攻擊者針對企業(yè)傳播macOS惡意軟件的7種方式
sentinelone的研究人員對macOS惡意軟件的2022年審查顯示��,運行macOS終端的企業(yè)和用戶面臨的攻擊包括后門和跨平臺攻擊框架的增加���。像CrateDepression和PyMafka這樣的攻擊使用對包存儲庫的錯別字攻擊來攻擊用戶,而ChromeLoader和oRAT等其他威脅則利用錯別字作為攻擊載體�。
然而,許多其他macOS攻擊所使用的攻擊載體仍然未知��,比如SysJoker(新型惡意軟件正對Windows���、Linux 和 macOS 操作系統(tǒng)構(gòu)成威脅,可利用跨平臺后門來從事間諜活動)����, OSX.Gimmick�����,CloudMensis����、Alchemist和lazarus的Operation In(ter)ception,研究人員在分析中偶然發(fā)現(xiàn)了惡意軟件�,或者在VirusTotal等惡意軟件存儲庫中發(fā)現(xiàn)了樣本。
1. 免費內(nèi)容的誘惑
有大量的macOS惡意軟件通過免費內(nèi)容下載網(wǎng)站傳播���,如torrent網(wǎng)站�����、共享軟件網(wǎng)站��、破解的應用程序網(wǎng)站或免費的第三方應用程序分發(fā)網(wǎng)站�����。
此torrent文件實用程序下載一個廣告軟件安裝程序
內(nèi)容誘餌包括:
破解軟件;
體育直播網(wǎng)站;
vpn���、“隱私”廣告和地理圍欄規(guī)避;
電影�����、電視�、游戲和音樂下載網(wǎng)站�,DRM規(guī)避;
色情和性服務網(wǎng)站���。
免費內(nèi)容誘餌主要用于驅(qū)動廣告軟件和捆綁包( bundleware)攻擊��,但像LoudMiner這樣的挖礦軟件也以這種方式傳播��。
最常見的情況是向用戶提供免費或破解版本的應用程序�,用戶開始下載一個據(jù)稱包含該應用程序的磁盤映像文件��,但在安裝時發(fā)現(xiàn)它被稱為“Flash Player”、“AdobeFlashPlayer”之類的文件���。這些文件通常是無簽名的��,用戶會得到關(guān)于如何重寫macOS Gatekeeper以啟動它們的說明���。
破解版Adobe Photoshop的誘餌會導致用戶安裝惡意程序
如上圖所示,這是Finder中的一個簡單技巧���,即使是非管理員用戶也可以使用它來擊敗Mac內(nèi)置的安全機制�。
最近發(fā)現(xiàn)一些攻擊者引導終端用戶重寫其中的Gatekeeper�����,可能是為了解決組織管理員可能通過MDM(移動設(shè)備管理)部署的任何附加安全控制�����。
一些用戶開始尋找合法內(nèi)容���,但卻被廣告和令人難以置信的交易和優(yōu)惠拉進了惡意網(wǎng)站��。不過����,Mac用戶普遍認為,瀏覽此類鏈接本身并不危險����,因為他們認為Mac是安全的、不會被病毒攻擊���。然而���,這些網(wǎng)站的性質(zhì),以及堅持使用彈出窗口����、誤導性圖標和重定向鏈接,會迅速將用戶從安全的搜索誘導至危險的下載�。
雖然“Flash Player”誘餌主要用于廣告軟件和捆綁軟件活動。其他大量利用這一載體的活動包括 OSX.Shlayer,��,Pirrit 和 Bundlore�����。安全供應商可以很好地檢測到這些攻擊���,但蘋果內(nèi)置的基于簽名的檢測技術(shù)XProtect往往會忽略這些攻擊���。
緩解措施包括:
通過MDM/安全產(chǎn)品的應用程序允許/拒絕列表控制與軟件下載/啟動相關(guān)的權(quán)限;
通過MDM解決方案或安全產(chǎn)品限制對終端的訪問;
限制或阻止使用安全產(chǎn)品執(zhí)行未簽名代碼;
使用終端保護軟件防止和檢測已知惡意軟件。
2. 向Mac用戶發(fā)布惡意廣告
惡意網(wǎng)頁廣告可以在用戶的瀏覽器中運行隱藏代碼�����,將受害者重定向到顯示虛假軟件更新或病毒掃描警告的彈出窗口的網(wǎng)站�����。在過去的12個月中����,已知的針對macOS用戶的惡意廣告活動包括ChromeLoader和oRAT。
ChromeLoader也被稱為Choziosi Loader或ChromeBack��,采用惡意Chrome擴展的形式���,劫持用戶的搜索引擎查詢�,安裝偵聽器攔截傳出的瀏覽器流量��,并向受害者提供廣告軟件��。
