macOS上的恶意软件


=Start=

缘由:

临近国庆假期,事情不多,工作之余就有点时间学习一下感兴趣但平时没时间研究和了解的内容。最近看的比较多的是macOS上和安全相关的内容,简单记录一下,方便以后参考。

正文:

参考解答:
macOS系统更安全?

(在我的认知范围内)对于macOS来说,它的常见/主要威胁在于被社会工程学攻击之后“主动安装的”恶意软件的行为方式带来的威胁,而不像Windows那样(不需要复杂社工/钓鱼的)远程RCE也“相对常见”,也不像Linux那样主要是服务器在用因此面临更多的弱口令爆破和系统/应用漏洞的威胁。

相信在多数用户的印象里,macOS系统几乎不会受到病毒的影响。一方面,由于Windows市场占有率大,吸引了绝大部分的黑客和病毒攻击,从而显得针对macOS系统的攻击较少;另一方面,得益于苹果商店对软件严格的审核机制,也极大地降低了病毒入侵macOS系统的可能性,有效保证了用户安全。

就我个人的使用经验和习惯来看,macOS作为个人电脑使用时确实比Windows系统要更“默认安全”一些,对于用户来说自主性更大——(一般情况下)如果用户了解一些系统安全特性,形成了更好的安全意识,软件和系统的使用也就会更安全,整体的使用体验和安全性也就更好。简单梳理一下大概以下几点:

  1. macOS 并非一个开放的系统,它的安全一定程度上来源于信息的不公开,而且用户群体相对较少,吸引的安全研究和攻击也相对较少(Windows系统并非不安全,而是盯着的人太多,研究的时间太长,用户群体又大,难免不出问题);
  2. 默认安全的设计 & 相对简单透明的隐私权限管理
  3. 具体的体现就像是 App Store / Gatekeeper / SIP / FileVault / Keychain 等;
  4. 在保证安全性的同时也很大程度上保留/提升了用户体验。
macOS上恶意软件的主要传播途径

通过整理和分析近两年macOS系统上影响较为严重的恶意软件威胁事件发现,目前macOS系统上恶意软件传播途径主要有两种:

  • 一是通过仿冒软件官方网站散播恶意代码的软件包;
  • 二是利用第三方下载渠道进行定点投毒

还有一种威胁传播途径,虽然它的传播范围不广,但是非常有针对性,它就是“定向钓鱼”攻击,在企业安全内部的红蓝对抗和每年的hvv活动中屡见不鲜。虽然套路简单,且企业内部的安全意识培训中每次都会提及,但因为人性的弱点,只要钓鱼话术设计得当,没有不中招的。

但如何仿冒软件官方网站和对第三方甚至官方下载渠道进行投毒这里不涉及,钓鱼的方式和话术也不涉及,感兴趣的可以去检索相关文章进行学习,这里只是简单记录一下macOS用户被“钓鱼”/“投毒”之后那些恶意软件的常见行为,方便后面分析和参考。

CrowdStrike整理的macOS恶意软件分类
  1. 勒索软件——谋利导向
  2. 后门软件——远程访问,持久化控制
  3. 木马软件——窃取数据
  4. 其它
CrowdStrike整理的macOS恶意软件文件类型

恶意软件开发人员经常试图隐藏或掩盖文件类型,欺骗用户执行。当软件的执行/启动越简单、和工作生活中的操作习惯越接近、引发的系统弹窗提醒越少,用户执行的概率也就更大。

尽管大多数恶意软件都是编译过的二进制文件(为了使得分析更困难),但在分析macOS恶意软件时通常会遇到许多非二进制文件,对于攻击者而言,每一种都有自己的优点和缺点。例如:

