概述
網(wǎng)站建設(shè)哪家好�����,找創(chuàng)新互聯(lián)�!專注于網(wǎng)頁設(shè)計(jì)��、網(wǎng)站建設(shè)����、微信開發(fā)�����、小程序制作��、集團(tuán)企業(yè)網(wǎng)站建設(shè)等服務(wù)項(xiàng)目�����。為回饋新老客戶創(chuàng)新互聯(lián)還提供了弋江免費(fèi)建站歡迎大家使用!
近日�,研究人員發(fā)現(xiàn)一起攻擊macOS用戶的加密貨幣挖礦攻擊活動�,其中使用的惡意軟件經(jīng)過復(fù)雜的進(jìn)化給研究人員的分析工作帶來了很大的困難和挑戰(zhàn)��。該惡意軟件名為OSAMiner,最早出現(xiàn)于2015年����。因?yàn)閜ayload被導(dǎo)出為run-only AppleScript文件了�����,使得反編譯為源碼非常困難�����,因此導(dǎo)致整個(gè)分析工作非常難�����。近期,研究人員發(fā)現(xiàn)的一個(gè)變種將run-only AppleScript文件嵌入到了另一個(gè)腳本中�����,并使用公網(wǎng)的web頁面URL來下載真實(shí)的門羅幣挖礦機(jī)�。
逆向run-only AppleScript
OSAMiner主要通過游戲和軟件的盜版版本進(jìn)行傳播���,其中包括英雄聯(lián)盟和office macOS版本。
AppleScript 文件包括源碼和編譯的代碼����,但是啟用了"run-only"后就只有編譯后的版本了����,不再有人類可讀的源代碼,使得逆向分析幾乎不可能���。
Sentinel One安全研究人員在2020年底發(fā)現(xiàn)了一個(gè)新的OSAMiner樣本��,雖然分析過程非常艱難����。但是研究人員利用AppleScript disassembler(https://github.com/Jinmo/applescript-disassembler)和內(nèi)部開發(fā)的反編譯工具aevt_decompile對其惡意軟件樣本進(jìn)行了逆向分析���。
繞過行為
Sentinel One發(fā)現(xiàn)�,最近的OSAMiner攻擊活動中使用了3個(gè)run-only AppleScript文件來在感染的macOS 機(jī)器上部署挖礦活動�。
· 一個(gè)從木馬化的應(yīng)用執(zhí)行的父腳本;
· 一個(gè)嵌入的腳本;
· 挖礦機(jī)設(shè)置AppleScript
父腳本的主要角色是將嵌入的AppleScript用"do shell script"命令寫入到~/Library/k.plist 中,并執(zhí)行����。此外,還會檢查機(jī)器是否有足夠的空閑空間�����,如果空閑空間不足就退出����。
其他任務(wù)包括收集設(shè)備的序列號��、重啟復(fù)雜加載和卸載daemon或代理、kill terminal應(yīng)用���。
研究人員分析發(fā)現(xiàn)主腳本還會設(shè)置駐留代理����,從公網(wǎng)頁面URL處下載挖礦機(jī)的第一階段��。
研究人員發(fā)現(xiàn)其中一個(gè)頁面還可以訪問(https://www[.]emoneyspace[.]com/wodaywo)�,惡意軟件會分析指向一個(gè)PNG圖像的頁面源碼的鏈接。
這是第三個(gè)run-only AppleScript�����,會下載到~/Library/11.PNG中�����。其目的是下載開源的門羅幣XMR-Stak挖礦機(jī)��,其可以運(yùn)行在Linux��、Windows和macOS平臺上�。
設(shè)置腳本包括礦池地址�����、密碼和其他配置信息�����,但是不含錢包地址��。此外��,惡意軟件還使用"caffeinate"工具預(yù)防機(jī)器進(jìn)入休眠模式���。
繞過檢測
第二個(gè)腳本的作用是預(yù)防分析和繞過檢測。支持kill Activity Monitor (活動監(jiān)視器)的結(jié)論��,活動監(jiān)視器類似Windows中的任務(wù)管理器��,kill活動監(jiān)視器的目的是預(yù)防用戶檢查系統(tǒng)的資源使用��。
此外�����,腳本會kill掉系統(tǒng)一個(gè)硬編碼列表上監(jiān)控和清理的主流工具進(jìn)程��。
雖然AppleScript腳本融入了許多強(qiáng)大的特征�,OSAMiner的作者目前還沒有利用這些特征。這可能就是為什么當(dāng)前設(shè)置可以運(yùn)行加密貨幣挖礦活動而沒有被檢測到的原因����。
Sentinel One最終證明了該技術(shù)還不夠成熟,研究人員仍然可以對其進(jìn)行分析�,并提出對應(yīng)的防護(hù)手段。
完整技術(shù)分析報(bào)告參見:https://labs.sentinelone.com/fade-dead-adventures-in-reversing-malicious-run-only-applescripts/
本文翻譯自:https://www.bleepingcomputer.com/news/security/mac-malware-uses-run-only-applescripts-to-evade-analysis/如若轉(zhuǎn)載���,請注明原文地址���。
網(wǎng)站欄目:mac惡意軟件使用run-only AppleScripts繞過檢測
URL地址:
http://uogjgqi.cn/article/djcpssc.html
