I te Poutu-te-rangi 2019, he tauira hou o te macOS malware mai i te roopu ipurangi OceanLotus i tukuna ki VirusTotal, he ratonga matawai ipurangi rongonui. He rite tonu te kaha o te konae kawe i muri ki te putanga o mua o te macOS malware i akohia e matou, engari kua huri tona hanganga, kua uaua ake te kite. Heoi ano, kaore i kitea e matou he topata e pa ana ki tenei tauira, no reira kaore ano matou i te mohio ki te kawe mate.
No tata nei matou i whakaputa
Анализ
Ko nga waahanga e toru e whai ake nei e whakaatu ana i te tātaritanga o tetahi tauira whai tohu SHA-1 E615632C9998E4D3E5ACD8851864ED09B02C77D2
. Ka karangahia te kōnae rama rama, ka kitea e nga hua wheori ESET hei OSX/OceanLotus.D.
Te whakamarumaru i te patuiro me te pouaka kirikiri
Pērā i te katoa o te macOS OceanLotus binaries, ko te tauira kei te kiki ki te UPX, engari ko te nuinga o nga taputapu tohu tohu karekau e mohio he pera. Ko tenei pea na te mea kei roto i te nuinga o nga waitohu e whakawhirinaki ana ki te waahi o te aho "UPX", i tua atu, he iti noa nga waitohu Mach-O me te kore e whakahoutia i nga wa katoa. Ko tenei ahuatanga he uaua ki te rapu pateko. He mea whakamiharo, i muri i te wetewete, kei te timatanga o te wahanga te urunga __cfstring
i roto i te waahanga .TEXT
. Kei tenei waahanga nga huanga haki e whakaatuhia ana i te ahua i raro nei.
Whakaahua 1. MACH-O __cfstring waahanga huanga
Ka rite ki te whakaatu i te Whakaahua 2, nga waahi waehere i te waahanga __cfstring
ka taea e koe te tinihanga i etahi taputapu wetewete ma te whakaatu waehere hei aho.
Whakaahua 2. Ko te waehere backdoor i kitea e IDA hei raraunga
Ka oti ana te mahi, ka hangaia e te rua he miro hei anti-debugger ko tana kaupapa anake he tirotiro tonu mo te noho o te kaipatu. Mo tenei rere:
— Ka ngana ki te wetewete i tetahi patuiro, waea ptrace
с PT_DENY_ATTACH
hei tawhā tono
- Ka tirohia mena kei te tuwhera etahi tauranga motuhake ma te waea i tetahi mahi task_get_exception_ports
- Ka tirohia mena kei te hono te patuiro, penei i te ahua i raro nei, ma te tirotiro i te waahi o te haki P_TRACED
i roto i te tukanga o naianei
Whakaatu 3. Te tirotiro i te hononga patuiro ma te whakamahi i te mahi sysctl
Mena ka kitea e te kaitutei te aroaro o te kaipatu, ka karangahia te mahi exit
. I tua atu, ka tirotirohia e te tauira te taiao ma te whakahaere i nga whakahau e rua:
ioreg -l | grep -e "Manufacturer" и sysctl hw.model
Ka tirohia e te tauira te uara whakahoki mai ki te rarangi tohu-maatau o nga aho mai i nga punaha mariko e mohiotia ana: acle, VMware, pouakaroto ranei whakariterite. Ka mutu, ka tirohia e te whakahau e whai ake nei mena ko te miihini tetahi o nga "MBP", "MBA", "MB", "MM", "IM", "MP" me "XS". He waehere tauira punaha enei, hei tauira, "MBP" te tikanga MacBook Pro, "MBA" te tikanga MacBook Air, etc.
system_profiler SPHardwareDataType 2>/dev/null | awk '/Boot ROM Version/ {split($0, line, ":");printf("%s", line[2]);}
Nga taapiri matua
Ahakoa kaore i rereke nga whakahau o muri mai i te rangahau a Trend Micro, i kite matou i etahi atu whakarereketanga. He tino hou nga tūmau C&C i whakamahia i tenei tauira, a, i hangaia i te 22.10.2018/XNUMX/XNUMX.
- daff.faybilodeau[.]com
- sarc.onteagleroad[.]com
- au.charlineopkesston[.]com
Kua huri te URL rauemi ki /dp/B074WC4NHW/ref=gbps_img_m-9_62c3_750e6b35
.
Kei roto i te kete tuatahi i tukuna ki te tūmau C&C etahi atu korero mo te miihini manaaki, tae atu ki nga raraunga katoa i kohia e nga whakahau i te ripanga i raro nei.