  • 苹果的磁盘镜像(dmg)由于在执行时会自动安装,因此在恶意软件中很常见。OSX.EvilQuest和OSX.Shlayer恶意软件通常使用这种文件类型。
  • Packages(.pkg、.mpkg)是另外一种经常被恶意软件滥用的文件类型,因为它们允许恶意软件开发者自定义预安装和后安装脚本并通过安装程序自动运行。例如:OSX.EvilQuest在挂载.dmg文件后使用一个恶意包,它包含一个后安装脚本,可以将二进制文件OSX.EvilQuest复制到/Library/mixednkey/下,并命名为toolroomd。
  • AppleScripts或AppleScript变体(如执行自动化重复任务的Run-only)经常被挖矿软件OSA.OSAMiner滥用。
macOS上窃取数据和持久化控制的一些方法记录
尽量无感(基本不需要用户交互)
  • 借助Chrome恶意插件窃取cookie,以达到窃取数据的目的(当然这里除了浏览器cookie之外,只要特定敏感文件的访问未做控制的也可以直接读取外发)
  • 往 LaunchAgents/LaunchDaemons 目录添加恶意plist以执行反弹shell等命令,以达到窃取数据以及持久化访问控制的目的
  • 往 定时任务 中插入代码以定期回连保持通信和执行特定操作,以达到窃取数据以及持久化访问控制的目的
  • 键盘记录器(这个待测试后确认是否无感)
  • 检索并回传电脑上等特定目录文件
  • 感染/注入电脑上的其它软件以达到特定目的(隐藏自身/窃取数据/持久化/……)
  • 利用组合漏洞直接搞定系统/内核(类似于Pwn2Own大赛中的0click/1click的一键搞定系统权限那种)
需要用户输入电脑密码
  • 安装自定义pkg,需要用户输入密码,不过一旦用户输入密码,在Scripts里指定的操作就具备了sudo操作的权限,之后的恶意操作方便了很多
  • 使用类似HackBrowserData工具提取浏览器中的账号密码和cookie信息

==

记录着记录着发现实际记录的内容和最开始的想法不太一样,有点跑偏了……算了,先这样吧,有时间了再慢慢补充和晚上。

参考链接:

卡巴斯基:Mac OS 用户网络威胁调查报告
https://mp.weixin.qq.com/s/dXwbssXbra5CCbUxtfbJTw

年中盘点:详细分析2019年上半年爆发的macOS恶意软件
https://mp.weixin.qq.com/s/PsFo25Xz3q5R6N6RKQ28dg

macOS恶意软件概述
https://mp.weixin.qq.com/s/M4xB6A1oR8POGqzkgdzKEw
https://www.crowdstrike.com/blog/how-crowdstrike-analyzes-macos-malware-to-optimize-automated-detection-capabilities/

macOS常见病毒传播流程及代表性病毒分析
https://mp.weixin.qq.com/s/MchmlyRFmUfVU5a4YX6KIA

2018年影响MAC-OS的恶意软件(含APT)汇总报告
https://mp.weixin.qq.com/s/OtPnH_dLqFv8Tkmk_XnMWA

macOS恶意软件排查实践指南
https://mp.weixin.qq.com/s/kEuzY-0qxIrV4Ip4Z7upAA
https://www.sentinelone.com/blog/malware-hunting-macos-practical-guide/

特权提升攻防揭秘:macOS恶意软件如今还需要root提权吗?
https://mp.weixin.qq.com/s/LqOFwKvZ5vGMKguNnu2aag
https://www.sentinelone.com/blog/privilege-escalation-macos-malware-the-path-to-root-part-2/

Mac恶意软件窃取电报账户、Chrome密码、微信、联系人、印象笔记、Skype等敏感数据
https://mp.weixin.qq.com/s/wcT4PO76vakmQQ68nnzBHw

Formbook恶意软件框架在macOS的演变历程
https://mp.weixin.qq.com/s/Gs9LRJMF_8XtPPodiWM2Jg

APT Lazarus利用macOS恶意软件针对工程师进行攻击
https://mp.weixin.qq.com/s/11Xe_U_nkC-iGsxzkRLXIA

