请选择 进入手机版 | 继续访问电脑版
发布

macOS的最新恶意软件,有点像瘟疫公司的“猥琐流”

 / 倒序浏览   © 文章版权由 xingyuewang 解释,禁止匿名转载

#楼主# 2021-3-8

跳转到指定楼层
今年2月初,安全机构 Red Canary 在苹果电脑利用系统 macOS 上发现了一种全新的恶意软件。
当然,在号称更加安全的 macOS 上出现病毒/恶意软件,算不上骇人听闻。不外,安全工程师们对这款恶意软件抱有很大的爱好,主要在于它有三个特殊突出的特性:
1)M1 处理惩罚器原生支持;2)利用 Java 实行;3)该恶意软件目前缺乏负载 (payload),也即现实对用户的系统造成负面影响的内容。
Red Canary 将其定名为 Silver Sparrow(银雀)。

固然按照前述第三条来看,该恶意软件目前没有什么值得称道的危害性,不外根据安全公司 Malwarebytes 追踪,Silver Sparrow目前已经在全球范围感染过靠近4万台电脑(主要集中于美国)——这只是该机构可以或许追踪到的终端,追踪不到的已感染电脑大概更多。
更告急的是,该恶意软件包含了对苹果 M1 ARM64 架构的原生支持,而思量到苹果正式推出 M1 处理惩罚器电脑产物也只是几个月前的变乱——Silver Sparrow 潜在的危害水平不容小觑。
Red Canary 以为,M1 兼容性、全球感染范围、高感染率,以及技术成熟水平,足以让该恶意软件成为一个“相当严峻的威胁”。
目前,Silver Sparrow 已经存在两个版本,均伪装成 macOS 软件安装包 (.pkg) 的样子。此中第二个版本 update.pkg 参加了对 ARM64 架构的支持。
正如前面提到,M1 兼容性让这款恶意软件非常引人注目,由于 M1 仍然是苹果电脑产物中非常新的一个平台,而针对该平台的安全威胁目前少之又少。

                                                                                        睁开全文                                                                            让我们继续来看这个奇特的恶意软件。它的两个版本安装包,采用的都是 Java 代码,而且利用了macOS 安装器的 JavaSciprt API。Red Canary 在一篇博客文章中指出,正是这一点让 Silver Sparrow 在已知常见的 macOS 病毒/恶意软件当中独树一帜。
在 macOS 上,用户不鉴戒点击恶意广告后大概会下载到病毒或恶意软件,表现为 .pkg 或 .dmg 安装包格式,通常会伪装成 Flash Player 的安装器或升级包。这些恶意软件的工作方式是利用 preinstall 或 postinstall(安装前/安装后)脚本来实行命令。
而在 Silver Sparrow 上,这个全新的恶意软件直接用 Java 函数来实行命令,这样的行为是在苹果 macOS 安装器原生的 Java API 支持下才得以实现。这也是安全人士初次发现采用这一方式完成安装的 macOS 恶意软件。
正是因此,恶意软件内含的 Java 代码可以在用户点开安装器并确认安装(见下图)之后就立即实行。这意味着,假如你没有走完安装流程,关掉了安装器,也没有效,恶意代码已经被实行了,你的电脑已经被 Silver Sparrow 感染了……

在感染乐成之后,用户的应用列表里会出现一个应用,按照恶意软件版本的不同,这个应用的名字大概叫 tasker 大概 updater。跟进 Silver Sparrow 的安全机构都以为,这个应用没有任何内容也没有什么特殊功能,看起来像是占位用的。
前面提到,这个恶意软件目前不含任何负载,也即会对用户系统造成负面影响的代码之类的东西。这令安全职员感觉非常希奇……让我们来进一步看看这到底是怎么一回事:
感染之后,恶意软件每个小时都会跟一个 AWS S3 服务器联系,而服务器会返回一些数据。这些返回数据中包含一个下载链接 "downloadUrl",但截至目前,安全机构在全部已感染电脑上看到的下载链接都是空的:

