首页 / 科技 / 正文
当macOS被盯上之后

Time:2024年10月13日 Read:167 评论:0

近一个多月来,微步情报局多次捕获到针对macOS的钓鱼样本,在数量上相比前两年有明显上升,且大部分为跨平台多架构,可绕过绝大多数杀毒软件的查杀。

微步情报局判断,由于macOS有着相对严格的安全机制,或导致用户忽略安全建设,因此越来越多的高水平攻击者将目标瞄准了macOS,通过社工钓鱼等方式投递恶意软件。公开数据显示,2023年新增了数十个针对macOS的恶意软件家族,其中占比较高的是信息窃取木马、后门、APT特马和勒索软件。

为方便用户对可疑Mac样本展开分析,微步云沙箱S于近期上线了macOS 13动态分析环境,支持DMG、PKG、APP和Mach-O等主流Mac文件格式。除此之外,微步沙箱分析平台OneSandbox也已经支持macOS动态分析环境。

以攻防演练期间捕获的某典型PKG钓鱼样本为例,将之上传到云沙箱S,S会自动识别并选择macOS环境进行分析,如下图:

分析完成后,可以看到该样本被沙箱检出恶意,多引擎检测结果显示样本包含Frp工具。

继续进行动态分析,发现该样本使用了基于HTTPS协议的域前置技术进行网络通信。基于沙箱的HTTPS解密功能,可以看到域前置通信中请求域名为img1.126.net,请求IP为27.221.123.228,请求Host为static.hywlgzs.com.cn。

微步终端安全管理平台OneSEC Mac版EDR也捕获到该样本的多个恶意行为,如下所示:



静态分析

使用xar解压PKG,其PackageInfo如下:

其包含postinstall脚本,在将文件复制到目标位置之后,依次为ndoagent_1、nodagent_2、ndoagent_3、ndoagent_4赋予可执行权限,然后依次执行。


ndoagent_1 

ndoagent_1为ARM架构的Frp工具,使用Go编写。

SHA256: 18262c14f17169e6d5e4f33db2141da2b16b8c11a8a1a42c7bd5812ec133bc9d


ndoagent_2 

ndoagent_2为X86架构的Frp工具,使用Go编写。

SHA256: 

1c89e132b2ab6a1e329245e6d1f2208edb28e4db15feb39b7feb636f397ff007

执行时会校验执行文件名、计算机名、校验和、以及日期。

解密配置,使用WebSocket和域前置进行通信。

解密的配置如下:

溯源分析发现,此工具系frpModify。除此之外,在对样本拓线分析的过程中,微步情报局还发现了多个Windows和Linux平台版本的Frp工具,显示出攻击者全平台钓鱼攻击的膨胀野心。

ndoagent_3 

ndoagent_3为核心远控程序,该文件使用Rust编写。该程序执行会内存解密一个JSON配置,其中包含网络请求、杀软、虚拟环境和分析调试工具进程等相关配置信息,不过其进程为Windows相关,猜测此木马可能复用了Windows版本代码。

SHA256: 

dd4f1291a2108e59b0687592f02067ae8863f1b5fba3067fe039d44dd4bd62cd

解密JSON如下:

运行时会Fork自身创建子进程,退出父进程,然后子进程删除自身文件。

子进程创建线程通信,访问域名wwww.bing.com,猜测是为了探测连通性。

ndoagent_4 

ndoagent_4为一个ARM架构的ELF,使用Rust编写。Mac PKG中出现Linux可执行文件,猜测可能是打包错误,不过也可能是为了迷惑受害者,因存在异常,实际安装时会提示安装失败达到迷惑受害者的目的。

SHA256: 

b5be0d407ca74354b0b1a312dd16ada878590dae520849a9765f6f279d3bc556


相关IOC


9c2d7a3767bf2cd15db371cc62cbe68e512131d38250de1c2711cd23a7bc8756
1c89e132b2ab6a1e329245e6d1f2208edb28e4db15feb39b7feb636f397ff007
6ec0d5f31115143290d8bd8b16d286bd02d61ad0fed8f8a65a3811f55d381cb4
0056b4b6214262261e41c09ded7949b45b42d507395206e282e0820d61f61d89
2d2a50db75f3583f774ec902f2ffc63fe277f752e17b26f55600107a53ee6cba
04104a47638939094cff5c305d314cb0b171e5b85d18ef87daacf3bcf93ac0db
b5be0d407ca74354b0b1a312dd16ada878590dae520849a9765f6f279d3bc556


· END ·


标签:

发表评论:

◎欢迎参与讨论,请在这里发表您的看法、交流您的观点。

关于我们
聚焦企业最新资讯,助力职业经理人把握企业动向。
留言本
留言本
免责声明
免责声明
投稿规则
投稿规则
扫码关注
Copyright 56ceo.com Rights Reserved. 京ICP备2021035958号-6