=END=


《“macOS上的恶意软件”》 有 4 条评论

  1. macOS 系统的一些安全机制介绍
    https://mp.weixin.qq.com/s/P-KGTJQGSirZ4aE79qA_RQ

    2019 SDC 议题回顾 | 安全研究视角看macOS平台EDR安全能力建设
    https://mp.weixin.qq.com/s/onNbGcPd6F8RIp0QRSbfUQ

    如何让macOS的用户交互安全屏障瞬间变成“马奇诺防线”(一)
    https://mp.weixin.qq.com/s/4KD71XgvD0ep4AOQFBeL_w

    如何让macOS的用户交互安全屏障瞬间变成“马奇诺防线”(二)
    https://www.4hou.com/posts/vZY8

    MacOS很安全?这只是错觉
    https://mp.weixin.qq.com/s/0uJ6KsMb1qIsFWcci_l24Q

    macOS 系统的企业安全指南(上)
    https://mp.weixin.qq.com/s/Rz1vqf1Ev7XWhCAQIla4CQ

    macOS 系统的企业安全指南(下)
    https://mp.weixin.qq.com/s/0acdJY3nqXCdwx1mcxi_nQ

  2. 2019看雪安全开发者峰会/安全研究视角看macOS平台EDR安全能力建议
    https://data.hackinn.com/ppt/2019%E7%9C%8B%E9%9B%AA%E5%AE%89%E5%85%A8%E5%BC%80%E5%8F%91%E8%80%85%E5%B3%B0%E4%BC%9A/%E5%AE%89%E5%85%A8%E7%A0%94%E7%A9%B6%E8%A7%86%E8%A7%92%E7%9C%8BmacOS%E5%B9%B3%E5%8F%B0EDR%E5%AE%89%E5%85%A8%E8%83%BD%E5%8A%9B%E5%BB%BA%E8%AE%AE.pdf
    https://en.wikipedia.org/wiki/MacOS
    https://en.wikipedia.org/wiki/Architecture_of_macOS
    `
    # macOS系统安全限制
    * Authd
    * syspolicyd
    * Gatekeeper
    * App Translocation
    * User-Approved kext
    * App Notarization
    * Rootless(SIP)
    * Sandbox
    * XProtect
    * MRT(Malware Removal Tool)
    * EndpointSecurity

    # 攻击检测
    * 勒索攻击(文件读写事件 + 进程执行事件)
    * 挖矿攻击(网络读写事件 + 进程执行事件)
    * 鱼叉攻击
    * 信息窃取(敏感资源访问 + 网络提交数据)
    * DDOS攻击
    * 权限提升(进程执行事件 + 进程权限检查)
    * 端口扫描
    * 无文件攻击
    * Rootkit攻击

    # 安全防护
    * 文件读写管理
    * 文件执行管理
    * 网络访问管理
    * 进程管理
    * 系统调用审计
    * 终端隔离
    * 资产报备
    `
    macOS Matrix
    https://attack.mitre.org/matrices/enterprise/macos/

  3. 常见恶意软件类型及危害
    https://www.secpulse.com/archives/189576.html
    `
    前言:信息时代,无论是对家庭个人电脑还是对政府、银行、医疗机构等单位的办公用电脑,恶意软件都是一个需要引起高度重视的问题。

    信息时代,无论是对家庭个人电脑还是对政府、银行、医疗机构等单位的办公用电脑,恶意软件都是一个需要引起高度重视的问题。设备如果感染了恶意软件,将会造成什么危害?这取决于设备感染了哪种恶意软件,因为每种恶意软件都有其不同的目的与行为特征。

    下面我们就来介绍一下常见的恶意软件及这些软件都在用户的设备上做些什么做了。

    # 1、病毒与蠕虫

    病毒是能够在整个文件系统中复制自身的恶意软件的通称。病毒是一种非常常见的恶意软件,通常会影响被感染设备的性能。病毒需要由用户手动启动,或者通过被感染设备上正在运行的应用程序来启动。
    虽然病毒需要用户交互才能开始运行,但蠕虫可能存在更大的问题,因为蠕虫能够无需用户交互就自动传播到其他计算机和网络。这会在一个单位内部网络中形成快速的传播,因为蠕虫可能通过单位内部网络的共享机制实现快速横向传播,感染多台服务器和关键设备。

