上周，安全人員Patrick Wardle發(fā)表了一篇關于HackingTeam使用的新的后門和病毒植入程序的文章。同時也表明，Hacking Team重新開始活躍，帶來了新的惡意軟件。

為了了解該惡意軟件的原理和功能，有安全人員對此進行了深入的分析。該惡意軟件名為Backdoor.OSX.Morcut，后門植入程式為Backdoor.OSX.Morcut.u，病毒植入程式為Trojan-Dropper.OSX.Morcut.d。

加密密鑰

主要的后門組件接收來自加密的Json配置文件的負載指令。為了解密該配置文件，首先使用了已知的密鑰，但是都不能解密該文件。通過查看二進制文件，研究人員確定了編碼該文件的算法是AES 128，因此需要一個新的加密密鑰。經(jīng)分析，在加密程序的初始化過程中，該密鑰作為參數(shù)傳遞到函數(shù)中：

通過追蹤該代碼，研究人員發(fā)現(xiàn)了加密該配置文件的新密鑰：

由上圖可以看出，該密鑰長度為32字節(jié)，因此只有前16字節(jié)發(fā)揮密鑰的作用。研究人員用該密鑰成功解密了配置文件，發(fā)現(xiàn)該文件為Json格式，其中包含該后門需要在目標OS X機器上執(zhí)行的指令：

植入程序的惡意功能

· 獲取屏幕截圖

· 當目標連接Wi-Fi或使用特定的網(wǎng)絡通道帶寬(在Json配置文件中定義，如下圖)時，會向位于英國的Linode服務器同步或報告竊取的信息。

· 竊取本地安裝的應用程序的信息、通訊錄、日歷事件和電話。當iPhone用戶連接相同且可信的Wi-Fi時，OS X允許用戶之間直接從桌面撥打電話。

· 它通過開啟前攝像頭錄像、使用嵌入式耳機錄音、嗅探本地聊天和從剪貼板盜取數(shù)據(jù)來監(jiān)視目標。

· 它盜取目標的電子郵件、短信和MMS消息，包括iPhone配對的OS X臺式機，如下圖

· 在它的其他功能中，還可以監(jiān)控目標的地理位置。

Json文件顯示，該操作開始的時間是2015年10月16日(星期五)，也就是說，這是HackingTeam的一項新的后門植入程序。