羅馬尼亞的安全軟件廠商比特梵德的安全研究員發(fā)現(xiàn)了一組新的惡意軟件，可以通過Mac OS X系統(tǒng)打開“后門”。

這款惡意軟件的技術(shù)名稱為“Backdoor.MAC.Eleanor”。目前，該惡意軟件開發(fā)人員開始將其作為EasyDoc Converter向受害者散布。EasyDoc Converter是一個(gè)允許用戶通過在小窗口拖動(dòng)轉(zhuǎn)換文件的Mac應(yīng)用程序。

實(shí)際上，比特梵德表示，這個(gè)惡意EasyDoc Converter僅下載并運(yùn)行惡意腳本，這些腳本在啟動(dòng)時(shí)安裝并注冊(cè)三個(gè)新組件：Tor隱藏服務(wù)、PHP網(wǎng)絡(luò)服務(wù)以及Pastebin客戶端。

Backdoor.MAC.Eleanor為Mac創(chuàng)建一個(gè).onion地址

Tor服務(wù)自動(dòng)將受感染的計(jì)算機(jī)連接至Tor網(wǎng)絡(luò)，并生成一個(gè).onion域名，攻擊者可以通過這個(gè)域名只使用一種瀏覽器訪問用戶系統(tǒng)。

PHP網(wǎng)絡(luò)服務(wù)是連接的接收端，負(fù)責(zé)將從攻擊者控制面板接收的命令解譯至本地Mac操作系統(tǒng)。

Pastebin代理干預(yù)作用體現(xiàn)在：通過RSA與算法使用公共密鑰對(duì)Pastebin URL加密后，Pastebin代理獲取本地生成的.onion域名并將其上傳至Pastebin URL。

“后門”提供大量遠(yuǎn)程管理選項(xiàng)

比特梵德的研究團(tuán)隊(duì)表示，Backdoor.MAC.Eleanor能讓罪犯操控并與本地文件系統(tǒng)交互、發(fā)起反向shell(Reverse shell)執(zhí)行root命令，并發(fā)起和執(zhí)行所有類型的PHP、PERL、Python、Ruby、Java或C語言腳本。

此外，攻擊者還可以羅列在本地運(yùn)行的應(yīng)用程序，使用被感染的計(jì)算機(jī)發(fā)送電子郵件，并使用被感染計(jì)算機(jī)作為中介點(diǎn)連接并管理數(shù)據(jù)庫，以及掃描開放端口的遠(yuǎn)程防火墻。

被感染的計(jì)算機(jī)基本上就成了攻擊者“僵尸網(wǎng)絡(luò)”的僵尸主機(jī)(bot)，攻擊者隨時(shí)可以利用僵尸主機(jī)發(fā)送大量垃圾郵件、竊取被感染系統(tǒng)的敏感數(shù)據(jù)，將其作為DDoS攻擊的僵尸主機(jī)或安裝其它惡意軟件。

攻擊者訪問Mac的Tor.onion鏈接如下圖所示：