    ## 蠕虫示例 – WannaCry
    Wannacry在发布时产生了巨大影响,它能够通过搜索面向公众的中小型企业端口实现自动传播,从而对世界范围内的大量企业和政府都造成了巨大的威胁,并且导致了被感染单位的严重损失。

    # 2、广告软件

    恶意软件在很大程度上会试图逃避检测,因为它们不希望用户知道自己的设备已经被感染。但是,如果用户设备感染了广告软件,由于设备上将看到大量广告,用户通常会感受到该恶意软件的存在。

    ## 广告软件示例 – DeskAd
    DeskAd是一个典型的广告软件,一旦用户设备感染该软件,它将逐步增加浏览器显示的广告量,并将用户的网络流量重定向到恶意网站。

    # 3、间谍软件

    间谍软件将整理被感染设备的隐私数据,如浏览器历史记录、GPS信息、密码、网购信息等。然后,将这些信息出售给第三方广告商,或利用这些信息实施网络诈骗。

    ## 间谍软件示例 – Pegasus
    Pegasus间谍软件由以色列公司NSO开发,该软件以iPhone为攻击目标,通过该软件,能够获取用户手机的摄像头和麦克风使用权限。

    # 4、勒索软件

    近年来,勒索软件已经成为了一个重要的网络安全问题,这类恶意软件也为其设计生产人员带来了大量非法收入。
    与大多数恶意软件一样,勒索软件通常通过邮件分发,并被伪装成doc、pdf等文件形式。不知内情的用户一旦打开该文件,就会被感染。
    与大多数恶意软件通常试图逃避检测不同,勒索软件往往希望用户知道设备已经被感染。勒索软件将首先删除用户设备上的文件备份,然后将磁盘上的所有文件进行加密,使其无法访问。
    由于文件备份都已经被删除,勒索软件将显示一条消息,告诉用户,所有文件都已加密,打开文件的唯一办法是向攻击者支付赎金。赎金一般需要以比特币形式支付,勒索软件一般还会指导用户如何访问暗网并进一步支付赎金等。

    ## 勒索软件示例 – BlackMatter、Netwalker、Cerber
    Blackmatter由REvil和Darkside两个黑客组织联手生产。这两个组织是2020、2021两年最多产的勒索软件组织,它们也是2020年外汇巨头Travelex被勒索事件、2021年美国管道公司Colonial Pipeline被勒索事件,以及2021年美国肉类加工巨头JBS被勒索事件的始作俑者。
    etwalker勒索软件于2019年由黑客组织“马戏团蜘蛛”创建。表面上看,Netwalker与大多数其他勒索软件一样,通过钓鱼邮件进入用户设备,进而泄露并加密敏感数据,以达到勒索用户并获得赎金的目的。不幸的是,Netwalker不仅仅是将用户的数据作为勒索手段。为了表明他们的强硬态度,黑客还会在网上泄露被盗数据的样本,并声称,如果不能及时满足其要求,他们将在暗网上发布用户的其余数据。这一手段对于很多敏感数据被泄露的用户而言,具有致命的杀伤力。
    下面图片显示了一台感染了勒索软件Cerber的电脑的界面,以及黑客发给用户的赎金警告:

    # 5、键盘记录器

    键盘记录器的键盘记录功能对黑客而言非常有价值,因为,如果用户在被感染设备上输入了密码或者用于网购的金融账户信息,恶意软件就将捕获这些信息并将其传输给攻击者,以便他们非法利用这些信息。