oRAT是一個用Go編寫的后門植入程序,以未簽名的磁盤映像(.dmg)的形式下載到受害者的計算機上��,偽裝成Bitget應用程序的集合�����。磁盤映像包含一個含有名為Bitget Apps.pkg 的包以及com.adobe.pkg.Bitget傳播標識符��。
加密的數(shù)據(jù)塊被附加到包含配置數(shù)據(jù)(如C2 IP地址)的惡意二進制文件中�����。
oRAT的加密blob和解密的純文本
緩解措施包括:
使用防火墻控制和web過濾器阻止對已知惡意網(wǎng)站的訪問�,在極端敏感的情況下,防火墻只能限制對有限的授權(quán)IP的訪問;
使用廣告攔截軟件�����,廣告攔截程序可以阻止大多數(shù)廣告的顯示�,但這可能會影響性能和對某些資源的訪問;
部署終端保護軟件以防止和檢測通過惡意廣告?zhèn)鞑サ膼阂獯a。
3.對開發(fā)者的攻擊
開發(fā)者是大規(guī)模攻擊�����、供應鏈攻擊�、間諜活動和政治操縱等攻擊行為的高價值目標���。毫無疑問��,迄今為止對蘋果開發(fā)者最成功的攻擊是XcodeGhost�,這是2015年在中國服務器上托管的蘋果Xcode IDE的惡意版本�。許多中國開發(fā)者選擇下載他們認為是Xcode的本地鏡像,因為從蘋果在美國的服務器下載合法版本非常慢����。
XcodeGhost將惡意代碼插入到任何使用它構(gòu)建的iOS應用程序中,許多受攻擊的應用程序隨后在蘋果應用商店發(fā)布�����。受攻擊的應用程序能夠竊取敏感信息�����,如設(shè)備的唯一標識符和用戶的Apple ID��,并在受攻擊的iOS設(shè)備上執(zhí)行任意代碼�。
更常見的是,攻擊者試圖通過共享代碼來攻擊開發(fā)人員�。因為開發(fā)人員希望通過借助已有成果來提高工作效率,他們通常會尋找共享代碼����,而不是嘗試自己編寫復雜或不熟悉的API調(diào)用。
在Github等網(wǎng)站上托管的公共存儲庫中可以找到有用的代碼���,但這些代碼也可能帶有惡意軟件或代碼���,從而為攻擊者打開攻擊后門。XCSSET惡意軟件和XcodeSpy都利用共享的Xcode項目危害macOS和iOS軟件的開發(fā)人員�����。
在XCSSET中�,項目的.xcodeproj/project.xcworkspace/contents.xcworkspace數(shù)據(jù)被修改為包含對隱藏在項目xcuserdata文件夾中的惡意文件的文件引用。構(gòu)建該項目導致惡意軟件被執(zhí)行��,然后在開發(fā)人員的設(shè)備上進行多階段感染��,包括后門���。
在XcodeSpy中�,攻擊者在GitHub上發(fā)布了一個合法開源項目的篡改版本。項目的構(gòu)建階段包括一個模糊的運行腳本����,它將在開發(fā)人員的構(gòu)建目標啟動時執(zhí)行�����。
在XcodeSpy示例中發(fā)現(xiàn)的模糊腳本
腳本在/private/tmp/.tag 目錄下創(chuàng)建了一個隱藏文件�����,其中包含一個命令:mdbcmd����。這反過來又通過反向shell傳輸?shù)焦粽逤2。文件路徑鏈接到VirusTotal上的兩個自定義EggShell后門�。
在執(zhí)行時����,自定義的EggShell二進制文件會在~/Library/LaunchAgents/com.apple.usgestatistics.plist或~/Liblery/LaunchAgents.com.appstore.checkupdate.plist處放置LaunchAgent���。此plist檢查原始可執(zhí)行文件是否正在運行;如果沒有����,它將從~/Library/Application Support.com/apple.AppStore/.update的‘master’ 版本創(chuàng)建可執(zhí)行文件的副本,然后執(zhí)行它��。
鏈接到XcodeSpy的EggShell后門使用的持久性代理
緩解措施包括:
將開發(fā)環(huán)境與運行環(huán)境隔離;
要求所有共享開發(fā)人員項目在下載或在公司設(shè)備上構(gòu)建之前都要經(jīng)過審查和授權(quán);
實施安全開發(fā)��,如安全編碼指南����、代碼審查和代碼加密;
教育開發(fā)人員使用外部代碼的危險;
使用終端保護軟件監(jiān)控可疑和惡意代碼的執(zhí)行。
4. 開源包存儲庫
當攻擊者以開放源代碼包存儲庫為目標時�����,情況開始變得更加嚴重����。通過這些共享的代碼在企業(yè)中的許多項目中廣泛使用����,安全審查既薄弱又困難���。在不同的平臺和語言中有許多應用�����,包括:
