標籤:

OSX/MaMi:macOS平台DNS劫持惡意軟體

背景

1月11日的時候,有人在MalwareBytes論壇發帖說遭遇了DNS劫持:

之前並沒有發現過有macOS系統的劫持DNS設置的惡意軟體,所以研究人員對該惡意軟體(OSX/MaMi)進行了深入分析。

分析

該惡意軟體保存在不同的站點上,比如regardens.info;目前尚不知該惡意軟體的感染途徑。

根據WhatsYourSign的顯示,該文件並沒有什麼特別的,知識一個未簽名的64位可執行文件。

當然了,一般新的惡意軟體出現後,殺毒軟體等都不能及時檢測。VirusTotal的59個引擎都把該惡意軟體標記為clean了。

通過對該惡意軟體分析,我們發現他的app版本號為1.1.0,這就說明該惡意軟體發布時間應該不久。

通過分析objective-C的類名和方法可以對惡意軟體的功能有個大致的了解。文中研究人員用了J. Levins invaluable jtool攻擊來複制這些信息:

看起來,這個惡意軟體好像是一個dns劫持工具,因為其中一個method是setupDNS,其他的功能有:

截屏生成模擬滑鼠操作下載和上傳文件執行命令等

在應用的主入口(-[AppDelegate applicationDidFinishLaunching:]),我們發現大齡的加密字元串傳遞給了setDefaultConfiguration: method:

使用debugger (lldb)的方法來解密這些數據

上面的都是一些配置數據,最重要的部分就是:

在lldb中,研究人員對setupCert和setupDNS方法設置了斷點:

研究人員推薦的另外一個工具是自己開發的ProcInfo(github地址:github.com/objective-se

首先該惡意軟體會請求安全工具安裝自己從互聯網下載的新證書(dcdata.bin)。

可以通過Keychain Access應用來查看安裝的證書,它是在系統keychain中作為根CA的(可能是MITM攻擊)

回到procInfor的進程監控:

SystemConfiguration/preferences.plist文件中的內容就是DNS設置!!!

還記得上面解密的配置信息嗎,裡面有兩個IP地址(82.163.143.135,82.163.142.137),這兩個IP地址就被加入到plist文件中了。

同樣可以在UI界面中看到這些變化,系統設置(網路):

是的,DNS設置被劫持了。

但是該惡意軟體好像並沒有長期駐留的意思,雖然它更改了系統的DNS設定,但是也有自刪除功能。當研究人員控制該惡意軟體來執行修改plist的方法initMaMiSettings時,ProgramArguments

key中配置的值非常簡單,該值是告訴系統哪些是要持續執行的:

研究人員認為可能在虛擬機中持續執行的條件沒有達到,研究人員仍在進一步研究中。

與Windows惡意軟體的關係

研究人員發現2015年有一篇文章是關於這兩個IP地址的,題目為「The

mystery of 82.163.143.172 and

82.163.142.174」。文章介紹了一款Windows平台上的劫持DNS設置的惡意軟體DNSUnlocker。根據DNS地址和安裝的證書判斷,該惡意軟體與OSX/MaMi應該是相關聯的。

DNS地址:

82.163.143.172

82.163.142.174

證書:

所有惡意軟體安裝的證書都是一樣的。

結論

OSX/MaMi並沒有運用什麼先進的技術,只是以一種簡單、持久的方式改變了系統設置。通過安裝根證書和劫持DNS,攻擊者可以執行中間人攻擊,竊取用戶身份憑證、注入廣告等。

惡意樣本下載地址:

解壓密碼:objective-see.com/downl

Q&A:infect3d

Q: 用戶如何知道有沒有感染該惡意軟體?

A: 檢查DNS設置,如果DNS被設置為82.163.143.135和82.163.142.137,說明感染了惡意軟體。通過可以檢查有沒有惡意證書cloudguard.me,如果安裝的話:

Q: 如何自我保護?

A: 一般惡意軟體會安裝其他的惡意軟體,或者允許遠程攻擊者執行一些命令。因此,如果用戶發現感染了該惡意軟體,最好的方式就是重裝系統。如果用戶不願意重裝系統,那麼至少要刪除惡意DNS設置並且移除安裝的惡意證書。

刪除惡意的DNS設置:

打開系統設置,點擊網路—高級—DNS,如果設備感染,就會看到惡意的DNS伺服器地址82.163.143.135和82.163.142.137。選擇每個地址,點擊刪除按鈕。

移除證書:

打開Keychain Access應用,點擊系統,如果系統設置(system),如果設備感染,就會看到惡意的證書(cloudguard.me),點擊刪除進行移除。

Q: 安全工具可以保護嗎?

A: 是的,但是到目前為止,殺毒軟體等還不能檢測。

本文翻譯自:objective-see.com/blog/,如若轉載,請註明原文地址: 4hou.com/technology/990 更多內容請關注「嘶吼專業版」——Pro4hou

推薦閱讀:

js 可以跨域得到 cookie?QQ 郵箱被一封郵件黑了?
保護你還是kill你?殺毒軟體(DU Antivirus Security)竊取用戶數據背後的真相
Poking holes in information hiding · Week 10
SecWiki周刊(第162期)
SRC們

TAG:信息安全 |