怎么预防和监测macOS上的FinFisher间谍软件
发布时间:2022-07-11 16:03:51 所属栏目:安全 来源:互联网
导读:人权倡导组织大赦国际(AmnestyInternational)上周发布的一份报告披露了一款名为FinSpy的跨平台间谍软件套件的macOS变体,该软件由总部位于德国的机构FinFisher开发并销售。FinSpy工具在编写时包含了多种功能,包括键盘记录程序、音频录制、摄像头、截图工具
|
人权倡导组织大赦国际(AmnestyInternational)上周发布的一份报告披露了一款名为FinSpy的跨平台间谍软件套件的macOS变体,该软件由总部位于德国的机构FinFisher开发并销售。FinSpy工具在编写时包含了多种功能,包括键盘记录程序、音频录制、摄像头、截图工具、远程访问shell、文件枚举和exfilter函数。在这篇文章中,研究人员来看看如何监测macOS变体,并列出一些以前未发布的攻击指标。 什么是FinFisher间谍软件? 根据FinFisher自己的网站和营销资料,该公司生产用于“战术情报收集”、“战略情报收集”和“部署方法和开发”的工具。该公司表示,它只与“执法和情报机构”合作,并“在全球范围内开展业务”。 FinSpyformacOS如何工作? 大赦国际在VirusTotal上提供了该样本的哈希: 复制 4f3003dd2ed8dcb68133f95c14e28b168bd0f52e5ae9842f528d3f7866495cea 1. 尽管VT上的某些引擎已将该样本拉进了黑名单,但在编写本文时,大多数引擎仍未将其识别为恶意软件。 由于样本尚未经过公开测试,因此需要对用户进行社会工程设计,以代替对macOSCatalina的公众测试。 木马安装程序的MacOS文件夹包含两个可执行文件和一个目录。 Bash脚本InstallÇağlayan包含在隐藏的.log文件夹中来执行恶意应用程序捆绑包的逻辑: ARA0848.app的Mach-O可执行文件包含用于监测虚拟机环境中执行情况的逻辑,以使用Parallels,VMWare或VirtualBox虚拟化软件中的任何一个来阻止macOS恶意软件研究人员的分析: 由于在隔离的测试环境中逆转macOS恶意软件始终是明智的选择,因此研究人员必须对样本进行一些小的改动,以逃过其内置的抗分析监测程序。在以上的样本中,研究人员在此实验室中使用一个独立的Parallels虚拟机,因此应该使用一些简单的二进制补丁来处理VM监测。ParallelsDesktop被称为macOS上最强大的虚拟机软件。可以在Mac下同时模拟运行Win、Linux、Android等多种操作系统及软件而不必重启电脑,并能在不同系统间随意切换。 首先,将二进制文件从DMG中复制到本地磁盘,然后在vi编辑器中打开二进制文件: 然后,从vi的命令行调用xxd实用程序: 复制 %!xxd 1. 接下来,研究人员搜索“parallels”样本。幸运的是,有两个: 现在研究人员编辑每个字符的第一个字符,并将其从“parallels”改为“xarallels”,方法是将十六进制70(“p”)替换为78(“x”)。然后研究人员使用%!xxd-r将十六进制反转回二进制格式,并使用wq命令将其保存到vi中。 在macOSCatalina上启动样本需要重写公证检查,之后研究人员就可以立即观察到来自恶意软件提升特权的请求。强制使用后,恶意软件立即将以下文件写入用户的 Library cache文件夹中: 除此之外,FinFisher间谍软件还通过在/Library/LaunchAgents文件夹中编写一个名为logind.plist的域级LaunchAgent来寻求保持持久性的作用。 复制 /Library/Frameworks/Storage.framework/Contents/MacOS/logind 1cf36a2d8a2206cb4758dcdbd0274f21e6f437079ea39772e821a32a76271d4612 1. 2. FinSpy是一种完全无法监测的新型恶意软件吗? 恶意软件开发商和经销商总是热衷于将其产品描绘为“无法监测”或“完全不可监测”(FUD)来吸引客户,因此研究人员确信那些向“执法和情报机构”推销工具的人也同样会这样宣传。如果你打算购买恶意软件(尤其是间谍软件),那么你选择的第一个功能就是怎不部被发现。 尽管广告做的震天响,但是只有极少数的恶意软件真正是“完全不可监测”,因为它需要以特定的、可预测的方式行动以实现其目标(例如,记录击键、与C2通信等等),在这方面FinSpy也不例外。 实际上,安全研究人员和静态搜索引擎早已经注意FinSpy很久了。特别是FinFisher用于持久性代理的用户路径:~/Library/LaunchAgents/logind。 该路径至少在2017年就被发现了,在最近几个月中,可以看到其他攻击路径逐步添加到Apple的MRT.app中,在v1.52和v1.64中添加了新的监测路径: 尽管如此,即使当前的MRT.appv1.66仍未在域级别上搜索LoginAgent。 但是,更重要的是,MRT.app的监测不会阻止FinSpy对Mac用户的攻击。苹果的MRT.app就是一种感染工具,不过主要是在用户启动Mac或登录用户帐户时,以及苹果在后台静默更新该工具时才会运行。 为了防止恶意代码的启动和执行,苹果使用了许多不同的技术:Gatekeeper,Notarization和XProtect。虽然很有用,但前两种软件存在用户可屏蔽的弱点,这意味着恶意软件可以通过对受害者进行社会工程的方式安装,也可以由临时访问受害者计算机的恶意用户安装。 SentinelOne管理控制台进程树精确地映射恶意进程的执行,正确地判断那些属于恶意程序(红色部分): 总结 针对macOS的FinSpy恶意软件是一种商业生产和销售的产物,旨在感染Mac用户,以进行间谍活动,窃取数据和远程控制目标计算机。尽管研究人员无法确定该间谍软件是否被全球的执法机构或情报机构“合法”使用,但研究人员仍致力于确保用户在其端点上受到应该有的保护程序或任何其他未经授权的软件的完全保护。 (编辑:应用网_丽江站长网) 【声明】本站内容均来自网络,其相关言论仅代表作者个人观点,不代表本站立场。若无意侵犯到您的权利,请及时与联系站长删除相关内容! |
浙公网安备 33038102330468号