I tua atu i tenei huringa whirihoranga, kaore te tauira e whakamahi i te whare pukapuka mo te tātari whatunga gFjMXBgyXWULmVVVzyxy
, he mea kapi ki te kore. Ko ia kōnae ka wetemuna ka tiakina hei /tmp/store
, me te ngana ki te uta hei whare pukapuka ka mahia ma te whakamahi i te mahi dlopen
, ka tangohia e te backdoor nga mahi kaweake Boriry
и ChadylonV
, ko te ahua nei te kawenga mo te whakawhitiwhiti whatunga me te tūmau. Karekau he topata me etahi atu konae mai i te waahi taketake o te tauira, na reira kaore e taea te poroporoaki i tenei whare pukapuka. I tua atu, i te mea kua whakamunatia te waahanga, kaore he ture YARA i runga i enei aho e taurite ki te konae i kitea i runga i te kōpae.
Ka rite ki te korero i roto i te tuhinga i runga ake nei, ka hangaia kiritakiID. Ko tenei ID ko te MD5 hash o te uara whakahoki o tetahi o nga whakahau e whai ake nei:
- ioreg -rd1 -c IOPlatformExpertDevice | awk '/IOPlatformSerialNumber/ { split($0, line, """); printf("%s", line[4]); }'
- ioreg -rd1 -c IOPlatformExpertDevice | awk '/IOPlatformUUID/ { split($0, line, """); printf("%s", line[4]); }'
- ifconfig en0 | awk '/ether /{print $2}'
(whiwhi wāhitau MAC)
- kapa unknown ("x1ex72x0a
"), e whakamahia ana i nga tauira o mua
I mua i te hashing, he "0" ranei "1" ka taapirihia ki te uara whakahoki hei tohu i nga painga pakiaka. Tenei kiritakiID rongoa ki roto /Library/Storage/File System/HFS/25cf5d02-e50b-4288-870a-528d56c3cf6e/pivtoken.appex
, ki te whakahaerehia te waehere hei pakiaka, i roto ranei ~/Library/SmartCardsServices/Technology/PlugIns/drivers/snippets.ecgML i roto i era atu keehi katoa. Ko te nuinga o nga wa ka hunahia te konae ma te whakamahi i te mahi touch –t
me te uara matapōkere.
Wetewete aho
Pērā i ngā kōwhiringa o mua, ka whakamunatia ngā aho mā te whakamahi i te AES-256-CBC (kī hexadecimal: 9D7274AD7BCEF0DED29BDBB428C251DF8B350B92
i hoea ki te kore, me te IV kua whakakiia ki te kore) na roto i te mahi
Te mohio ki te tauira mahi whakaheke, ka kitea e te tuhinga nga tohutoro-whakawhiti katoa ki tenei mahi, nga tautohetohe katoa, katahi ka wetemuna nga raraunga me te whakatakoto i nga tuhinga maamaa ki roto i tetahi korero ki te wahitau tohutoro. Kia tika te mahi o te tuhinga, me whakarite ki te piapa ritenga e whakamahia ana e te mahi wetewete base64, me tautuhi he taurangi ao kei roto te roa o te matua (i tenei keehi he DWORD, tirohia te Whakaahua 4).
Whakaahua 4. Te whakamaramatanga o te key_len taurangi ao
I roto i te Matapihi Mahi, ka taea e koe te paato-matau i te mahi wetemuna ka paato i te "Tangohia me te whakakore i nga tautohetohe." Me tuu e te tuhinga nga rarangi wetemuna ki roto i nga korero, penei i te Whakaaturanga 5.
Whakaahua 5. Ko te tuhinga wetemuna ka tuu ki roto i nga korero
Ma tenei huarahi ka noho pai nga aho wetemuna ki te matapihi IDA xrefs mo tenei mahi pera i te Whakaahua 6.
Whakaatu 6. Xrefs ki te mahi f_decrypt
Ka kitea te tuhinga whakamutunga i
mutunga
Ka rite ki te korero kua korerohia, kei te whakapai tonu a OceanLotus me te whakahou i tana kete taputapu. I tenei wa, kua whakapai ake te roopu ipurangi i te malware ki te mahi tahi me nga kaiwhakamahi Mac. Ko te waehere kaore i tino rerekee, engari i te mea he maha nga kaiwhakamahi Mac e kore e aro ki nga hua haumaru, he mea nui te tiaki i te malware mai i te kitenga.
Kua kitea e nga hua ESET tenei konae i te wa o te rangahau. Na te mea kua whakamunatia te whare pukapuka whatunga e whakamahia ana mo te whakawhitiwhiti C&C i runga i te kōpae, kaore ano kia mohiohia te kawa whatunga tika e whakamahia ana e nga kaiwhaiwhai.
Nga tohu o te tauwehe
Ko nga tohu whakaraerae me nga huanga MITER ATT&CK kei te waatea hoki
Source: will.com