OSX.CpuMeaner：針對macOS平台的新型挖礦木馬

在這篇文章中，我們將給大家分析一種針對macOS的新型加密貨幣挖礦木馬。這種惡意軟體在感染了目標設備之後，會悄悄下載挖礦程序，並利用目標用戶的硬體設備來挖門羅幣（Monero）。

需要注意的是，這款惡意軟體與OSX.Pwnet非常相似，因此它們所實現的方法也是非常相近的，這種情況在惡意軟體領域中非常常見。

惡意軟體感染

很多用戶喜歡從各種渠道來獲取盜版軟體或破解軟體，有時是用戶主動利用搜索引擎獲取來的，而有時是用戶不小心點擊了惡意鏈接而感染的。而且在技術支持詐騙之類的惡意活動中，攻擊者很可能還會通過偽造的Flash Player或免費病毒掃描之類的東西來給目標用戶傳播惡意軟體。在下面顯示的例子中，用戶正在嘗試搜索破解版的Sketch應用：

大家可以看到，目的文件名filename的生成使用了key以及clickid的值。當然了，用戶最終下載下來的數據包中並沒有任何的破解軟體：

我們還在一個偽造的種子站點（法國網站）中發現了這種威脅：

從2017年9月的下半月開始，有不少的用戶開始在蘋果的官方論壇中舉報xmemapp和cpucooler這兩款可執行程序，而根據VirusTotal給出的數據，目前這種安全威脅影響非常廣泛，而且它們威脅的檢出率均為0。

數據包分析

本文發稿時，伺服器仍有三個數據包可下載：

這三個數據包都使用了相同的開發者證書來簽名：

而蘋果在2017年10月份已經撤銷了這個證書：

mosx.pkg數據包負責安裝xmemapp，而mosx2.pkg或mosx3.pkg負責安裝cpucooler：

Payload可執行程序的哈希並不相同：

它們都沒有代碼簽名：

它們會安裝在不同的目錄路徑：

安裝完成之後，數據包會自動運行postinstall腳本，並進行以下操作：

1. 將文件launchd.plist寫入目錄/Library/LaunchAgents以實現持久化；

2. 載入Launch Agent；

3. 等待10秒，並終止所有相關進程；

4. 在後台等待60秒然後運行可執行程序；

下面給出的就是mosx2和mosx3數據包的postinstall腳本：

可執行程序分析

xmemapp和cpucooler是基於XMRigv2.3.1（一款開源的門羅幣CPU挖礦工具）自定義開發的，開發人員對其中的某些字元串進行了反混淆，而且還會給伺服器發送反饋信息：

默認參數在main()函數中設置，硬編碼的選項如下：

Utils::encdec()會使用Utils::hex_to_string()來解碼十六進位字元串，並用「0x4e」與解密後的結果進行異或運算：

在使用真實參數運行時（例如postinstall腳本），main()函數會在第一個參數（包名）中尋找「-」和「.」，找到之後，便會使用子字元串作為參數來調用Postback::sendPostback()函數。

Postback::sendPostback()函數會給解密後的域名發送安裝數據（使用Utils::getNumber()）：

Utils::getNumber()會使用Utils::exec()來運行「ioreg」命令，輸出結果會使用Jenkins的哈希演算法（one-at-a-timehash）來進行計算，並以十進位顯示，然後在請求的參數中使用。

搞笑的是，Utils::str_replace()函數和Utils::jenkins_one_at_a_time_hash()函數並沒有使用到。

MNR2變種

在jumpcash.xyz域名下線之後，更多的變種版本出現在了其他的網站中，例如【這裡】和【那裡】：

數據包使用了另外的開發者證書：

又一次，蘋果在2017年11月22日撤銷了這個證書：

安裝的可執行程序又有了新的名字和存儲位置：

除此之外，它還使用了新的postinstall腳本，新腳本的工作流程如下：

1． 將launchd.plist文件寫入到目錄/Library/LaunchAgents中以實現持久化感染；

2． 如果設備已感染木馬，則退出運行；

3． 將包名寫入到/Library/ApplicationSupport/mosxnp/info文件中；

4． 載入並啟動Launch Agent；

5． 等待5秒，然後檢測程序是否在運行；

6． 如果沒有運行，則在後台等待30秒再運行可執行程序；

7． 向伺服器發送安裝狀態請求；

新版本的惡意軟體基於XMRig v2.4.2開發，並且專門針對的是macOS Sierra以及更高版本（10.12+）的系統，在低版本系統中將會發生崩潰：

下面給出的是解密後的字元串：

總結

近期，越來越多的攻擊者開始發動這種新型的「挖礦攻擊」了，OSX.CpuMeaner就是很好的證明，而且這種攻擊也開始出現在了Android和Linux伺服器的身上。網路犯罪分子們會不斷尋找新的賺錢途徑，而這種加密貨幣挖礦攻擊利用的是目標設備的硬體資源（如CPU、GPU或網路資源），普通用戶很難發覺，因此這種攻擊可以給攻擊者帶來不菲的收益。

只要還有炒幣的人，這種攻擊就會不斷湧現。

文章轉自FreeBuf.COM

喜歡這篇文章嗎？立刻分享出去讓更多人知道吧！