盤點2016年針對蘋果Mac系統的惡意軟體（附樣本下載） | FreeBuf年終策劃

由於樣式和傳播途徑多樣，Windows系統下的惡意軟體通常比較常見。當然，在2016年，Mac系統下的一些新型惡意軟體也慢慢開始流行起來，大量蘋果電腦系統面臨安全威脅。

在此，我就2016年出現的Mac系統惡意軟體作一些盤點分析，並對每個惡意軟體的功能特點、感染方式、駐留機制及清除方法作出描述說明。

如果你想親自動手分析研究，在安全風險自負的情況下，請點擊閱讀原文查看我們為你提供的樣本文件。

KeRanger 2016.3 野生網路中出現的，第一個針對OS X的全功能惡意勒索軟體；

Eleanor 2016.7 基於PHP的後門程序，使用Tor隱藏服務端進行遠程控制通信；

Keydnap 2016.7 具備竊取OS X系統用戶憑據的標準後門程序，使用Tor隱藏服務端進行遠程控制通信；

Fake File Opener 2016.8 具有獨特駐留機制的一個相當煩人的廣告類惡意軟體；

Mokes 2016.9 針對OS X系統的一個非常標準非常完美的後門程序；

Komplex 2016.9 偽裝成俄羅斯航天計劃，可能由俄羅斯黑客團隊 Sofacy Group 或 Fancy Bear 開發，主要針對航天領域用戶的一款木馬程序。

KeRanger

OSX/KeRanger是第一個針對OS X的全功能惡意勒索軟體，由Palo Alto Networks發現。

感染方式

該惡意軟體出於各種原因，非常特別。首先是感染方式特別，為了實現隱秘感染Mac用戶，OSX/KeRanger作者先是黑了OS X系統流行BitTorrent客戶端Transmission官方網站https://transmissionbt.com/。

之後，利用入侵許可權，把提供下載的Transmission官方程序替換成包含惡意程序OSX/KeRanger的假冒程序。

該假冒程序安裝包在Transmission.app/Contents/Resources目錄下帶有一個名為General.rtf的文件，它看似像正常的RTF文件，實際上卻是一個帶有UPX 3.91的Mach-O格式可執行文件。

當用戶點擊受感染的Transmission程序之後，將會調用執行General.rtf文件，惡意程序主要執行體為：

另外，OSX/KeRanger作者還為其註冊了一個有效的Mac開發應用證書，因此可以繞過蘋果的GateKeeper 防護：

駐留機制

據目前的樣本觀察來看，OSX/KeRanger不包含任何邏輯性駐留感染代碼，只要把惡意程序主體文件kernel_service和其相關進程清除之後，就可以完全避免進一步感染。

感染特徵

用戶電腦被感染後，KeRanger會通過Tor匿名網路與遠程C&2伺服器連接，之後開始對系統上某些特定文檔和數據進行加密，KeRanger就會要求受害者向一指定的地址支付一個比特幣，以贖迴文件。

以下是對其勒索代碼的逆向分析：

以上代碼顯示，KeRanger將會加密 /Users/目錄和/Volumes/根目錄下所有文件，而據PaloAlto分析，這些被加密的文件包括300多種格式類型，如.docs, .jpgs, .zips, .cpp等。

在每個加密目錄下，KeRanger會創建一個readme_for_decrypt.txt文檔，其中包含用戶如何支付比特幣的方法：

也有分析人員認為KeRanger是勒索軟體linux.encoder的變種，這也從另外一個方面說明現代某些惡意軟體的移植相對靈活。

清除方式

停止kernel_service進程

刪除 ~/Library/kernel_*目錄和相關文件

升級Transmission至2.93版本

目前來說，蘋果方面已經吊銷了KeRanger的註冊證書（ID Z7276PX673）並更新了XProtect特徵庫，暫時能對Mac用戶形成安全防護。

Keydnap

OSX/Keydnap是具備竊取OS X系統用戶憑據的標準後門程序，使用Tor隱藏服務端進行遠程控制通信，由ESET發現。

感染方式

OSX/Keydnap首先被Eset發現，Eset聲稱，不清楚OSX/Keydnap以何種方式感染了受害者系統，但很有可能是通過垃圾郵件附件或非受信網站下載等途徑。

據分析，Keydnap屬下載者類型木馬（downloader），由.zip壓縮文件方式存在於受害者系統中，.zip壓縮文件中包含有可執行的 Mach-O 文件，這些文件看似是.txt或.jpg文件，但其實在這些文件後綴名後被加了個空格隱藏在末尾，這就是木馬程序的偽裝手段。

由於Mac OS 默認這種文件為終端執行文件，這意味著在雙擊打開圖片或文檔的同時，惡意程序的payload同時也在終端環境下被運行。

在傳播後期，攻擊者同樣通過入侵Transmission官網，利用OSX/KeRanger感染方式，把合法的Transmission程序替換成了Keydnap惡意程序。

