2019 මාර්තු මාසයේදී, OceanLotus සයිබර් සමූහයෙන් MacOS අනිෂ්ට මෘදුකාංගවල නව සාම්පලයක් ජනප්රිය සබැඳි ස්කෑනිං සේවාවක් වන VirusTotal වෙත උඩුගත කරන ලදී. backdoor executable ගොනුවට අප අධ්යයනය කළ macOS අනිෂ්ට මෘදුකාංගයේ පෙර අනුවාදයට සමාන හැකියාවන් ඇත, නමුත් එහි ව්යුහය වෙනස් වී ඇති අතර එය හඳුනා ගැනීම වඩාත් අපහසු වී ඇත. අවාසනාවකට, මෙම නියැදිය හා සම්බන්ධ බිංදුවක් සොයා ගැනීමට අපට නොහැකි විය, එබැවින් අපි තවමත් ආසාදන දෛශිකය නොදනිමු.
අපි මෑතකදී පළ කළෙමු
විශ්ලේෂණය
ඊළඟ කොටස් තුන SHA-1 හෑෂ් සමඟ නියැදියක විශ්ලේෂණය විස්තර කරයි E615632C9998E4D3E5ACD8851864ED09B02C77D2
. ගොනුව හැඳින්වේ ෆ්ලෑෂ් ලයිට්, ESET ප්රති-වයිරස නිෂ්පාදන එය OSX/OceanLotus.D ලෙස හඳුනා ගනී.
ප්රති-නිදොස්කරණය සහ වැලිපිල්ල ආරක්ෂාව
සියලුම macOS OceanLotus ද්විමය මෙන්, නියැදිය UPX සමඟ ඇසුරුම් කර ඇත, නමුත් බොහෝ පැකේජ හඳුනාගැනීමේ මෙවලම් එය එසේ හඳුනා නොගනී. මෙයට බොහෝ විට “UPX” තන්තුවේ පැවැත්ම මත රඳා පවතින අත්සනක් අඩංගු වන නිසා විය හැකිය, ඊට අමතරව, Mach-O අත්සන් අඩු පොදු වන අතර නිතර යාවත්කාලීන නොවේ. මෙම විශේෂාංගය ස්ථිතික හඳුනාගැනීම අපහසු කරයි. සිත්ගන්නා කරුණ නම්, ඇසුරුම් කිරීමෙන් පසු, ඇතුල්වීමේ ස්ථානය කොටසේ ආරම්භයේ ය __cfstring
කොටසේ .TEXT
. පහත රූපයේ දැක්වෙන පරිදි මෙම කොටසෙහි ධජ ගුණාංග ඇත.
රූපය 1. MACH-O __cfstring කොටසේ ගුණාංග
රූප සටහන 2 හි පෙන්වා ඇති පරිදි, කොටසේ කේත ස්ථාන __cfstring
කේතය තන්තු ලෙස පෙන්වීමෙන් සමහර විසුරුවා හැරීමේ මෙවලම් රැවටීමට ඔබට ඉඩ සලසයි.
රූපය 2. දත්ත ලෙස IDA විසින් අනාවරණය කරගත් පසු දොර කේතය
ක්රියාත්මක වූ පසු, ද්විමය මඟින් ප්රති-නිදොස්කරණයක් ලෙස නූලක් නිර්මාණය කරයි, එහි එකම අරමුණ නිදොස්කරණයක් තිබේද යන්න අඛණ්ඩව පරීක්ෂා කිරීමයි. මෙම ප්රවාහය සඳහා:
- ඕනෑම නිදොස්කරණයක් ඉවත් කිරීමට උත්සාහ කරයි, ඇමතීම ptrace
с PT_DENY_ATTACH
ඉල්ලීම් පරාමිතියක් ලෙස
- ශ්රිතයක් ඇමතීමෙන් සමහර සුවිශේෂී වරායන් විවෘත දැයි පරීක්ෂා කරයි task_get_exception_ports
- පහත රූපයේ දැක්වෙන පරිදි, ධජයේ පැවැත්ම පරීක්ෂා කිරීම මගින් නිදොස්කරණය සම්බන්ධ වී ඇත්දැයි පරීක්ෂා කරයි P_TRACED
වත්මන් ක්රියාවලිය තුළ
රූපය 3. sysctl ශ්රිතය භාවිතයෙන් නිදොස් කිරීමේ සම්බන්ධතාව පරීක්ෂා කිරීම
මුරකරු දෝශ නිරාකරණයක පැවැත්ම හඳුනා ගන්නේ නම්, කාර්යය හැඳින්වේ exit
. ඊට අමතරව, නියැදිය විධාන දෙකක් ක්රියාත්මක කිරීමෙන් පරිසරය පරීක්ෂා කරයි:
ioreg -l | grep -e "Manufacturer" и sysctl hw.model
නියැදිය පසුව දන්නා අථත්යකරණ පද්ධති වලින් දෘඪ-කේතගත තන්තු ලැයිස්තුවකට එරෙහිව ප්රතිලාභ අගය පරීක්ෂා කරයි: acle, vmware, අතථ්ය පෙට්ටිය හෝ සමානකම්. අවසාන වශයෙන්, ඊළඟ විධානය මඟින් යන්ත්රය පහත “MBP”, “MBA”, “MB”, “MM”, “IM”, “MP” සහ “XS” වලින් එකක් දැයි පරීක්ෂා කරයි. මේවා පද්ධති ආකෘති කේත වේ, උදාහරණයක් ලෙස, "MBP" යනු MacBook Pro, "MBA" යනු MacBook Air යනාදියයි.
