OSX/MaMi:macOS平台DNS劫持惡意軟體
背景
1月11日的時候,有人在MalwareBytes論壇發帖說遭遇了DNS劫持:
之前並沒有發現過有macOS系統的劫持DNS設置的惡意軟體,所以研究人員對該惡意軟體(OSX/MaMi)進行了深入分析。
分析
該惡意軟體保存在不同的站點上,比如http://regardens.info;目前尚不知該惡意軟體的感染途徑。
根據WhatsYourSign的顯示,該文件並沒有什麼特別的,知識一個未簽名的64位可執行文件。
當然了,一般新的惡意軟體出現後,殺毒軟體等都不能及時檢測。VirusTotal的59個引擎都把該惡意軟體標記為clean了。
通過對該惡意軟體分析,我們發現他的app版本號為1.1.0,這就說明該惡意軟體發布時間應該不久。
通過分析objective-C的類名和方法可以對惡意軟體的功能有個大致的了解。文中研究人員用了J. Levins invaluable jtool攻擊來複制這些信息:
看起來,這個惡意軟體好像是一個dns劫持工具,因為其中一個method是setupDNS,其他的功能有:
截屏生成模擬滑鼠操作下載和上傳文件執行命令等
在應用的主入口(-[AppDelegate applicationDidFinishLaunching:]),我們發現大齡的加密字元串傳遞給了setDefaultConfiguration: method:
使用debugger (lldb)的方法來解密這些數據
上面的都是一些配置數據,最重要的部分就是:
在lldb中,研究人員對setupCert和setupDNS方法設置了斷點:
研究人員推薦的另外一個工具是自己開發的ProcInfo(github地址:https://github.com/objective-see/ProcInfo)
首先該惡意軟體會請求安全工具安裝自己從互聯網下載的新證書(dcdata.bin)。
可以通過Keychain Access應用來查看安裝的證書,它是在系統keychain中作為根CA的(可能是MITM攻擊)
回到procInfor的進程監控:
SystemConfiguration/preferences.plist文件中的內容就是DNS設置!!!
還記得上面解密的配置信息嗎,裡面有兩個IP地址(82.163.143.135,82.163.142.137),這兩個IP地址就被加入到plist文件中了。
同樣可以在UI界面中看到這些變化,系統設置(網路):
是的,DNS設置被劫持了。
但是該惡意軟體好像並沒有長期駐留的意思,雖然它更改了系統的DNS設定,但是也有自刪除功能。當研究人員控制該惡意軟體來執行修改plist的方法initMaMiSettings時,ProgramArguments
key中配置的值非常簡單,該值是告訴系統哪些是要持續執行的:研究人員認為可能在虛擬機中持續執行的條件沒有達到,研究人員仍在進一步研究中。
與Windows惡意軟體的關係
研究人員發現2015年有一篇文章是關於這兩個IP地址的,題目為「The
mystery of 82.163.143.172 and82.163.142.174」。文章介紹了一款Windows平台上的劫持DNS設置的惡意軟體DNSUnlocker。根據DNS地址和安裝的證書判斷,該惡意軟體與OSX/MaMi應該是相關聯的。DNS地址:
82.163.143.172
82.163.142.174
證書:
所有惡意軟體安裝的證書都是一樣的。
結論
OSX/MaMi並沒有運用什麼先進的技術,只是以一種簡單、持久的方式改變了系統設置。通過安裝根證書和劫持DNS,攻擊者可以執行中間人攻擊,竊取用戶身份憑證、注入廣告等。
惡意樣本下載地址:
解壓密碼:https://objective-see.com/downloads/malware/MaMi.zip
Q&A:infect3d
Q: 用戶如何知道有沒有感染該惡意軟體?
A: 檢查DNS設置,如果DNS被設置為82.163.143.135和82.163.142.137,說明感染了惡意軟體。通過可以檢查有沒有惡意證書http://cloudguard.me,如果安裝的話:Q: 如何自我保護?
A: 一般惡意軟體會安裝其他的惡意軟體,或者允許遠程攻擊者執行一些命令。因此,如果用戶發現感染了該惡意軟體,最好的方式就是重裝系統。如果用戶不願意重裝系統,那麼至少要刪除惡意DNS設置並且移除安裝的惡意證書。刪除惡意的DNS設置:
打開系統設置,點擊網路—高級—DNS,如果設備感染,就會看到惡意的DNS伺服器地址82.163.143.135和82.163.142.137。選擇每個地址,點擊刪除按鈕。
移除證書:
打開Keychain Access應用,點擊系統,如果系統設置(system),如果設備感染,就會看到惡意的證書(http://cloudguard.me),點擊刪除進行移除。
Q: 安全工具可以保護嗎?
A: 是的,但是到目前為止,殺毒軟體等還不能檢測。
本文翻譯自:https://objective-see.com/blog/blog_0x26.html,如若轉載,請註明原文地址: http://www.4hou.com/technology/9909.html 更多內容請關注「嘶吼專業版」——Pro4hou
推薦閱讀:
※js 可以跨域得到 cookie?QQ 郵箱被一封郵件黑了?
※保護你還是kill你?殺毒軟體(DU Antivirus Security)竊取用戶數據背後的真相
※Poking holes in information hiding · Week 10
※SecWiki周刊(第162期)
※SRC們
TAG:信息安全 |