這一次，假冒Transmission程序包包含了惡意程序主體執行文件License.rtf，並註冊了另一個開發者應用證書： Shaderkin Igor (836QJ8VMCQ)

駐留機制

為了實現長期系統駐留，Keydnap創建了兩個系統項：com.apple.iCloud.sync.daemon、com.geticloud.icloud.photo

com.apple.iCloud.sync.daemon負責讓系統執行惡意程序的二進位進程icloudsyncd，com.geticloud.icloud.photo負責惡意程序與遠程C&2伺服器的Tor隱藏服務通信進程icloudproc，而icloudproc則是Tor2Web代理程序的一個複本。

感染特徵

前述的icloudsyncd進程是Keydnap的主要執行體，它具備標準後門程序功能，可以實現遠程控制、下載、執行文件等操作，其中還包括一個遠程python腳本文件下載執行：

另外，Keydnap還包括邏輯提權操作，它將會產生一個要求用戶輸入用戶名密碼的窗口，看上去就像OS X系統中某個程序需要系統執行許可權一樣。

如果受害者被此迷惑並輸入用戶名密碼之後，後門程序將以root許可權運行，並且keychain中的密碼信息將會被盜取。

這部分的功能實現，Keydnap的作者可能參考了github上的開源項目keychaindump。

Keydnap使用Tor2Web代理程序進行C&2通信，進程icloudproc持續對127.0.0.1:9050地址進行監聽， 用Tor隱藏服務利用https與遠程C&C伺服器進行通信：

清除方式

使用launchctl unload命令暫停惡意程序或Tor進程

刪除啟動項plist文件/Library/LaunchAgents 或 ~/Library/LaunchAgentscom.apple.iCloud.sync.daemon.plistcom.geticloud.icloud.photo.plist

刪除啟動項二進位文件：

a) ~/Library/Application Support/com.apple.iCloud.sync.daemon/?

b) ~/Library/Application Support/com.geticloud/

目前，蘋果公司已經註銷了相關感染了Keydnap的Transmission開發者賬號：

Eleanor

OSX/Eleanor是一個基於php的全功能簡單後門程序，由Bitdenfender發現。

感染方式

與其它惡意軟體傳播方式不同，OSX/Eleanor通過偽裝成應用程序EasyDoc Convertor，在很多流行的程序分享和下載網站提供下載，如Mac Update。

駐留機制

感染Mac系統後，OSX/Eleanor會安裝三個自啟動項，顯然，隱蔽性不是其作者所著重關心的部分，這三個啟動項分別是：

com.getdropbox.dropbox.integritycheck.plist → conn

com.getdropbox.dropbox.timegrabber.plist → check_hostname

com.getdropbox.dropbox.usercontent.plist → dbd

其中，啟動項com.getdropbox.dropbox.integritycheck.plist負責執行名為conn的二進位程序，該程序為開啟隱藏Tor服務；

com.getdropbox.dropbox.timegrabber.plist負責執行名為check_hostname的腳本，該腳本把惡意程序使用的C&C遠程Tor地址發布到Pastebin網站保存；com.getdropbox.dropbox.usercontent.plist負責執行PHP主要程序dbd：

感染特徵

Eleanor比較獨特的功能之一是把受害主機通過Tor進行進程式控制制管理，conn程序負責與遠程C&C伺服器進行連接通信，利用進程管理工具TaskExplorer可以觀察到其對9060和9061埠的網路監聽行為：

Eleanor從以下Tor配置文件~/Library/.dropbox/sync/storage中讀取網路監聽埠：

另外，啟動項執行腳本check_hostname還具備加密惡意軟體使用的遠程C&C Tor地址，並把其發布到文件分享網站Pastebin，通過這種中轉方式，攻擊者能與受害主機保持聯繫：

OSX/Eleanor的核心後門程序為PHP結構，其中包含一個來源於github的開源網頁後門程序b374k：

github.com/b374k

該PHP shell提供了大部份遠程控制管理功能：

可怕的一點是，OSX/Eleanor還具有類似軟體Wacaw的視頻畫面捕捉功能，可以通過簡單的命令行實現對受害者系統攝像頭的拍照或錄像功能。

清除方式

刪除OSX/Eleanor的三個自啟動項；

刪除隱藏文件目錄~/Library/.dropbox下的相關惡意文件和假冒EasyDoc Convertor程序。

為了阻止Eleanor的傳播感染，蘋果方面已經更新了XProtect特徵庫。

Fake File Opener

OSX/FakeFileOpener是一種廣告類惡意軟體，由MalwareBytes發現。

感染方式

OSX/FakeFileOpener通過假冒安全網站AdvancedMacCleaner.com彈出的安全警告進行傳播感染。

一旦用戶點擊了「立即安裝安全更新」之後就會中招，OSX/FakeFileOpener將會產生一個文檔處理程序 Mac File Opener，該程序附帶注該冊證書，可以繞過Gatekeeper執行。