system_profiler SPHardwareDataType 2>/dev/null | awk '/Boot ROM Version/ {split($0, line, ":");printf("%s", line[2]);}
ප්රධාන එකතු කිරීම්
Trend Micro පර්යේෂණයෙන් පසු backdoor commands වෙනස් වී නැතත්, අපි තවත් වෙනස් කිරීම් කිහිපයක් දුටුවෙමු. මෙම නියැදියේ භාවිතා කරන ලද C&C සේවාදායකයන් තරමක් අලුත් වන අතර ඒවා 22.10.2018/XNUMX/XNUMX දින නිර්මාණය කරන ලදී.
- daff.faybilodeau[.]com
- sarc.onteagleroad[.]com
- au.charlineopkesston[.]com
සම්පත් URL එක වෙනස් වී ඇත /dp/B074WC4NHW/ref=gbps_img_m-9_62c3_750e6b35
.
C&C සේවාදායකය වෙත යවන ලද පළමු පැකට්ටුවේ පහත වගුවේ ඇති විධානයන් මගින් එකතු කරන ලද සියලුම දත්ත ඇතුළුව ධාරක යන්ත්රය පිළිබඳ වැඩි විස්තර අඩංගු වේ.
මෙම වින්යාස වෙනස් කිරීමට අමතරව, නියැදිය ජාල පෙරීම සඳහා පුස්තකාලයක් භාවිතා නොකරයි gFjMXBgyXWULmVVVzyxy
, බිංදු වලින් පිරවූ. සෑම ගොනුවක්ම විකේතනය කර සුරකිනු ලැබේ /tmp/store
, සහ එය පුස්තකාලයක් ලෙස පැටවීමේ උත්සාහයක් ශ්රිතය භාවිතයෙන් සිදු කෙරේ dlopen
, backdoor exported functions exports Boriry
и ChadylonV
, සේවාදායකය සමඟ ජාල සන්නිවේදනය සඳහා පැහැදිලිවම වගකිව යුතු ය. නියැදියේ මුල් ස්ථානයෙන් ඩ්රොපර් හෝ වෙනත් ගොනු අප සතුව නැත, එබැවින් අපට මෙම පුස්තකාලය විග්රහ කළ නොහැක. තවද, සංරචකය සංකේතනය කර ඇති බැවින්, මෙම තන්තු මත පදනම් වූ YARA රීතියක් තැටියේ ඇති ගොනුව සමඟ නොගැලපේ.
ඉහත ලිපියේ විස්තර කර ඇති පරිදි, එය නිර්මාණය කරයි සේවාදායක හැඳුනුම්පත. මෙම හැඳුනුම්පත පහත දැක්වෙන විධානයන්ගෙන් එකක ප්රතිලාභ අගයේ MD5 හැෂ් වේ:
- ioreg -rd1 -c IOPlatformExpertDevice | awk '/IOPlatformSerialNumber/ { split($0, line, """); printf("%s", line[4]); }'
- ioreg -rd1 -c IOPlatformExpertDevice | awk '/IOPlatformUUID/ { split($0, line, """); printf("%s", line[4]); }'
- ifconfig en0 | awk '/ether /{print $2}'
(MAC ලිපිනය ලබා ගන්න)
- නොදන්නා කණ්ඩායම ("x1ex72x0a
"), එය පෙර සාම්පලවල භාවිතා වේ
හැෂ් කිරීමට පෙර, මූල වරප්රසාද දැක්වීමට "0" හෝ "1" ප්රතිලාභ අගයට එකතු කරනු ලැබේ. මෙය සේවාදායක හැඳුනුම්පත තුළ ගබඩා කර ඇත /Library/Storage/File System/HFS/25cf5d02-e50b-4288-870a-528d56c3cf6e/pivtoken.appex
, කේතය root ලෙස ධාවනය කරන්නේ නම් හෝ ~/Library/SmartCardsServices/Technology/PlugIns/drivers/snippets.ecgML අනෙකුත් සියලුම අවස්ථා වලදී. ගොනුව සාමාන්යයෙන් කාර්යය භාවිතයෙන් සැඟවී ඇත touch –t
අහඹු අගයක් සමඟ.