Python Package Index (PyPI)Crates.io (Rust)Node Package Manager (NPM)Go Module Index (Go)NuGet Gallery (.NET)RubyGems (Ruby)Packagist (PHP)Chocolatey (Windows)Scoop (Windows)Homebrew (macOS)CocoaPods (Swift, iOS)Carthage (Swift, macOS)Fedora Package Database (Linux)CentOS Package Repository (Linux)Arch Linux User Repository (Linux)Ubuntu Package Repositories (Linux)Alpine Package Repository (Linux)Maven Central (Java)
包存儲庫可能容易受到拼寫錯誤攻擊和依賴混淆攻擊�。在某些情況下,合法軟件包的所有權(quán)被劫持或轉(zhuǎn)移給開發(fā)者��。
在2022年5月��,一個流行的PyPI包“PyKafka”成為了一個名為“PyMafka”的包的拼寫攻擊的目標����。PyMafka包包含一個Python腳本,用于檢查主機并確定操作系統(tǒng)�����。
如果設(shè)備運行的是macOS,它會連接到C2���,下載一個名為“macOS”的Mach-O二進制文件���,并將其寫入名為“zad”的/private/var/tmp�。二進制文件是upx封裝的��,且進行了模糊處理���,還釋放了一個Cobalt Strike信標��。
就在不久前,Rust儲存庫Crates.io也被攻擊者盯上了��,他們用惡意的“rustdecimal”包來拼寫合法的“rust_decimal”包��。后者使用GitLab Continuous Integration(CI)管道環(huán)境�,并釋放了一個Go編寫的macOS編譯的Poseidon負載�����。
2022年末,一名自稱為“研究員”的攻擊者對PyPI上的PyTorch包進行了依賴混淆攻擊�。
依賴混淆攻擊利用了某些包具有托管在私有服務器上的依賴項這一事實。默認情況下�,包管理器首先通過搜索公共存儲庫來處理客戶端對依賴項的請求。如果依賴包的名稱在公共回收中不存在����,攻擊者可以將自己的惡意包上傳到公共回收中,并攔截來自客戶端的請求���。
惡意軟件在攻擊PyTorch時收集并竊取了攻擊設(shè)備上的各種敏感數(shù)據(jù),以傳輸?shù)竭h程URL�,包括~/.gitconfig/ 和~/.ssh/的內(nèi)容��。
PyTorch是一個流行的Python開源機器學習庫����,估計已經(jīng)有大約1.8億次下載。在圣誕節(jié)到元旦期間的5天里����,惡意軟件包托管在PyPI上,下載量達到了2300次����。
緩解措施包括:
針對通過此載體分發(fā)的攻擊的緩解措施包括許多與防范惡意共享開發(fā)人員項目相同的建議。此外�,安全團隊還可以采納以下建議:
使用私有存儲庫并將包管理器配置為不默認為公共存儲庫;
通過代碼簽名驗證包的真實性;
外部源代碼的定期審計和驗證;
5. 木馬程序
對包存儲庫的攻擊可能具有毀滅性和深遠的影響,它們將不可避免地被發(fā)現(xiàn)并引起大量關(guān)注��。相比之下����,那些希望更隱蔽地向特定目標發(fā)送惡意軟件的攻擊者可能更傾向于對流行應用程序進行木馬攻擊���。
2021年�����,百度搜索引擎中的贊助鏈接被用來通過流行的終端應用程序iTerm2的木馬版?zhèn)鞑阂廛浖?。進一步調(diào)查OSX.Zuru,,該活動還使用了微軟Mac遠程桌面�����、Navicat和SecureCRT的木馬版本�����。
這些應用程序在共同設(shè)計時使用了不同于合法簽名的開發(fā)者簽名��,主要是為了確保它們不會被Gatekeeper屏蔽��。除了替換原來的代碼簽名外�,攻擊者還在.app/Contents/Frameworks/文件夾中使用名為libcrypt .2.dylib的惡意dylib修改了應用程序包。對該文件的分析揭示了監(jiān)視本地環(huán)境�、連接到C2服務器和通過后門執(zhí)行遠程命令的功能。
對木馬應用程序的選擇很有意思��,這表明攻擊者針對的是用于遠程連接和業(yè)務數(shù)據(jù)庫管理的工具的后端用戶�����。