駐留機制

據惡意軟體專家Thomas Reed分析認為，該惡意程序無明顯的啟動機制，不產生任何啟動項或駐留進程，就跟不存在一樣。

深入分析之後發現，Fake File Opener把自身註冊成了一個可以打開大多數文檔的處理程序（Document handler），危險的情況是，如果某個特定文件沒有其他的應用程序可以打開，那麼Fake File Opener就是其默認打開程序，而這正是該惡意程序需要達到的效果。

由於這種駐留方式需要受害用戶打開一個未知類型的文檔才能觸發，稍微有點不常見或不通用，但這種方法的好處是可以繞過一些安全防護工具，非常獨特。

感染特徵

OSX/FakeFileOpener是標準的廣告類惡意軟體，它的目的很簡單，就是讓感染系統安裝更多廣告類惡意程序。

具體來說，每當受害系統的File Opener啟動打開某些未知類型文檔後，OSX/FakeFileOpener將會跳出一個提示彈窗（如下），聲明「沒有應用程序可以打開該文檔」。

而當用戶點擊「在線查找應用」』Search Web之後，瀏覽器將會跳轉到惡意程序網站www.macfileopener.org，該網站又會繼續跳出其它惡意程序安裝窗口，如Mac Adware Remover或Mac Space Reviver，進一步迷惑受害用戶，達到欺騙安裝目的。

清除方式

刪除Mac File Opener相關目錄文檔，重新設置系統文檔打開程序。

Mokes

OSX/Mokes是一個具備大多數功能的完美的OS X後門程序，由卡巴斯基發現。

感染方式

目前，其感染方式未知，卡巴斯基也只能作出一些猜測：漏洞利用、不受信網站的程序安裝或社工攻擊都有可能。

駐留機制

自啟動是OS X惡意軟體的首選方法，OSX/Mokes也是這樣，它在~/Library/LaunchAgents/目錄下生成啟動項storeuserd.plist，以下分析可以清楚看出其啟動方法：

感染特徵

除了下載和執行操作之外，OSX/Mokes還具備其它多數功能，據卡巴斯基描述，Mokes可以對受害系統的多種類型文檔的竊取，包括音視頻文件、辦公文件和鍵盤記錄等：

該惡意程序還能監控U盤等其它插入系統的可移動載體，並利用QT編程方法集成了一個針對OS X系統的攝像頭錄像功能：

清除方式

取消其自啟動項：launchctl unload ~/Library/LaunchAgents/storeuserd.plist，並刪除其對應程序，如storeuserd

除了名為storeuserd的程序外，Mokes還可能在以下目錄生成相關程序，可以對照刪除：

~/Library/com.apple.spotlight/SpotlightHelper

~/Library/Dock/com.apple.dock.cache

~/Library/Skype/SkypeHelper

~/Library/Dropbox/DropboxCache

~/Library/Google/Chrome/nacld

~/Library/Firefox/Profiles/profiled

Komplex

俄羅斯網路間諜是2016年的一個熱門話題，而OSX/Komplex據說就是俄羅斯相關黑客團體APT 28/Fancy Bear使用的木馬植入程序。由Palo Alto Networks發現。

感染方式

OSX/Komplex通過釣魚郵件傳播，其中內置了惡意程序的PDF附件偽裝成俄羅斯聯邦太空計劃文檔roskosmos_2015-2025.pdf，當目標用戶點開之後就會觸發惡意程序：

駐留機制

Komplex在系統內生成自啟動項：~/Library/LaunchAgents/com.apple.updates.plist，該啟動項對應惡意程序/Users/Shared/.local/kextd，通過該程序體遠程下載並執行攻擊者有有效載荷。

感染特徵

Komplex執行後，會檢測受害系統的網路聯通性，並判斷自身是否處於調試分析狀態：

Komplex雖然只具備以下幾個簡單的木馬功能，但足以讓攻擊者實現遠程入侵控制：

下載文件

刪除文件

配置後門程序

執行程序

運行後門命令

除了俄羅斯相關的線索外，Palo Alto公司聲稱Komplex其實早已經被發現。

2015年，BAE systems公司就發布了名為」New Mac OS Malware Exploits Mackeeper「的分析報告，報告指出，某未知惡意程序利用MacKeeper殺毒軟體漏洞感染Mac系統，而Palo Alto也發現了大量類似的惡意代碼。

清除方式

取消啟動項~/Library/LaunchAgents/com.apple.updates.plist

刪除其對應程序

**參考來源：

objective-see

，FB小編clouds編譯，轉載請註明來自FreeBuf.COM。