තන්තු විකේතනය කිරීම
පෙර විකල්පයන් මෙන්, තන්තු AES-256-CBC භාවිතයෙන් සංකේතනය කර ඇත (ෂඩාස්රාකාර යතුර: 9D7274AD7BCEF0DED29BDBB428C251DF8B350B92
ශුන්ය වලින් පිරවූ අතර IV ශුන්ය වලින් පුරවා ඇත) ශ්රිතය හරහා
ශ්රිත මූලාකෘතිය දැන ගැනීම විසන්ධි විය, ස්ක්රිප්ටය මෙම ශ්රිතයේ සියලුම හරස් යොමු කිරීම්, සියලු තර්ක සොයා ගනී, පසුව දත්ත විකේතනය කර හරස් යොමු ලිපිනයේ ප්රකාශයක් තුළ සරල පෙළ තබයි. ස්ක්රිප්ට් එක නිවැරදිව ක්රියා කිරීම සඳහා, එය base64 විකේතන ශ්රිතය මඟින් භාවිතා කරන අභිරුචි හෝඩියට සැකසිය යුතු අතර, යතුරේ දිග අඩංගු ගෝලීය විචල්යයක් අර්ථ දැක්විය යුතුය (මෙම අවස්ථාවේදී DWORD, රූපය 4 බලන්න).
රූපය 4. ගෝලීය විචල්ය key_len අර්ථ දැක්වීම
ක්රියාකාරී කවුළුව තුළ, ඔබට විකේතන ශ්රිතය දකුණු-ක්ලික් කර "උපුටා ගැනීම සහ විසංකේතනය කරන්න" ක්ලික් කරන්න. ස්ක්රිප්ටය රූප සටහන 5 හි පෙන්වා ඇති පරිදි විකේතනය කළ රේඛා අදහස් දැක්වීම්වල තැබිය යුතුය.
රූපය 5. විකේතනය කළ පෙළ අදහස් දැක්වීම්වල තබා ඇත
මේ ආකාරයෙන් විකේතනය කරන ලද නූල් IDA කවුළුව තුළ පහසුවෙන් එකට තබා ඇත xrefs මෙම කාර්යය සඳහා රූප සටහන 6 හි පෙන්වා ඇත.
රූපය 6. Xrefs to f_decrypt ශ්රිතය
අවසාන පිටපත සොයාගත හැකිය
නිගමනය
දැනටමත් සඳහන් කර ඇති පරිදි, OceanLotus නිරන්තරයෙන් එහි මෙවලම් කට්ටලය වැඩිදියුණු කිරීම සහ යාවත්කාලීන කිරීම සිදු කරයි. මෙම අවස්ථාවේදී, සයිබර් සමූහය මැක් පරිශීලකයින් සමඟ වැඩ කිරීමට අනිෂ්ට මෘදුකාංග වැඩිදියුණු කර ඇත. කේතය බොහෝ වෙනස් වී නැත, නමුත් බොහෝ Mac භාවිතා කරන්නන් ආරක්ෂක නිෂ්පාදන නොසලකා හරින බැවින්, අනිෂ්ට මෘදුකාංග හඳුනා ගැනීමෙන් ආරක්ෂා කිරීම ද්විතියික වැදගත්කමකි.
ESET නිෂ්පාදන පර්යේෂණය කරන විට දැනටමත් මෙම ගොනුව අනාවරණය කරගෙන තිබුණි. C&C සන්නිවේදනය සඳහා භාවිතා කරන ජාල පුස්තකාලය දැන් තැටියේ සංකේතනය කර ඇති නිසා, ප්රහාරකයන් විසින් භාවිතා කරන නිවැරදි ජාල ප්රොටෝකෝලය තවමත් නොදනී.
සම්මුතියේ දර්ශක
සම්මුතියේ දර්ශක මෙන්ම MITER ATT&CK ගුණාංග ද පවතී
මූලාශ්රය: www.habr.com