I te Poutu-te-rangi 2019, he tauira hou o te macOS malware mai i te roopu ipurangi OceanLotus i tukuna ki VirusTotal, he ratonga matawai ipurangi rongonui. He rite tonu te kaha o te konae kawe i muri ki te putanga o mua o te macOS malware i akohia e matou, engari kua huri tona hanganga, kua uaua ake te kite. Heoi ano, kaore i kitea e matou he topata e pa ana ki tenei tauira, no reira kaore ano matou i te mohio ki te kawe mate.
No tata nei matou i whakaputa me pehea e ngana ana nga kaiwhakahaere ki te whakarato i te tohe, ki te whakatere i te mahi waehere, me te whakaiti i nga tapuwae i runga i nga punaha Windows. E mohiotia ana ano kei tenei roopu ipurangi he waahanga mo te macOS. Ko tenei panui e whakaatu ana i nga huringa o te putanga hou o te malware mo te macOS ki te whakataurite ki te putanga o mua (), me te whakaahua hoki me pehea e taea ai e koe te whakaaunoa i te wetemunatanga o nga aho i te wa tātaritanga ma te whakamahi i te IDA Hex-Rays API.
Анализ
Ko nga waahanga e toru e whai ake nei e whakaatu ana i te tātaritanga o tetahi tauira whai tohu SHA-1 E615632C9998E4D3E5ACD8851864ED09B02C77D2. Ka karangahia te kōnae rama rama, ka kitea e nga hua wheori ESET hei OSX/OceanLotus.D.
Te whakamarumaru i te patuiro me te pouaka kirikiri
Pērā i te katoa o te macOS OceanLotus binaries, ko te tauira kei te kiki ki te UPX, engari ko te nuinga o nga taputapu tohu tohu karekau e mohio he pera. Ko tenei pea na te mea kei roto i te nuinga o nga waitohu e whakawhirinaki ana ki te waahi o te aho "UPX", i tua atu, he iti noa nga waitohu Mach-O me te kore e whakahoutia i nga wa katoa. Ko tenei ahuatanga he uaua ki te rapu pateko. He mea whakamiharo, i muri i te wetewete, kei te timatanga o te wahanga te urunga __cfstring i roto i te waahanga .TEXT. Kei tenei waahanga nga huanga haki e whakaatuhia ana i te ahua i raro nei.
Whakaahua 1. MACH-O __cfstring waahanga huanga
Ka rite ki te whakaatu i te Whakaahua 2, nga waahi waehere i te waahanga __cfstring ka taea e koe te tinihanga i etahi taputapu wetewete ma te whakaatu waehere hei aho.
Whakaahua 2. Ko te waehere backdoor i kitea e IDA hei raraunga
Ka oti ana te mahi, ka hangaia e te rua he miro hei anti-debugger ko tana kaupapa anake he tirotiro tonu mo te noho o te kaipatu. Mo tenei rere:
— Ka ngana ki te wetewete i tetahi patuiro, waea ptrace с PT_DENY_ATTACH hei tawhā tono
- Ka tirohia mena kei te tuwhera etahi tauranga motuhake ma te waea i tetahi mahi task_get_exception_ports
- Ka tirohia mena kei te hono te patuiro, penei i te ahua i raro nei, ma te tirotiro i te waahi o te haki P_TRACED i roto i te tukanga o naianei
Whakaatu 3. Te tirotiro i te hononga patuiro ma te whakamahi i te mahi sysctl
Mena ka kitea e te kaitutei te aroaro o te kaipatu, ka karangahia te mahi exit. I tua atu, ka tirotirohia e te tauira te taiao ma te whakahaere i nga whakahau e rua:
ioreg -l | grep -e "Manufacturer" и sysctl hw.model
Ka tirohia e te tauira te uara whakahoki mai ki te rarangi tohu-maatau o nga aho mai i nga punaha mariko e mohiotia ana: acle, VMware, pouakaroto ranei whakariterite. Ka mutu, ka tirohia e te whakahau e whai ake nei mena ko te miihini tetahi o nga "MBP", "MBA", "MB", "MM", "IM", "MP" me "XS". He waehere tauira punaha enei, hei tauira, "MBP" te tikanga MacBook Pro, "MBA" te tikanga MacBook Air, etc.
system_profiler SPHardwareDataType 2>/dev/null | awk '/Boot ROM Version/ {split($0, line, ":");printf("%s", line[2]);}
Nga taapiri matua
Ahakoa kaore i rereke nga whakahau o muri mai i te rangahau a Trend Micro, i kite matou i etahi atu whakarereketanga. He tino hou nga tūmau C&C i whakamahia i tenei tauira, a, i hangaia i te 22.10.2018/XNUMX/XNUMX.
- daff.faybilodeau[.]com
- sarc.onteagleroad[.]com
- au.charlineopkesston[.]com
Kua huri te URL rauemi ki /dp/B074WC4NHW/ref=gbps_img_m-9_62c3_750e6b35.
Kei roto i te kete tuatahi i tukuna ki te tūmau C&C etahi atu korero mo te miihini manaaki, tae atu ki nga raraunga katoa i kohia e nga whakahau i te ripanga i raro nei.
