Bishii Maarso 2019, muunad cusub oo macOS malware ah oo ka timid kooxda internetka ee OceanLotus ayaa la galiyay VirusTotal, oo ah adeeg iskaanka internetka oo caan ah. Faylka dhabarka dambe ee la fulin karo wuxuu leeyahay awood la mid ah qaabkii hore ee macOS malware-ka aan baranay, laakiin qaab-dhismeedkiisu wuu isbedelay oo way adkeyd in la ogaado. Nasiib darro, waanu kari waynay inaan helno dhibco la xidhiidha muunaddan, sidaa awgeed wali ma garanayno fayraska caabuqa.
Waxaan dhawaan daabacnay iyo sida hawl-wadeenadu isku dayayaan inay bixiyaan adkaysi, dedejiya fulinta koodka, oo ay yareeyaan raadka nidaamka Windows. Waxaa sidoo kale la og yahay in kooxdan internetka ay sidoo kale leedahay qayb loogu talagalay macOS. Boostadani waxay faahfaahinaysaa isbeddelada nooca cusub ee malware-ka ee macOS marka la barbar dhigo noocii hore (), iyo sidoo kale wuxuu qeexayaa sida aad otomaatig ugu noqon karto fur-furka xargaha inta lagu jiro falanqaynta adoo isticmaalaya IDA Hex-Rays API.
Анализ
Saddexda qaybood ee soo socda waxay sharxayaan falanqaynta muunad leh xashiish SHA-1 E615632C9998E4D3E5ACD8851864ED09B02C77D2. Faylka ayaa la yiraahdaa toosh, Alaabta fayraska ESET waxay u aqoonsadaan inay yihiin OSX/OceanLotus.D.
Ka-hortagga qaladka iyo ilaalinta sanduuqa ciidda
Sida dhammaan binaries macOS OceanLotus, muunadda waxaa lagu baakadeeyay UPX, laakiin inta badan aaladaha aqoonsiga xirmooyinka ma aqoonsana sidaas oo kale. Tani waxay u badan tahay sababtoo ah waxay inta badan ka kooban yihiin saxiix ku xiran joogitaanka xargaha "UPX", marka lagu daro, saxiixyada Mach-O waa kuwo aan caadi ahayn oo aan la cusbooneysiin marar badan. Habkani waxa uu adkeynayaa ogaanshaha taagan Waxa xiiso leh, ka dib markii la furayo, meesha laga soo galo waa bilowga qaybta __cfstring qaybta .TEXT. Qaybtani waxay leedahay astaamo calanka sida ka muuqata sawirka hoose.
Jaantuska 1. MACH-O __cfstring qaybta sifooyinka
Sida ku cad sawirka 2, meelaha code ee qaybta __cfstring Waxay kuu ogolaanaysaa inaad khiyaamayso qaar ka mid ah qalabka kala furfurida adigoo soo bandhigaya kood sida xargaha.
Jaantuska 2. Koodhka dhabarka ee ay IDA u ogaatay xog ahaan
Marka la fuliyo, binary-gu waxa uu abuuraa dun sidii ka-hortagga khalad-ka-hortagga kaas oo ujeeddadiisu ay tahay in uu si joogto ah u hubiyo jiritaanka cilladaha. socodkan:
- Wuxuu isku dayaa inuu ka furto cilladaha, isagoo wacaya ptrace с PT_DENY_ATTACH codsi ahaan
- Hubi haddii qaar ka mid ah dekedaha gaarka ah ay furan yihiin adoo wacaya hawl task_get_exception_ports
- Hubi haddii cilladaha ku xiran yahay, sida ka muuqata sawirka hoose, isagoo hubinaya joogitaanka calanka P_TRACED habka hadda socda
Jaantuska 3. Hubinta xidhiidhka debugger adoo isticmaalaya shaqada sysctl
Haddii ilaaliyuhu ogaado jiritaanka cilladaha, shaqada ayaa loo yaqaan exit. Intaa waxaa dheer, muunadda ayaa markaa hubinaysa deegaanka iyadoo la raacayo laba amar:
ioreg -l | grep -e "Manufacturer" и sysctl hw.model
Muunadu waxay markaa hubinaysaa qiimaha soo celinta liis adag oo xargaha oo laga soo qaatay nidaamyada qiyamaynta la yaqaan: acle, vmware, sanduuqa xisaabta ama isbarbar. Ugu dambeyntii, amarka soo socda ayaa hubinaya haddii mishiinku yahay mid ka mid ah kuwan soo socda "MBP", "MBA", "MB", "MM", "IM", "MP" iyo "XS". Kuwani waa nambarada nooca nidaamka, tusaale ahaan, "MBP" macnaheedu waa MacBook Pro, "MBA" macnaheedu waa MacBook Air, iwm.
