如何防御和监测macOS上的FinFisher间谍软件
发布时间:2022-08-02 14:23:04 所属栏目:安全 来源:互联网
导读:尽管针对macOS用户的工具包的恶意软件已被研究人员发现了,并且macOS套件的某些组件在Apple桌面平台的最新版本中似乎未起作用,但最近的测试证实了大赦国际共享的恶意软件样本将仍会启动并感染macOSCatalina(2019年10月8日,macOSCatalina正式上线)安装。
|
尽管针对macOS用户的工具包的恶意软件已被研究人员发现了,并且macOS套件的某些组件在Apple桌面平台的最新版本中似乎未起作用,但最近的测试证实了大赦国际共享的恶意软件样本将仍会启动并感染macOSCatalina(2019年10月8日,macOSCatalina正式上线)安装。 FinSpyformacOS如何工作? 由于样本尚未经过公开测试,因此需要对用户进行社会工程设计,以代替对macOSCatalina的公众测试。 木马安装程序的MacOS文件夹包含两个可执行文件和一个目录。 由于在隔离的测试环境中逆转macOS恶意软件始终是明智的选择,因此研究人员必须对样本进行一些小的改动,以逃过其内置的抗分析监测程序。在以上的样本中,研究人员在此实验室中使用一个独立的Parallels虚拟机,因此应该使用一些简单的二进制补丁来处理VM监测。ParallelsDesktop被称为macOS上最强大的虚拟机软件。可以在Mac下同时模拟运行Win、Linux、Android等多种操作系统及软件而不必重启电脑,并能在不同系统间随意切换。 首先,将二进制文件从DMG中复制到本地磁盘,然后在vi编辑器中打开二进制文件: 现在研究人员编辑每个字符的第一个字符,并将其从“parallels”改为“xarallels”,方法是将十六进制70(“p”)替换为78(“x”)。然后研究人员使用%!xxd-r将十六进制反转回二进制格式,并使用wq命令将其保存到vi中。 (编辑:应用网_丽江站长网) 【声明】本站内容均来自网络,其相关言论仅代表作者个人观点,不代表本站立场。若无意侵犯到您的权利,请及时与联系站长删除相关内容! |
浙公网安备 33038102330468号