Mac不再是世外桃源！首個Mac勒索軟體服務現身

近日，研究人員發現了首個針對mac系統的勒索軟體MacSpy出現了，並且提供免費版與付費版，另外MacSpy可以通過「勒索即服務」模式獲取。

由於蘋果產品近年來越來越普及，所以勒索軟體的開發者也慢慢地將目標從Windows系統轉到了蘋果系統。MacSpy屬於遠端存取木馬（RAT），免費版的功能包括截取蘋果電腦上的屏幕畫面、鍵盤記錄還能同步iCloud。付費版則能存取蘋果系統上的用戶檔案、加密系統目錄、取得用戶的電子郵件或社交帳號，並且更新惡意軟體。

鑒於MacSpy為現在首個蘋果的勒索軟體，所以它的開發者在傳播該軟體時還是比較小心的。如果你想要得到免費的版本，就必須先以電子郵件與開發者進行溝通，等確認後，他們才會向你發送該軟體，具體過程如下：

1.提前向他們發送我們想要設置的用戶名和密碼。

2.以便他們為我們專門開發一個軟體帳戶。

3.提供了一個壓縮文件和以下說明，如下圖所示：

解壓縮存檔後，我們觀察到它包含以下文件：

文檔伺服器包含四個文件：

1.Mach-O 64位可執行文件稱為「更新」

2.Mach-O 64位可執行文件名為「webkitproxy」

3.Mach-O 64位動態鏈接共享庫稱為「libevent-2.0.5.dylib」

4.配置文件

在檢查了webkitproxy和libevent-2.0.5.dylib之後，我們注意到它們由Tor埠進行傳動的，因此我們可以得出結論，它們的功能可能與洋蔥路由器路由存在某些關聯。而接下來，在進一步分析配置文件的內容進時，我們更加確信了這一猜測。

對配置文件內容的分析

可以看出，「更新」的文件沒有經過數字簽名，而且目前各種殺軟產品還沒有發現該配置文件中的信息。

MacSpy已經具有了反偵查的能力

在分析MacSpy時，我們發現MacSpy已經具有了反偵查的能力，在進行攻擊時，它做的第一件事是檢查軟體是否在非Mac環境下運行或者是否在調試環境下運行。。為了防止調試，MacSpy使用了PT_DENY_ATTACH選項來調用ptrace（）。這是一個常見的反調試器檢查，MacSpy以將反調試器檢查附加到惡意進程中。

即使繞過ptrace的反調試檢查，MacSpy中還有其他代碼可以檢查它是否在調試器中運行。

上面的代碼非常類似於調試器檢查此堆棧溢出的代碼。

除了反調試環境檢查之外，MacSpy還包含了針對執行環境的檢查，這可能會使其難以在虛擬機中運行。在下面的代碼中，你可以看到MacSpy會檢查物理CPU數量是否大於1，邏輯內核數是否大於3，邏輯內核數量是否是物理內核數量的兩倍，MacSpy還會檢查主機上是否至少有4 GB的內存。由於惡意軟體沙箱通常以最少的資源運行，所以這些檢查可能會阻止MacSpy在虛擬環境中正常執行。

與MacRansom類似，MacSpy還使用sysctl命令將目前運行的設備型號與Mac的所有設備型號進行比較。 MacSpy將刪除所有終端窗口，這可能會讓分析人員使用命令行工具來分析惡意軟體（OSX / Dok也是通過刪除終端窗口的行為來避免被分析人員分析）。

MacSpy會在?/ Library / LaunchAgents / com.apple.webkit.plist中創建啟動條目，這樣可以確保惡意軟體在啟動時運行，以繼續收集信息。

MacSpy的攻擊過程分析

在通過反分析檢查和持久性攻擊設置後，MacSpy便會開始執行攻擊。MacSpy會將自身和相關文件從原始執行點複製到「?/ Library / .DS_Stores /」，並刪除原始文件，這樣做是為了不留下操作痕迹，使其盡量的保持隱藏狀態。然後，MacSpy會通過使用curl命令來聯繫命令和控制伺服器來檢查其代理的功能。連接到CnC後，惡意軟體通過TOR代理髮送POST請求，發送先前收集的數據，如系統信息，這個過程會重複發送一些MacSpy之前收集的各種數據。在數據被過濾後，MacSpy將刪除包含其發送數據的臨時文件。

以下用於exfiltrate數據的curl命令：

?/ Library / .DS_Stores / data / tmp / SystemInfo的內容

MacSpy的門戶網站分析

在我們給MacSpy開發者的溝通電子郵件中，我們說明了我們想使用其門戶網站的憑據。在登錄MacSpy門戶網站後，我們收到了一個非常有個性的骨骼式的目錄列表，其中包含一個標籤為YYYYMM格式的，能在系統上執行惡意軟體的最近日期的文件夾，以及DD格式的文件夾。進入到該文件夾中，使用類似於受害者系統上命名的目錄的一系列目錄進行處理。這些文件夾中的數據是從受害者那裡收集的惡意軟體執行的數據。

如何預防MacSpy？

檢測是否有NIDS的使用

檢測在Mac上運行的MacSpy的最佳方法是在通信時使用網路IDS（NIDS）規則的組合。事實證明，AlienVault在其威脅情報中提供了這一規則，威脅情報已經通過稱為「系統妥協，惡意軟體RAT，MacSpy」的規則進行了更新。這將進入USM關聯引擎，以產生一個警告，通知AlienVault客戶他們的一個系統受到威脅。

Osquery

YARA規則

你可以在任何支持Yara的系統中使用下面的規則來檢測這種基於Mac的惡意軟體。

總結

人們普遍認為，當他們使用Mac時，就沒有惡意軟體能攻擊他們。因為目前仍有超過9成的個人電腦採用Windows作業系統，只有不到6.4%的個人電腦在運行mac系統，但不論如何這樣的觀念都是錯誤的。

雖然這個Mac惡意軟體可能不是第一個被開發出的軟體，但卻是第一個被發現的軟體，也許早有類似的軟體早已隱藏在你的Mac里。而且MacSpy的功能豐富，它表明，隨著OS X的市場份額不斷增長，越來越多的惡意軟體的開發者會將投入更多的時間和精力來生產對應的攻擊軟體。

本文翻譯自：MacSpy: OS X RAT as a Service ，如若轉載，請註明來源於嘶吼： 歷史的一幕拉開了！首個Mac勒索軟體現身 - 嘶吼 RoarTalk 更多內容請關注「嘶吼專業版」——Pro4hou

推薦閱讀：