dok
首页
文章
漏洞
SRC导航
内容精选
输入关键词搜索
APP 登录| 注册
【技术分享】了解macOS上的恶意木马--OSX/Dok
阅读量 80543 |
分享到: QQ空间 新浪微博 微信 QQ facebook twitter
发布时间:2017-07-06 15:56:42
http://p1.qhimg.com/t014206b3a444d2088d.jpg
作者:凌迟 @ 360 NirvanTeam
投稿方式:发送邮件至linwei#360.cn,或登陆网页版在线投稿
近期,由CheckPoint发现了一款针对macOS的恶意木马–OSX/Dok,该恶意木马主要通过诱使受害者下载后强制性要求“系统升级”,从而骗取你的管理员口令,再通过一些手段监控受害者的http/https流量,窃取到有价值的数据。
0x0 感染方式
该木马主要活跃于欧洲,打着税务局账单的旗号发送钓鱼邮件,诱使中招者下载一个名为“Dokument”的软件,这个软件还伪造成了“预览”的样子,但是当你打开它后,会显示一个提示框提示文件可能损坏不能打开,但是你以为这就完了??恰好相反,当你点击“OK”的时候,恰好中招~
http://p5.qhimg.com/t01b55ae2988d2f89c5.png
http://p7.qhimg.com/t01819a523af292be66.png
0x1 OSX/Dok
OSX/Dok的主要功能比较明确:
1. 强制性“更新”,要求输入管理员密码
2. 下载berw,tor,socket等工具
3. 使用下载的这些工具,重定向中招者的http/https流量进行监控
0x2 详细分析
我们先本地看看目标binary的一些签名信息
http://p5.qhimg.com/t01afbf7e543b356134.png
看得出来这签名还是有些正规的~~~不过Apple已经把这个给撤销了 在运行程序之前,恶意程序会被复制到`/Users/Share`中
http://p8.qhimg.com/t01e19eda140afa1940.png
当这个恶意程序运行时,会弹出警告框,点击OK之后,等到5s之后就会开始运行,并删除应用程序,然后会出现一个覆盖全屏幕的窗口,提示要更新系统
http://p1.qhimg.com/t01b775485069bbe783.png
http://p5.qhimg.com/t01fe5ce709ca09d014.png
然后弹出一个弹框要求输入密码,等等,你没看错,它的binary名称就叫做“AppStore”,而正常的应该是“App Store”
http://p3.qhimg.com/t019523612415205ff2.png
http://p0.qhimg.com/t01d63abf555b9008e6.png
而恶意程序还把自己添加在了`系统偏好设置->用户与群组->登录项`中,以便于当没安装完成就关机,重启后继续安装
http://p3.qhimg.com/t015a07ce54435ad966.png
但是等程序安装完成后,登录项中的“AppStore”就会被删掉
http://p1.qhimg.com/t0189998d9092829003.png
http://p8.qhimg.com/t018bdf5c87acfc10a7.png
在“更新”的过程中,会弹出几次要求你输入管理员密码,猜想应该是在安装一些命令行工具或者进行一些系统操作时需要管理员身份,但之后为什么不需要了呢?
http://p8.qhimg.com/t0198babb699afc5744.png
我们在`/etc/sudoers`文件中可以看到最底下多了一条`ALL=(ALL) NOPASSWD: ALL`命令,这条命令主要作用就是在之后的操作中免输入密码
http://p3.qhimg.com/t0108aa63ab1d87a32d.png
我们来看看,这些就是攻击者通过brew下载的一些工具
http://p0.qhimg.com/t018c6fbee69850d1bb.png
http://p8.qhimg.com/t01af815e635973b537.png
然后恶意程序会偷偷更改用户的的网络配置
http://p5.qhimg.com/t0162969443940eeb37.png
其中的`paoyu7gub72lykuk.onion`一看就是暗网的网址,tor就是暗网搜索引擎
以上命令大概说的就是通过TCP ipv4协议,本地监听5555端口,来自这个端口的请求通过本地的9050端口转到目标`paoyu7gub72lykuk.onion`的80端口(第二个同样的说法)
打开`系统设置->网络->高级`,可以看到自动代理已经被偷偷改了
http://p9.qhimg.com/t014056dfdcc091cb6b.png
攻击者还在用户的Mac中安装了一个证书,用于对用户进行MiTM,拦截用户流量
http://p9.qhimg.com/t0161519efdbb0aca34.png http://p3.qhimg.com/t013f1d74585659a501.png
0x3 总结
据统计,恶意木马占所有恶意软件的75%,他们大多数都很隐蔽,有时甚至几个月都一声不吭,这次这个也算比较特殊,其实明眼人看到这个更新基本上就知道出问题了,但是不排除有很多对Mac不熟悉的人,他们以为是正常的更新,然后勒索软件运行完之后又会被删除,不容易发现,所以就会中招。 防患于未然,平时收到陌生邮件的时候,如果有附件或者链接,最好不要打开,把这种事情扼杀在摇篮中最好不过了,也免去了不少不必要的麻烦。
0x4 参考
http://blog.checkpoint.com/2017/04/27/osx-malware-catching-wants-read-https-traffic/
本文由安全客原创发布
转载,请参考转载声明,注明出处: https://www.anquanke.com/post/id/86385
安全客 - 有思想的安全新媒体
安全知识
360信安-涅槃团队 认证 分享到: QQ空间 新浪微博 微信 QQ facebook twitter
|推荐阅读
2018安恒杯11月赛-Web&Crypto题解
2018-11-26 10:02:02
U2F安全协议分析
2018-11-24 10:00:48
二十年重回首——CIH病毒源码分析
2018-11-23 15:20:19
Cookie Maker:隐藏在Google Docs中的恶意网络
2018-11-23 14:30:40
|发表评论
发表你的评论吧
昵称
Anonymous
换一个
|评论列表
还没有评论呢,快去抢个沙发吧~
360信安-涅槃团队
这个人太懒了,签名都懒得写一个
文章
16
粉丝
7
TA的文章
CVE-2018-4407 XNU内核漏洞详细分析
2018-11-07 10:44:00
漏洞预警 | iOS 第三方解压缩库 0-Day 预警
2018-08-30 20:44:28
macOS 内核扩展漏洞挖掘指导流程
2018-06-04 17:01:08
iOS ZipperDown 漏洞来袭,我们该如何应对?
2018-05-17 10:30:23
苹果平台2017年漏洞情况统计报告
2017-12-28 09:54:37
输入关键字搜索内容
相关文章
360 | 数字货币钱包APP安全威胁概况
以太坊智能合约安全入门了解一下(下)
对恶意勒索软件Samsam多个变种的深入分析
360 | 数字货币钱包安全白皮书
Json Web Token历险记
揪出底层的幽灵:深挖寄生灵Ⅱ
简单五步教你如何绕过安全狗
热门推荐
安全客Logo
安全客
安全客
关于我们
加入我们
联系我们
用户协议
商务合作
合作内容
联系方式
友情链接
内容须知
投稿须知
转载须知
合作单位
安全客
安全客
Copyright © 360网络攻防实验室 All Rights Reserved 京ICP备08010314号-66
Loading...0daybank
文章评论