<返回更多

macOS窃密木马分析,你还敢轻易下载mac破解软件吗?

2023-09-27  FreeBuf.COM  M_Altman
加入收藏

0x01 事件简介

近期,在进行macOS终端威胁狩猎时,发现了一例macOS终端窃密木马,经过深入分析发现该木马专门针对macOS,会从受害者的机器上窃取大量敏感信息,包括浏览器自动填充、密码、cookie、钱包信息、钥匙串密码、操作系统系统信息、桌面和文档文件夹中特定格式文件,macOS开机密码。经过溯源分析,该macOS窃密后门的传播途径主要是通过在软件下载网站发布免费破解软件、收费软件激活软件。例如Axure RP破解软件,CleanMyMac X破解版。最终引导用户下载运行恶意窃密后门。

0x02 事件分析

0x021 传播途径

https://muzamilpc.com/ 该网站上所有的破解软件下载均会跳转到窃密后门下载地址.

下面以Axure RP破解版为例
macOS窃密木马分析,你还敢轻易下载mac破解软件吗?

点击下载
macOS窃密木马分析,你还敢轻易下载mac破解软件吗?

会跳转到名称为SecureMedia For Mac的下载网站
macOS窃密木马分析,你还敢轻易下载mac破解软件吗?

看似是Axure RP破解版的软件最终下载回来的是macOS窃密木马AppleApp.dmg
macOS窃密木马分析,你还敢轻易下载mac破解软件吗?

AppleApp.dmg没有签名. SHA256:997901477F7DA2060B1A3E087E866B2FE3E766662D208249614B74F74505534A
macOS窃密木马分析,你还敢轻易下载mac破解软件吗?

打开界面

macOS窃密木马分析,你还敢轻易下载mac破解软件吗?

VT检测情况:2/57
macOS窃密木马分析,你还敢轻易下载mac破解软件吗?

类似的,再举个CleanMyMac X 免费版的例子
http://cleanmac-app.top/index.html
macOS窃密木马分析,你还敢轻易下载mac破解软件吗?

点击下载免费版,看似是CleanMyMac X,其实下载回来的还是macOS窃密木马
macOS窃密木马分析,你还敢轻易下载mac破解软件吗?

打开界面
macOS窃密木马分析,你还敢轻易下载mac破解软件吗?

Setup.dmg同样没有签名,SHA256:64CB30DF490AD9B4988A5A19C0E745CA9D0DFEF39B5522E61E3214AF7BB0815B
macOS窃密木马分析,你还敢轻易下载mac破解软件吗?

其他类似传播投毒的破解软件下载站点:

1.https://worldforcrack.com/

2.https://kingsoftz.com/

3.https://muzamilpc.com/

4.http://cleanmac-app.top/

0x022 静态分析

以AppleApp.dmg为例,进行分析

macho文件拖进ida,进入mAIn函数,设置窗口展示大小及方式,然后创建线程执行"_s3huyyyYbcfU_"函数
macOS窃密木马分析,你还敢轻易下载mac破解软件吗?

跟进"_s3huyyyYbcfU_"函数
macOS窃密木马分析,你还敢轻易下载mac破解软件吗?

继续跟dotask函数
macOS窃密木马分析,你还敢轻易下载mac破解软件吗?

定向获取基于Chromium的浏览器凭据文件
macOS窃密木马分析,你还敢轻易下载mac破解软件吗?

获取用户的Cookies、Login Data、Web Data
macOS窃密木马分析,你还敢轻易下载mac破解软件吗?

获取加密钱包浏览器扩展信息
macOS窃密木马分析,你还敢轻易下载mac破解软件吗?

macOS窃密木马分析,你还敢轻易下载mac破解软件吗?

获取用户的Keychain文件,Keychain文件是在苹果设备上存储敏感信息的安全容器,它是一种加密的数据库,用于存储密码、证书、私钥和其他敏感数据。
macOS窃密木马分析,你还敢轻易下载mac破解软件吗?

 

调用osascript创建dialog框骗取用户输入账号密码.
macOS窃密木马分析,你还敢轻易下载mac破解软件吗?