I tua atu i tenei huringa whirihoranga, kaore te tauira e whakamahi i te whare pukapuka mo te tātari whatunga , engari he whare pukapuka o waho. Ki te kimi, ka ngana te tatau o muri ki te wetewete i nga konae katoa i te raarangi o naianei ma te whakamahi i te AES-256-CBC me te kii. gFjMXBgyXWULmVVVzyxy, he mea kapi ki te kore. Ko ia kōnae ka wetemuna ka tiakina hei /tmp/store, me te ngana ki te uta hei whare pukapuka ka mahia ma te whakamahi i te mahi . Ina puta te nganatanga wetemuna i te waea angitu dlopen, ka tangohia e te backdoor nga mahi kaweake Boriry и ChadylonV, ko te ahua nei te kawenga mo te whakawhitiwhiti whatunga me te tūmau. Karekau he topata me etahi atu konae mai i te waahi taketake o te tauira, na reira kaore e taea te poroporoaki i tenei whare pukapuka. I tua atu, i te mea kua whakamunatia te waahanga, kaore he ture YARA i runga i enei aho e taurite ki te konae i kitea i runga i te kōpae.
Ka rite ki te korero i roto i te tuhinga i runga ake nei, ka hangaia kiritakiID. Ko tenei ID ko te MD5 hash o te uara whakahoki o tetahi o nga whakahau e whai ake nei:
- ioreg -rd1 -c IOPlatformExpertDevice | awk '/IOPlatformSerialNumber/ { split($0, line, """); printf("%s", line[4]); }'
- ioreg -rd1 -c IOPlatformExpertDevice | awk '/IOPlatformUUID/ { split($0, line, """); printf("%s", line[4]); }'
- ifconfig en0 | awk '/ether /{print $2}' (whiwhi wāhitau MAC)
- kapa unknown ("x1ex72x0a"), e whakamahia ana i nga tauira o mua
I mua i te hashing, he "0" ranei "1" ka taapirihia ki te uara whakahoki hei tohu i nga painga pakiaka. Tenei kiritakiID rongoa ki roto /Library/Storage/File System/HFS/25cf5d02-e50b-4288-870a-528d56c3cf6e/pivtoken.appex, ki te whakahaerehia te waehere hei pakiaka, i roto ranei ~/Library/SmartCardsServices/Technology/PlugIns/drivers/snippets.ecgML i roto i era atu keehi katoa. Ko te nuinga o nga wa ka hunahia te konae ma te whakamahi i te mahi , ka hurihia tana tohu waahi ma te whakamahi i te whakahau touch –t me te uara matapōkere.
Wetewete aho
Pērā i ngā kōwhiringa o mua, ka whakamunatia ngā aho mā te whakamahi i te AES-256-CBC (kī hexadecimal: 9D7274AD7BCEF0DED29BDBB428C251DF8B350B92 i hoea ki te kore, me te IV kua whakakiia ki te kore) na roto i te mahi . Kua huri te matua mai i nga putanga o mua, engari i te mea kei te whakamahi tonu te roopu i taua algorithm whakamunatanga aho, ka taea te whakamunatanga aunoa. I tua atu i tenei pou, kei te tukuna e matou he tuhinga IDA e whakamahi ana i te Hex-Rays API ki te wetewete i nga aho kei roto i te konae rua. Ka awhina pea tenei tuhinga ki te tātaritanga o OceanLotus a meake nei me te tātaritanga o nga tauira o naianei kaore ano kia whiwhi. Ko te tuhi i runga i tetahi tikanga mo te whiwhi tohenga kua tukuna ki tetahi mahi. I tua atu, ka tirohia nga taumahi tawhā. Ka taea te whakamahi ano i te tikanga ki te tiki rarangi o nga tautohe mahi katahi ka tuku atu ki te hokiwaea.
Te mohio ki te tauira mahi whakaheke, ka kitea e te tuhinga nga tohutoro-whakawhiti katoa ki tenei mahi, nga tautohetohe katoa, katahi ka wetemuna nga raraunga me te whakatakoto i nga tuhinga maamaa ki roto i tetahi korero ki te wahitau tohutoro. Kia tika te mahi o te tuhinga, me whakarite ki te piapa ritenga e whakamahia ana e te mahi wetewete base64, me tautuhi he taurangi ao kei roto te roa o te matua (i tenei keehi he DWORD, tirohia te Whakaahua 4).
Whakaahua 4. Te whakamaramatanga o te key_len taurangi ao
I roto i te Matapihi Mahi, ka taea e koe te paato-matau i te mahi wetemuna ka paato i te "Tangohia me te whakakore i nga tautohetohe." Me tuu e te tuhinga nga rarangi wetemuna ki roto i nga korero, penei i te Whakaaturanga 5.
Whakaahua 5. Ko te tuhinga wetemuna ka tuu ki roto i nga korero
Ma tenei huarahi ka noho pai nga aho wetemuna ki te matapihi IDA xrefs mo tenei mahi pera i te Whakaahua 6.
Whakaatu 6. Xrefs ki te mahi f_decrypt
Ka kitea te tuhinga whakamutunga i .
mutunga
Ka rite ki te korero kua korerohia, kei te whakapai tonu a OceanLotus me te whakahou i tana kete taputapu. I tenei wa, kua whakapai ake te roopu ipurangi i te malware ki te mahi tahi me nga kaiwhakamahi Mac. Ko te waehere kaore i tino rerekee, engari i te mea he maha nga kaiwhakamahi Mac e kore e aro ki nga hua haumaru, he mea nui te tiaki i te malware mai i te kitenga.
Kua kitea e nga hua ESET tenei konae i te wa o te rangahau. Na te mea kua whakamunatia te whare pukapuka whatunga e whakamahia ana mo te whakawhitiwhiti C&C i runga i te kōpae, kaore ano kia mohiohia te kawa whatunga tika e whakamahia ana e nga kaiwhaiwhai.
Nga tohu o te tauwehe
Ko nga tohu whakaraerae me nga huanga MITER ATT&CK kei te waatea hoki .
Source: will.com