如何進(jìn)行MacOS惡意軟件Shlayer分析

這篇文章給大家介紹如何進(jìn)行MacOS惡意軟件Shlayer分析，內(nèi)容非常詳細(xì)，感興趣的小伙伴們可以參考借鑒，希望對大家能有所幫助。

近兩年來，Shlayer木馬一直是Mac OS平臺(tái)上最常見的惡意軟件，十分之一的Mac OS用戶受到它的攻擊，占該操作系統(tǒng)檢測到攻擊行為的30%。第一批樣本發(fā)現(xiàn)于2018年2月，此后收集了近32000個(gè)不同的木馬惡意樣本，并確定了143個(gè)C&C服務(wù)器。

自Shlayer首次被發(fā)現(xiàn)以來，其使用的算法幾乎沒有變化，活動(dòng)行為保持平穩(wěn)。

技術(shù)細(xì)節(jié)

從技術(shù)角度來看，Shlaye是一個(gè)相當(dāng)普通的惡意軟件。在所有變體中，只有最新的木馬下載程序OSX.Shlayer.e與眾不同。此惡意軟件的變體是用Python編寫的，其算法也有不同。具體分析如下（樣本MD5：4d86ae25913374cfcb80a8d798b9016e）：

感染第一階段

安裝此DMG映像后，將提示用戶運(yùn)行“安裝”文件，安裝程序是Python腳本。

應(yīng)用程序包內(nèi)可執(zhí)行文件目錄包含兩個(gè)Python腳本：GJPWVUUD847 DZQPYBI(main)和GoqWajdBuV6(auxiliary)。后者用來實(shí)現(xiàn)數(shù)據(jù)加密功能：

接下來，主腳本生成唯一用戶和系統(tǒng)ID，收集macOS版本的信息。基于這些數(shù)據(jù)生成GET query參數(shù)，下載ZIP文件：

下載到/tmp/%（sessionID）目錄的ZIP文件使用unzip函數(shù)解壓到/tmp/tmp目錄：

ZIP包含可執(zhí)行文件84cd5bba3870應(yīng)用程序包：

解壓文件后，python腳本使用chmod賦予文件84cd5bba3870在系統(tǒng)中運(yùn)行的權(quán)限：

樣本使用moveIcon和findVolumePath函數(shù)將原始DMG圖標(biāo)復(fù)制到新下載的應(yīng)用程序包所在的目錄中：

木馬程序使用內(nèi)置工具下載和解壓，并刪除下載的文件及其解壓內(nèi)容：

感染第二階段

Shlayer本身只執(zhí)行攻擊的初始階段，穿透系統(tǒng)，加載payload運(yùn)行。調(diào)查AdWare.OSX.Cimpli可以看出其對用戶的負(fù)面影響。

Cimpli安裝程序看起來無害，只是提供安裝：

但實(shí)際上Cimpli執(zhí)行用戶看不到的操作。首先，它在Safari中安裝一個(gè)惡意擴(kuò)展，將操作系統(tǒng)安全通知隱藏在惡意軟件偽造窗口后。單擊通知中的按鈕，用戶就會(huì)同意安裝擴(kuò)展。

其中一個(gè)擴(kuò)展名為ManagementMark，檢測為非病毒：HEUR:AdWare.Script.SearchExt.gen。它監(jiān)視用戶搜索并將其重定向到地址hxxp://lkysearchex41343-a.akamaihd[.]net/as?q=c：

樣本還加載PyInstaller打包的mitmdump工具。系統(tǒng)中添加了一個(gè)特殊的可信證書，允許mitmdump查看HTTPS流量，所有的用戶流量被重定向到mitmdump的SOCKS5代理。

通過mitmdump（SearchSkilledData）的所有流量都由腳本SearchSkilledData.py（-s選項(xiàng)）處理：

此腳本將所有用戶搜索查詢重定向到hxxp://lkysearchds3822-a.akamaihd[.]net。Cimpli并不是Shlayer唯一一個(gè)廣告軟件應(yīng)用程序系列，還包括AdWare.OSX.Bnodlero、AdWare.OSX.Geonei和AdWare.OSX.Pirrit。

軟件傳播

惡意軟件傳播是其生命周期的重要組成部分，Shlayer為了解決這個(gè)問題制定了很多方案：在找你最喜歡的電視節(jié)目的最新一集嗎？想看足球比賽的直播嗎？要格外小心，因?yàn)楦腥維hlayer的幾率很高。

在大多數(shù)情況下廣告登陸頁面把用戶帶到精心制作的假頁面，在Flash播放器更新提示下安裝惡意軟件。

在YouTube視頻描述中發(fā)現(xiàn)了指向惡意軟件下載的鏈接：

文章腳注中的Shlayer：

根據(jù)WHOIS判斷，它們屬于同一個(gè)人，這樣的域名總數(shù)已經(jīng)超過700個(gè)。

統(tǒng)計(jì)數(shù)據(jù)顯示，Shlayer攻擊主要針對美國用戶（31%），其次是德國（14%）、法國（10%）和英國（10%），幾乎所有假冒的Flash Player下載頁面網(wǎng)站都有英語內(nèi)容。

通過對Shlayer家族的研究可以得出結(jié)論，macOS平臺(tái)是網(wǎng)絡(luò)罪犯的一個(gè)很好的收入來源。木馬鏈接甚至存在于合法的資源上，攻擊者擅長于社會(huì)工程學(xué)，很難預(yù)測下一個(gè)欺騙技術(shù)會(huì)有多復(fù)雜。

關(guān)于如何進(jìn)行MacOS惡意軟件Shlayer分析就分享到這里了，希望以上內(nèi)容可以對大家有一定的幫助，可以學(xué)到更多知識(shí)。如果覺得文章不錯(cuò)，可以把它分享出去讓更多的人看到。