同时,调用dscl对用户传入的密码进行本地开机密码校验
macOS窃密木马分析,你还敢轻易下载mac破解软件吗?

直到输入正确密码为止
macOS窃密木马分析,你还敢轻易下载mac破解软件吗?

获取操作系统信息,如果发现虚拟机,则退出。
macOS窃密木马分析,你还敢轻易下载mac破解软件吗?

获取用户桌面特定格式后缀的文件
macOS窃密木马分析,你还敢轻易下载mac破解软件吗?

获取firefox浏览器中的cookies、历史登录记录、凭据信息
macOS窃密木马分析,你还敢轻易下载mac破解软件吗?

获取用户冷钱包相关配置
macOS窃密木马分析,你还敢轻易下载mac破解软件吗?

获取完敏感信息后,调用ditto压缩成zip包
macOS窃密木马分析,你还敢轻易下载mac破解软件吗?

调用sendlog函数向c2服务器185.106.93.154的80端口发送前面收集的敏感信息
macOS窃密木马分析,你还敢轻易下载mac破解软件吗?

敏感数据外发完成后就把前面创建的文件夹及压缩包删除
macOS窃密木马分析,你还敢轻易下载mac破解软件吗?

0x023 动态调试

在sendlog函数前下个断点,跟进运行
macOS窃密木马分析,你还敢轻易下载mac破解软件吗?

提示输入密码
macOS窃密木马分析,你还敢轻易下载mac破解软件吗?

随便输入一个错误的密码会提示输入了错误的密码
macOS窃密木马分析,你还敢轻易下载mac破解软件吗?

输入正确密码后,接着提示TCC权限请求窗口.
macOS窃密木马分析,你还敢轻易下载mac破解软件吗?

下面就是恶意木马窃取用户的敏感信息.浏览器自动填充密码,Cookies,抓取的特定格式的文件,login-keychain,用户输入的密码,系统信息.
macOS窃密木马分析,你还敢轻易下载mac破解软件吗?

0x024 行为检测

简单列举几个基于可疑行为检测的告警.
1.可疑本地开机密码爆破行为
macOS窃密木马分析,你还敢轻易下载mac破解软件吗?

2.可疑浏览器凭据访问行为
macOS窃密木马分析,你还敢轻易下载mac破解软件吗?

3.可疑信息收集行为
macOS窃密木马分析,你还敢轻易下载mac破解软件吗?

4.可疑凭据钓取行为
macOS窃密木马分析,你还敢轻易下载mac破解软件吗?

5.可疑压缩包创建行为
macOS窃密木马分析,你还敢轻易下载mac破解软件吗?

0x03 事件总结

复盘这次macOS窃密木马事件可以发现这种安全事件的本质还是终端软件供应链管理的问题。如果企业员工能够在企业内网获取到所需要的软件,那么大概率不会再去外面下载安装第三方不可信源提供的破解软件,个人觉得可以从事前,事中,事后三个方面进行针对性的解决这种终端软件供应链投毒风险场景.

事前:建立办公终端安全基线,企业在内网为员工提供可信的正版软件下载渠道,定期对员工进行安全风险意识培训,不断提高办公终端的基础防御能力及员工的安全防范意识;

事中:基于ATT&CK框架,通过攻击模拟,数据分析,策略开发&调优,不断提高办公终端的威胁感知能力;

事后:建立应急响应快速止血SOP机制,复盘机制,奖惩通报制度,不断提高办公终端风险处置能力;

0x04 附录-IOC

C2&Malicious Domains

185.106.93.154:80

https://worldforcrack.com/

https://kingsoftz.com/

https://muzamilpc.com/

http://cleanmac-app.top/

SHA256

997901477F7DA2060B1A3E087E866B2FE3E766662D208249614B74F74505534A

64CB30DF490AD9B4988A5A19C0E745CA9D0DFEF39B5522E61E3214AF7BB0815B

关键词:木马      点击(3)
声明:本站部分内容来自互联网,如有版权侵犯或其他问题请与我们联系,我们将立即删除或处理。
▍相关推荐
更多木马相关>>>