšifrēšanu, izmantojot IDA Hex-Rays API.

Analīze

Nākamajās trīs daļās ir aprakstīta parauga analīze ar SHA-1 jaucējkodu E615632C9998E4D3E5ACD8851864ED09B02C77D2. Fails tiek izsaukts lukturītis, ESET antivīrusu produkti to nosaka kā OSX/OceanLotus.D.

Pret atkļūdošanas un smilškastes aizsardzība

Tāpat kā visi macOS OceanLotus binārie faili, paraugs ir iesaiņots ar UPX, taču lielākā daļa pakotņu identifikācijas rīku to neatpazīst. Iespējams, tas ir tāpēc, ka tie galvenokārt satur parakstu, kas ir atkarīgs no “UPX” virknes klātbūtnes, turklāt Mach-O paraksti ir retāk sastopami un netiek tik bieži atjaunināti. Šī funkcija apgrūtina statiskā noteikšanu. Interesanti, ka pēc izpakošanas ieejas punkts atrodas sadaļas sākumā __cfstring segmentā .TEXT. Šai sadaļai ir karoga atribūti, kā parādīts tālāk esošajā attēlā.

1. attēls. MACH-O __cfstring sadaļas atribūti

Kā parādīts 2. attēlā, koda atrašanās vietas sadaļā __cfstring ļauj apmānīt dažus izjaukšanas rīkus, parādot kodu kā virknes.

2. attēls. Aizmugures durvju kods, ko IDA atklāja kā datus

Kad tas ir izpildīts, binārais fails izveido pavedienu kā pretatkļūdotāju, kura vienīgais mērķis ir nepārtraukti pārbaudīt, vai nav atkļūdotāja. Šai plūsmai:

— Mēģina atkabināt jebkuru atkļūdotāju, zvana ptrace с PT_DENY_ATTACH kā pieprasījuma parametrs
- Pārbauda, ​​vai daži ekskluzīvi porti ir atvērti, izsaucot funkciju task_get_exception_ports
- Pārbauda, ​​vai atkļūdotājs ir pievienots, kā parādīts attēlā zemāk, pārbaudot karoga klātbūtni P_TRACED pašreizējā procesā

3. attēls. Atkļūdotāja savienojuma pārbaude, izmantojot funkciju sysctl

Ja sargsuns konstatē atkļūdotāja klātbūtni, funkcija tiek izsaukta exit. Turklāt paraugs pārbauda vidi, izpildot divas komandas:

ioreg -l | grep -e "Manufacturer" и sysctl hw.model

Pēc tam paraugs pārbauda atgriezto vērtību, salīdzinot ar cieto kodu virkņu sarakstu no zināmām virtualizācijas sistēmām: acle, vmware, VirtualBox vai paralēles. Visbeidzot, nākamā komanda pārbauda, ​​vai iekārta ir viens no šiem “MBP”, “MBA”, “MB”, “MM”, “IM”, “MP” un “XS”. Tie ir sistēmas modeļu kodi, piemēram, “MBP” nozīmē MacBook Pro, “MBA” nozīmē MacBook Air utt.

system_profiler SPHardwareDataType 2>/dev/null | awk '/Boot ROM Version/ {split($0, line, ":");printf("%s", line[2]);}

Galvenie papildinājumi

Lai gan aizmugures durvju komandas nav mainījušās kopš Trend Micro pētījuma, mēs pamanījām dažas citas modifikācijas. Šajā paraugā izmantotie C&C serveri ir diezgan jauni un izveidoti 22.10.2018.

Sākot no daff.faybilodeau[.]com
Sākot no sarc.onteagleroad[.]com
Sākot no au.charlineopkeston[.]com

Resursa URL ir mainīts uz /dp/B074WC4NHW/ref=gbps_img_m-9_62c3_750e6b35.
Pirmajā C&C serverim nosūtītajā paketē ir ietverta plašāka informācija par resursdatoru, tostarp visi dati, kas savākti, izmantojot tālāk esošās tabulas komandas.

Papildus šīm konfigurācijas izmaiņām paraugā netiek izmantota bibliotēka tīkla filtrēšanai libcurl, bet ārēja bibliotēka. Lai to atrastu, aizmugures durvis mēģina atšifrēt katru failu pašreizējā direktorijā, izmantojot AES-256-CBC ar atslēgu gFjMXBgyXWULmVVVzyxy, polsterēts ar nullēm. Katrs fails tiek atšifrēts un saglabāts kā /tmp/store, un mēģinājums to ielādēt kā bibliotēku tiek veikts, izmantojot funkciju dlopen. Ja atšifrēšanas mēģinājuma rezultāts ir veiksmīgs zvans dlopen, aizmugures durvis izvilk eksportētās funkcijas Boriry и ChadylonV, kas acīmredzot ir atbildīgi par tīkla saziņu ar serveri. Mums nav pilinātāja vai citu failu no parauga sākotnējās atrašanās vietas, tāpēc mēs nevaram parsēt šo bibliotēku. Turklāt, tā kā komponents ir šifrēts, YARA kārtula, kuras pamatā ir šīs virknes, neatbilst diskā atrastajam failam.