system_profiler SPHardwareDataType 2>/dev/null | awk '/Boot ROM Version/ {split($0, line, ":");printf("%s", line[2]);}
Kordhinta ugu weyn
In kasta oo amarada dhabarka aysan isbeddelin tan iyo cilmi-baaristii Trend Micro, waxaan ogaanay isbeddello kale oo yar. Adeegayaasha C&C ee loo adeegsaday muunadani waa kuwa cusub oo la sameeyay 22.10.2018/XNUMX/XNUMX.
- daff.faybilodeau[.]com
- sarc.onteagleroad[.]com
- au.charlineopkesston[.]com
Ilaha URL ayaa loo beddelay /dp/B074WC4NHW/ref=gbps_img_m-9_62c3_750e6b35.
Xirmada ugu horreysa ee loo diro server-ka C&C waxay ka kooban tahay macluumaad dheeraad ah oo ku saabsan mashiinka martida loo yahay, oo ay ku jiraan dhammaan xogta laga soo ururiyay amarada shaxda hoose.
Isbeddelka qaabeynta ka sokow, muunadku uma isticmaalo maktabadda shaandhaynta shabakadda , laakiin maktabad dibadda ah. Si loo helo, albaabka dambe wuxuu isku dayaa inuu furfuro fayl kasta oo ku jira buugga hadda jira isagoo isticmaalaya AES-256-CBC oo wata furaha gFjMXBgyXWULmVVVzyxy, oo lagu shubay eber. Fayl kasta waa la furay oo loo kaydiyaa sidi /tmp/store, waxaana la isku dayay in la raro sidii maktabad ahaan iyadoo la isticmaalayo shaqada . Marka isku dayga fur-furan uu keeno wacitaanka guuleysta dlopen, Albaabka dambe wuxuu soosaaraa shaqooyinka la dhoofiyo Boriry и ChadylonV, kuwaas oo sida muuqata mas'uul ka ah xiriirka shabakada ee server-ka. Ma hayno meesha asalka ah ee muunada, markaa ma kala saari karno maktabadan. Waxaa intaa dheer, maadaama qaybtu sir tahay, qaanuunka YAR ee ku salaysan xadhkahan ma la mid noqon doono faylka laga helay saxanka.
Sida lagu qeexay maqaalka kore, waxay abuurtaa macmiilkaID. Aqoonsigani waa xashiish MD5 ee qiimaha soo celinta mid ka mid ah amarada soo socda:
- ioreg -rd1 -c IOPlatformExpertDevice | awk '/IOPlatformSerialNumber/ { split($0, line, """); printf("%s", line[4]); }'
- ioreg -rd1 -c IOPlatformExpertDevice | awk '/IOPlatformUUID/ { split($0, line, """); printf("%s", line[4]); }'
- ifconfig en0 | awk '/ether /{print $2}' (hel cinwaanka MAC)
- koox aan la garanayn ("x1ex72x0a"), kaas oo loo isticmaalo muunado hore
Kahor xashiishada, "0" ama "1" ayaa lagu daraa qiimaha soo laabashada si loo muujiyo mudnaanta xididka. Tani macmiilkaID ku kaydsan /Library/Storage/File System/HFS/25cf5d02-e50b-4288-870a-528d56c3cf6e/pivtoken.appex, haddii koodka loo maamulo sidii xidid ama ~/Library/SmartCardServices/Technology/PlugIns/drivers/snippets.ecgML dhammaan kiisaska kale. Faylka inta badan waa la qariyaa iyadoo la isticmaalayo shaqada , shaambada wakhtigeeda ayaa la beddelaa iyadoo la adeegsanayo amarka touch –t oo leh qiime random.