在安装完成后,Silver Sparrow 会回调一个域名而且陈诉两组数据,此中包罗了原始安装包下载的链接。这在恶意软件领域比较常见,意味着其开辟者希望追踪软件的分发渠道。
不但云云,这个恶意软件回调的域名利用了 Akamai 的 CDN 服务。Red Canary 就此指出,这大概意味着恶意软件的开辟者对云服务的明白甚高,由于 AWS 和 Akamai 是天下顶级的云服务提供商,大部分机构通常不会对 它们的域名举行访问封锁。“这一发现进一步证明,我们面临的是一个技术非常成熟的对手,”Red Canary 写道。
安全工程师 Erika Noerenberg 对 Silver Sparrow 举行拆解,发现它的第一个版本(只有 x86 支持)分发的只是一句占位内容。这句话想必各人也已经很认识了:

而第二个版本参加了 M1 ARM64 架构支持,分发的同样是一句占位内容,看起来同样人畜无害:

除了上述这些占位内容之外,Silver Sparrow 完全没有任何别的已知的,会对用户系统造成任何损害的代码。
更蹊跷的是,安全工程师发现,Silver Sparrow 会定期举行当地文件检查,假如在某个路径下找到某个文件,就会完全删除其在用户电脑上的全部存在。

macOS 在 Library 路径下默认不存在这个文件,Red Canary 也不清晰在什么样的情况下这个文件会出现。这个文件有大概是 Silver Sparrow 的开辟者想要制止的东西,也有大概是该软件生命周期的一部分,在完成任务之后清除陈迹的机制。
“这一(自我清除)机制的存在也是个谜,”Red Canary 在文章中写道。
Malwarebytes 追踪表现,在已知全天下数万台已经感染 Silver Sparrow 的电脑上,截至目前没有任何一台电脑下载了任何大概造成实质危害的负载。
“这款恶意软件的终极目的是个谜。我们没有办法可以确切了解它究竟要分发什么样的负载。”Red Canary 写道。
这不禁令人想起了闻名游戏《瘟疫公司》(Plague Inc.) 的一种经典流派:猥琐流。
《瘟疫公司》让玩家扮演病毒,最终目的是感染全天下,可以在感染的过程中不断得到升级点数,升级自己的传播力、抗药性和致死性。

而猥琐流的根本思绪就是只管先升满传播“猥琐发育”,让病毒悄无声气地感染全天下,然后把攒下的点数全部扔到致死能力有关的天赋树上,一瞬间爆发杀死全部人。
从目前已知的情况来看,Silver Sparrow 和《瘟疫公司》的猥琐流玩法(至少跟前期“猥琐发育”的部分)非常相似。它的技术成熟,感染数量已经较高,而且已经显现出了开辟者对于 macOS 系统以及依靠云服务的分发机制有较高的了解。
固然今天的 Silver Sparrow 人畜无害,但谁也无法包管它在将来不会忽然爆发,造成严峻的后果。
目前安全职员不清晰 Silver Sparrow 的真实开辟者是谁。不外苹果公司在收到陈诉之后,已经关闭了其安装包的证书拥有者 Saotia Seay 和 Julie Willey 的开辟者账户。
假如你是 macOS 用户,接下来大概会想要知道:我怎样确定自己是否有被 Silver Sparrow 感染过呢?
答案很简朴。假如你能在以下路径内找到对应的文件,说明你的电脑已经被感染(过)了:

假如这些文件存在的话,你需要在电脑上找到全部已知和 Silver Sparrow 有关的文件,而且在 Terminal 里用 rm 命令完全删除它们。
至于详细需要删除哪些文件,你可以到 Red Canary 的网站上查看(点开链接后,移步到 "Indicators of Compromise" 末节,可以找到全部文件及其路径)。假如你对 macOS 文件系统和 Terminal 命令不认识的话,发起找专业人士代你利用。
删除完相关文件之后,重启电脑就好啦。
你的电脑被 Silver Sparrow 感染了吗?接待在留言中和我们分享。

来源:搜狐
免责声明:如果侵犯了您的权益,请联系站长,我们会及时删除侵权内容,谢谢合作!

本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?立即注册

x
回复

使用道具

成为第一个回答人

B Color Link Quote Code Smilies
xingyuewang

管理员

  • 主题

    138089

  • 帖子

    138089

  • 关注者

    0

Copyright © 2001-2019 Comsenz Inc.  Powered by Discuz! X3.4