Kā aprakstīts iepriekš rakstā, tas rada klienta ID. Šis ID ir vienas no tālāk norādīto komandu atgriešanas vērtības MD5 jaucējvārds:

Sākot no ioreg -rd1 -c IOPlatformExpertDevice | awk '/IOPlatformSerialNumber/ { split($0, line, """); printf("%s", line[4]); }'
Sākot no ioreg -rd1 -c IOPlatformExpertDevice | awk '/IOPlatformUUID/ { split($0, line, """); printf("%s", line[4]); }'
Sākot no ifconfig en0 | awk '/ether /{print $2}' (iegūstiet MAC adresi)
- nezināma komanda ("x1ex72x0a"), kas tika izmantots iepriekšējos paraugos

Pirms jaukšanas atgriešanas vērtībai tiek pievienots "0" vai "1", lai norādītu saknes tiesības. Šis klienta ID glabājas /Library/Storage/File System/HFS/25cf5d02-e50b-4288-870a-528d56c3cf6e/pivtoken.appex, ja kods tiek palaists kā root vai mapē ~/Library/SmartCardsServices/Technology/PlugIns/drivers/snippets.ecgML visos citos gadījumos. Fails parasti tiek paslēpts, izmantojot funkciju _chflags, tā laikspiedols tiek mainīts, izmantojot komandu touch –t ar nejaušu vērtību.

Stīgu dekodēšana

Tāpat kā iepriekšējās opcijās, virknes tiek šifrētas, izmantojot AES-256-CBC (heksadecimālā atslēga: 9D7274AD7BCEF0DED29BDBB428C251DF8B350B92 polsterēts ar nullēm un IV piepildīts ar nullēm), izmantojot funkciju CCCcrypt. Atslēga ir mainīta salīdzinājumā ar iepriekšējām versijām, taču, tā kā grupa joprojām izmanto to pašu virknes šifrēšanas algoritmu, atšifrēšanu var automatizēt. Papildus šai ziņai mēs izlaižam IDA skriptu, kas izmanto Hex-Rays API, lai atšifrētu binārajā failā esošās virknes. Šis skripts var palīdzēt turpmākajā OceanLotus analīzē un esošo paraugu analīzē, ko mēs vēl neesam spējuši iegūt. Skripts ir balstīts uz universālu metodi funkcijai nodoto argumentu saņemšanai. Turklāt tas meklē parametru piešķiršanu. Šo metodi var izmantot atkārtoti, lai iegūtu funkciju argumentu sarakstu un pēc tam nodotu to atzvanīšanai.

Zinot funkcijas prototipu atšifrēt, skripts atrod visas savstarpējās atsauces uz šo funkciju, visus argumentus, pēc tam atšifrē datus un ievieto vienkāršu tekstu komentārā savstarpējās atsauces adresē. Lai skripts darbotos pareizi, tas ir jāiestata uz pielāgoto alfabētu, ko izmanto base64 dekodēšanas funkcija, un ir jādefinē globālais mainīgais, kas satur atslēgas garumu (šajā gadījumā DWORD, skatiet 4. attēlu).

4. attēls. Globālā mainīgā key_len definīcija

Funkciju logā varat ar peles labo pogu noklikšķināt uz atšifrēšanas funkcijas un noklikšķināt uz "Izvilkt un atšifrēt argumentus". Skriptam ir jāievieto atšifrētās rindas komentāros, kā parādīts 5. attēlā.

Attēls 5. Atšifrētais teksts tiek ievietots komentāros

Tādā veidā atšifrētās virknes tiek ērti novietotas kopā IDA logā xrefs šai funkcijai, kā parādīts 6. attēlā.

6. attēls. Xrefs uz f_decrypt funkciju

Galīgo skriptu var atrast vietnē Github krātuve.

secinājums

Kā jau minēts, OceanLotus pastāvīgi uzlabo un atjaunina savu rīku komplektu. Šoreiz kibergrupa ir uzlabojusi ļaunprogrammatūru darbam ar Mac lietotājiem. Kods nav īpaši mainījies, taču, tā kā daudzi Mac lietotāji ignorē drošības produktus, ļaunprātīgas programmatūras aizsardzība pret atklāšanu ir sekundāra nozīme.

ESET produkti jau atrada šo failu izpētes laikā. Tā kā C&C saziņai izmantotā tīkla bibliotēka tagad ir šifrēta diskā, precīzs uzbrucēju izmantotais tīkla protokols vēl nav zināms.

Kompromisa rādītāji

Ir pieejami arī kompromisa indikatori, kā arī MITER ATT&CK atribūti GitHub.

Avots: www.habr.com