近期,卡巴斯基實驗室的安全研究人員發現了一種惡意軟件,這種惡意軟件可以在目前主流的幾款操作系統平臺上運行,包括Windows、Linux和Mac OSX。
根據報道,安全研究專家在今年一月份發現了一款針對計算機操作系統的跨平臺木馬后門。當時,安全研究人員僅在Linux和Windows這兩大操作系統中發現了該后門的代碼。而現在,研究人員又在OSX系統中檢測到了這一后門變種(Mokes.A)。據分析,這一后門采用了C++編程語言進行開發,并且還使用到了Qt框架(一款跨平臺應用程序框架)。
Windows和Linux平臺的Mokes后門分析:[傳送門]
跨平臺的惡意軟件正在興起
在此之前,攻擊者只會將他們的注意力放在Windows操作系統上,他們更愿意花時間去開發針對Windows平臺的惡意軟件。但是現在,網絡攻擊者們似乎已經開始開發跨平臺的惡意軟件了,而且這個趨勢的增長勢頭有點猛。
由于近些年Mac OS X和其他類型的桌面操作系統不斷興起,攻擊者也毫無疑問地會跟上這個發展潮流,所以跨平臺惡意軟件的出現也并沒有出乎我們的意料。
跨平臺的惡意軟件需要通過特殊的有效載荷(payload)和功能組件來進行加載,而這些特殊的payload和組件正是它們能夠跨平臺運行的基本條件。
針對Mac OS X的Mokes后門
在今年一月份,卡巴斯基實驗室的安全研究人員Stefan Ortloff首次在Linux和Windows這兩個操作系統中發現了這種跨平臺的后門,并將該后門取名為“Mokes”。而在不久之前,安全研究人員又在MacOS X系統中發現了這一木馬家族的變種,即Mokes.a。與Windows和Linux平臺上的Mokes后門類似,針對OSX的后門(Backdoor.OSX.Mokes.a)能夠利用受感染設備的攝像頭和麥克風來記錄視頻和音頻數據,并獲取到設備的鍵盤記錄,而且它每隔三十秒就會在目標設備上截一次圖。
除此之外,這一后門還可以監控類似U盤這樣的移動存儲設備。當受感染設備上插入了一個U盤之后,該后門便會立刻獲取U盤中的數據。值得注意的是,它還可以掃描目標設備文件系統中的Office文檔,例如.docx、.doc、.xlsx、以及.xls文件。
Mokes.a的功能遠不止獲取文件和數據這么簡單。它還可以通過遠程C&C服務器來獲取攻擊者的操作指令,并且在目標用戶的計算機中執行這些命令。該后門在與C&C服務器通信時,會建立一個經過AES-256加密的安全通信鏈接,而這一加密算法被認為是目前一種非常安全的加密算法。
Ortloff在對Mokes.a樣本進行分析時發現,當該后門被執行之后,它可以進行自我復制,并將自己復制到文件系統中各個不同的地方,例如Skype、Dropbox、Google、以及Firefox等程序的Cache文件中。
深入分析Backdoor.OSX.Mokes.a
當我們拿到該后門的檢測樣本時,其文件名為“unpacked”。
運行
當我們首次運行Mokes.a時,這款惡意軟件會按照下列目錄順序依次將自己拷貝到這些目錄中:
$HOME/Library/AppStore/storeuserd
$HOME/Library/com.apple.spotlight/SpotlightHelper
$HOME/Library/Dock/com.apple.dock.cache
$HOME/Library/Skype/SkypeHelper
$HOME/Library/Dropbox/DropboxCache
$HOME/Library/Google/Chrome/nacld
$HOME/Library/Firefox/Profiles/profiled
自我復制完成之后,它會在這些目錄下分別創建一個plist文件,并以此來實現其在目標系統中的持久化:
一切設置妥當后,它便會使用TCP協議和80端口來與遠程C&C服務器建立首次通信鏈接(HTTP):
User-Agent中的內容已經提前硬編碼至后門代碼中了,服務器會以長度為208字節的“text/html”內容來響應后門的網絡請求。接下來,惡意代碼會通過TCP的443端口來與服務器建立加密鏈接,加密過程使用的是AES-256-CBC加密算法。
Mokes.a的功能
上述操作完成之后,該后門便會開始配置其功能:
1.記錄音頻數據:
2.監控移動存儲設備:
3.截取屏幕圖片:
4.掃描文件系統中的Office文檔(xls、xlsx、doc、docx):
除此之外,攻擊者還可以通過C&C服務器來對后門的文件過濾器進行自定義配置,這樣不僅能夠增強其對目標文件系統的監控能力,而且還可以更方便地在目標系統中執行任意代碼。
該惡意軟件會在目標系統中創建以下幾個臨時文件,如果C&C服務器無法響應的話,它就可以將收集到的用戶數據暫時保存到這些文件中。
$TMPDIR/ss0-DDMMyy-HHmmss-nnn.sst(屏幕截圖)
$TMPDIR/aa0-DDMMyy-HHmmss-nnn.aat(音頻數據)
$TMPDIR/kk0-DDMMyy-HHmmss-nnn.kkt(鍵盤記錄)
$TMPDIR/dd0-DDMMyy-HHmmss-nnn.ddt(其他數據)
DDMMyy= 日期: 070916 = 2016-09-07
HHmmss= 時間: 154411 = 15:44:11
nnn = 毫秒
如果目標系統中沒有定義環境變量$TMPDIR的話,該惡意軟件會默認使用“/tmp/”來作為臨時文件目錄。
該惡意軟件的作者還留下了一些極具參考價值的信息,相應的源文件如下圖所示:
入侵威脅指標(IOC)
后門名稱:Backdoor.OSX.Mokes.a
后門hash:664e0a048f61a76145b55d1f1a5714606953d69edccec5228017eb546049dc8c
感染文件:
$HOME/LibraryAppStore/storeuserd
$HOME/Library/com.apple.spotlight/SpotlightHelper
$HOME/Library/Dock/com.apple.dock.cache
$HOME/Library/Skype/SkypeHelper
$HOME/Library/Dropbox/DropboxCache
$HOME/Library/Google/Chrome/nacld
$HOME/Library/Firefox/Profiles/profiled
$HOME/Library/LaunchAgents/$filename.plist
$TMPDIR/ss*-$date-$time-$ms.sst
$TMPDIR/aa*-$date-$time-$ms.aat
$TMPDIR/kk*-$date-$time-$ms.kkt
$TMPDIR/dd*-$date-$time-$ms.ddt
遠程主機:
158.69.241[.]141
jikenick12and67[.]com
cameforcameand33212[.]com
User-Agent:Mozilla/5.0(Macintosh; Intel Mac OS X 10_9_3) AppleWebKit/537.75.14 (KHTML, like Gecko)Version/7.0.3 Safari/7046A194A
總結
目前,安全研究人員還沒有找到Mokes后門家族背后的始作俑者到底是誰。但無論是獨立的黑客組織也好,由國家資助的黑客組織也罷,就目前可獲取到的信息來看,這款后門絕對是一種非常復雜的惡意軟件。
京公網安備 11010502049343號