Xadhkaha goynta
Sida xulashooyinkii hore, xargaha waa la sir ah iyadoo la isticmaalayo AES-256-CBC (furaha hexadecimal: 9D7274AD7BCEF0DED29BDBB428C251DF8B350B92 oo lagu daboolay eber, iyo IV laga buuxiyey eber) iyada oo loo marayo shaqada . Furaha ayaa ka beddelay noocyadii hore, laakiin maadaama ay kooxdu wali adeegsato isla xargaha sirta algorithm, decryption si toos ah ayaa loo samayn karaa. Marka lagu daro qoraalkan, waxaan sii deyneynaa qoraalka IDA ee isticmaala Hex-Rays API si uu u furfuro xargaha ku jira faylka binary. Qoraalkan waxa laga yaabaa inuu ka caawiyo falanqaynta mustaqbalka ee OceanLotus iyo falanqaynta muunado jira oo aynaan weli awood u helin inaynu helno. Qoraalku wuxuu ku salaysan yahay hab caalami ah oo lagu helo doodaha loo gudbiyo hawl. Intaa waxaa dheer, waxay eegaysaa hawlaha cabbirka. Habka dib ayaa loo isticmaali karaa si loo helo liiska doodaha shaqada ka dibna loogu gudbiyo soo celinta.
Ogaanshaha tusaalaha shaqada gooyaa, Qoraalku wuxuu helayaa dhammaan tixraacyada isdhaafsiga ee shaqadan, dhammaan doodaha, ka dibna wuxuu dejiyaa xogta oo meeleeyaa qoraalka cad gudaha faallooyinka cinwaanka tixraaca. Si qoraalku si sax ah ugu shaqeeyo, waa in lagu dhejiyaa alifbeetada caadiga ah ee loo isticmaalo shaqada dejinta 64, waana in la qeexaa doorsoome caalami ah oo ka kooban dhererka furaha (xaaladdan DWORD, eeg sawirka 4).
Jaantuska 4. Qeexida doorsoomiyaha caalamiga ah ee key_len
Daaqadda Shaqada, waxaad si toos ah u gujin kartaa shaqada decryption oo guji "Soosaar oo kala saar doodaha." Qoraalku waa inuu geliyaa xadadka la furay faallooyinka, sida ku cad sawirka 5.
Jaantuska 5. Qoraalka la furay waxa lagu dhejiyay faallooyinka
Sidan xargaha la furay ayaa si ku habboon loogu dhejiyaa daaqadda IDA xrefs shaqadan sida ku cad sawirka 6.
Jaantuska 6. Xrefs si f_decrypt function
Qoraalka ugu dambeeya waxaa laga heli karaa at .
gunaanad
Sidaan horayba u soo sheegnay, OceanLotus si joogto ah ayay u horumaraysaa oo ay u cusboonaysiinaysaa qalabkeeda. Markan, kooxda internetka ayaa hagaajisay malware-ka si ay ula shaqeeyaan isticmaalayaasha Mac. Koodhku wax badan isma bedelin, laakiin maadaama isticmaaleyaal badan oo Mac ah ay iska indhatireen alaabada amniga, ka ilaalinta malware-ka ogaanshaha waa muhiimada labaad.
Alaabooyinka ESET waxay hore u ogaanayeen faylkan wakhtiga cilmi baarista. Sababtoo ah maktabadda shabakadda ee loo isticmaalo isgaarsiinta C&C ayaa hadda si qarsoodi ah loogu dhejiyay saxanka, illaa hadda lama oga nidaamka shabakadda ee saxda ah ee ay adeegsadaan weeraryahannada.
Tilmaamayaasha tanaasulka
Tilmaamayaasha tanaasulka iyo sidoo kale sifooyinka MITER ATT&CK ayaa sidoo kale laga heli karaa .
Source: www.habr.com