最近,有關(guān)的攻擊者被發(fā)現(xiàn)傳播木馬化的EAAClient和SecureLink��,這些版本提供了一個silver有效載荷�。這些木馬在沒有代碼簽名的情況下傳播,攻擊者使用上述技術(shù)方法誘導受害者通過終端重置本地安全設(shè)置�。
‘’
研究人員最近還發(fā)現(xiàn)了一種惡意版本的開源工具,旨在竊取受害者的密碼和鑰匙鏈��,這樣攻擊者就可以完全訪問macOS中所有用戶的密碼����。在此示例中,攻擊者使用Resign tool并將其打包到ipa文件中�,以便在iOS設(shè)備上安裝,這表明攻擊者顯然有意發(fā)起攻擊����。
緩解措施包括:
驗證所有代碼是否已簽名,以及代碼簽名是否與適當?shù)囊阎_發(fā)人員簽名相對應;
限制或阻止使用安全產(chǎn)品執(zhí)行未簽名代碼;
使用終端保護軟件防止和檢測可疑或惡意代碼執(zhí)行�����。
6. 漏洞和水坑攻擊
一種不太常見的攻擊載體���,需要一些技巧才能實現(xiàn),就是利用瀏覽器漏洞攻擊被攻擊網(wǎng)站的訪問者。瀏覽器中的零日漏洞攻擊是黑客經(jīng)常關(guān)注的領(lǐng)域���,即使在修補后��,這些漏洞仍然可以被用于攻擊未能保持瀏覽器更新的組織或用戶����。
在2022年12月13日發(fā)布的macOS Ventura和Safari的最新安全更新中���,修補了30多個漏洞����,包括以下瀏覽器相關(guān)漏洞:
CVE-2022-42856:處理惡意制作的web內(nèi)容可能導致任意代碼執(zhí)行���。
CVE-2022-42867:處理惡意制作的web內(nèi)容可能導致任意代碼執(zhí)行��。
CVE-2022-46691:處理惡意制作的web內(nèi)容可能導致任意代碼執(zhí)行�����。
CVE-2022-46695:訪問包含惡意內(nèi)容的網(wǎng)站可能會導致UI欺騙����。
CVE-2022-46696:處理惡意制作的web內(nèi)容可能導致任意代碼執(zhí)行。
CVE-2022-46705:訪問惡意網(wǎng)站可能導致地址欄欺騙�。
7. 供應鏈攻擊
上述一些攻擊載體已經(jīng)可以并且已經(jīng)被用于試圖進行的供應鏈攻擊,特別是那些涉及木馬應用程序����、共享開發(fā)人員代碼和包存儲庫的攻擊。然而���,這些攻擊都涉及到合法代碼�、軟件包和應用程序的假冒或模仿版本���。
在供應鏈攻擊中����,攻擊者會破壞供應商發(fā)送給其他客戶端的合法代碼���,這種情況比較少見��。早在2016年����,流行的macOS torrent客戶端傳輸就攻擊了一個罕見的macOS勒索軟件�����。攻擊者侵入了開發(fā)人員的服務器�����,并將KeRanger惡意軟件添加到包含該軟件的磁盤映像中��。
在2022年�����,研究人員發(fā)現(xiàn)MiMi聊天應用程序的服務器被攻擊��。惡意JavaScript已添加到用于安裝聊天應用程序的磁盤映像中�。當用戶運行安裝程序時,惡意代碼到達遠程IP以檢索rshell二進制文件�����。該惡意軟件作為后門��,能夠識別受害者設(shè)備的指紋��,竊取數(shù)據(jù)并運行遠程命令��。
一個名為“rshell”的Mach-O后門包含其C2的硬編碼IP地址
緩解措施包括:
對所有供應商和合作伙伴進行盡職調(diào)查,確保他們有良好的安全措施;
定期審計和審查供應鏈的安全性�����,包括隨時關(guān)注供應商和合作伙伴的最新變化;
在整個組織范圍內(nèi)實施強大的安全控制�����,包括使用現(xiàn)代終端��、云和身份管理安全控制;
定期更新軟件系統(tǒng)和修補漏洞�����。
總結(jié)
預防攻擊可以減少對安全團隊和組織的影響����,不幸的是,人們?nèi)匀黄毡檎J為代碼簽名�、Gatekeeper和蘋果公證服務等macOS控件足以阻止惡意軟件攻擊,但如上所述macOS和微軟一樣也成為了常被攻擊的對象�����。蘋果自己也曾公開表示mac電腦存在惡意軟件漏洞��。
如上所述,通過加強防御并了解macOS惡意軟件使用的主要攻擊載體����,安全團隊可以更好地保護組織�。
參考及來源:https://www.sentinelone.com/blog/7-ways-threat-actors-deliver-macos-malware-in-the-enterprise/
來源:嘶吼專業(yè)版
在線咨詢
在線咨詢
0371-63319761