    ## 键盘记录器示例 – Remcos
    我们利用Process Hacker工具安全地诱发了一个叫作Remcos的键盘记录器。在下图中,我们可以看到,在ProcessHacker工具的记录中能够发现Remcos正在记录用户键盘活动的证据。

    在记录中可以看到,恶意软件启动了键盘记录器“ne Keylogger Started! }”,键盘记录器记录的按键信息在磁盘上的存储位置在“Users\Admin\AppData\Roaming\remocs\logs.dat”。用记事本等文本编辑器打开该按键记录日志:

    # 6、木马和远程访问木马

    木马软件的名字来自于历史悠久的特洛伊木马。木马软件通常会被伪装成正常软件,如游戏等可能吸引用户的软件,甚至可能会被伪装成杀毒软件,但是,恶意软件会在后台运行。这一特点也增加了设备感染木马的可能性。
    木马通常还会使攻击者能够远程访问被感染设备,从而导致被攻击设备中的各类文件或数据被泄露,此类木马也被称为远程访问木马(RAT)。

    ## 木马和远程访问木马示例 – Emotet
    Emotet这个著名的远程访问木马已经存在了多年,一直是世界各地各类机构和组织都面临的问题。近年来,Emotet木马活动激增,这说明,其背后的黑客团体并没有消失。

    # 7、Rootkit

    前面几类恶意软件的恶意操作针对的都是设备的操作系统,Rootkit则将其恶意操作瞄准了操作系统的基础内核,即操作系统和设备硬件的中间层。通过瞄准内核,Rootkit很难被防病毒系统检测到,因为防病毒解决方案基本都在操作系统层而非内核层上运行。

    ## Rootkit示例 – Necurs
    Necurs是一个2012年就出现的Rookit,通常被用于大规模分发恶意垃圾邮件。

    # 8、机器人/僵尸网络

    被称为机器人的被感染设备被用于自动执行命令和任务。一旦感染了这种类型的恶意软件,那么被称为机器人的设备将自动调用被称为C2的坏人的基础设施。这是命令和控制的缩写,因为攻击者现在可以控制此设备,并能够发出将在设备上执行的命令。
    部署此类恶意软件的攻击者将试图将其部署到成千上万台被称为僵尸网络的设备上。然后,攻击者会从每台设备生成流量,并用他们控制的僵尸网络制造针对性的DDoS攻击。

    ## 僵尸网络示例 – Mirai
    Mirai恶意软件是一个著名的僵尸网络,用于感染物联网设备。当冰箱和咖啡机等家用物品在几乎没有身份验证的情况下获得wifi功能时,同时也带来了网络安全问题。最初,在这些产品的设计生产中,并未考虑网络安全问题,因此,任何人都可以对这些设备进行身份验证并连接到这些设备。Mirai背后的攻击者就利用了这种安全漏洞,这些设备被Mirai感染,并被用于后续实施DDoS攻击等恶意活动。

    # 9、无文件恶意软件

    无文件恶意软件通常使用PowerShell对用户的操作系统实施攻击,不会留下任何痕迹。这种类型的攻击也被称为零足迹攻击。此类攻击特别难检测,因为它不依赖于将外部恶意(和可检测的)二进制文件渗透到您的系统中。

    ## 无文件恶意软件示例 – PowerSploit
    基于PowerShell的攻击工具随时可用,并常被攻击者利用。PowerSploit是PowerShell模块的集合,每个模块都包含一组独特的脚本,可以在攻击的多个阶段用于执行侦察、特权升级和横向移动等攻击操作。

    恶意软件最常见的威胁载体是通过电子邮件,一种常见的手段是利用恶意的邮件,这些恶意邮件通常会包含在后台运行脚本的宏,将恶意软件下载到用户的办公设备上。如果收到恶意的电子邮件后,我们可以通过对发送邮件的IP地址进行追溯,另一方面还可以建立高风险IP地址隔离机制,从源头遏制恶意软件,更好的保护我们的办公环境和网络安全。
    `

发表评论

您的电子邮箱地址不会被公开。