OSX/MaMi：macOS平台DNS劫持惡意軟體

背景

1月11日的時候，有人在MalwareBytes論壇發帖說遭遇了DNS劫持：

之前並沒有發現過有macOS系統的劫持DNS設置的惡意軟體，所以研究人員對該惡意軟體（OSX/MaMi）進行了深入分析。

分析

該惡意軟體保存在不同的站點上，比如http://regardens.info；目前尚不知該惡意軟體的感染途徑。

根據WhatsYourSign的顯示，該文件並沒有什麼特別的，知識一個未簽名的64位可執行文件。

當然了，一般新的惡意軟體出現後，殺毒軟體等都不能及時檢測。VirusTotal的59個引擎都把該惡意軟體標記為clean了。

通過對該惡意軟體分析，我們發現他的app版本號為1.1.0，這就說明該惡意軟體發布時間應該不久。

通過分析objective-C的類名和方法可以對惡意軟體的功能有個大致的了解。文中研究人員用了J. Levin"s invaluable jtool攻擊來複制這些信息：

看起來，這個惡意軟體好像是一個dns劫持工具，因為其中一個method是setupDNS，其他的功能有：

截屏

生成模擬滑鼠操作

下載和上傳文件

執行命令等

在應用的主入口(-[AppDelegate applicationDidFinishLaunching:]),我們發現大齡的加密字元串傳遞給了setDefaultConfiguration: method:

使用debugger (lldb)的方法來解密這些數據

上面的都是一些配置數據，最重要的部分就是：

在lldb中，研究人員對setupCert和setupDNS方法設置了斷點：

研究人員推薦的另外一個工具是自己開發的ProcInfo（github地址：https://github.com/objective-see/ProcInfo）

首先該惡意軟體會請求安全工具安裝自己從互聯網下載的新證書(dcdata.bin)。

可以通過Keychain Access應用來查看安裝的證書，它是在系統keychain中作為根CA的（可能是MITM攻擊）

回到procInfor的進程監控：

SystemConfiguration/preferences.plist文件中的內容就是DNS設置！！！

還記得上面解密的配置信息嗎，裡面有兩個IP地址（82.163.143.135，82.163.142.137），這兩個IP地址就被加入到plist文件中了。

同樣可以在UI界面中看到這些變化，系統設置（網路）：

是的，DNS設置被劫持了。

但是該惡意軟體好像並沒有長期駐留的意思，雖然它更改了系統的DNS設定，但是也有自刪除功能。當研究人員控制該惡意軟體來執行修改plist的方法initMaMiSettings時，ProgramArguments key中配置的值非常簡單，該值是告訴系統哪些是要持續執行的：

研究人員認為可能在虛擬機中持續執行的條件沒有達到，研究人員仍在進一步研究中。

與Windows惡意軟體的關係

研究人員發現2015年有一篇文章是關於這兩個IP地址的，題目為「The mystery of 82.163.143.172 and 82.163.142.174」。文章介紹了一款Windows平台上的劫持DNS設置的惡意軟體DNSUnlocker。根據DNS地址和安裝的證書判斷，該惡意軟體與OSX/MaMi應該是相關聯的。

DNS地址：

82.163.143.172

82.163.142.174

證書:

所有惡意軟體安裝的證書都是一樣的。

結論

OSX/MaMi並沒有運用什麼先進的技術，只是以一種簡單、持久的方式改變了系統設置。通過安裝根證書和劫持DNS，攻擊者可以執行中間人攻擊，竊取用戶身份憑證、注入廣告等。

惡意樣本下載地址：

解壓密碼：https://objective-see.com/downloads/malware/MaMi.zip

Q&A：infect3d

Q: 用戶如何知道有沒有感染該惡意軟體？

A: 檢查DNS設置，如果DNS被設置為82.163.143.135和82.163.142.137，說明感染了惡意軟體。通過可以檢查有沒有惡意證書cloudguard.me，如果安裝的話:

Q: 如何自我保護?

A: 一般惡意軟體會安裝其他的惡意軟體，或者允許遠程攻擊者執行一些命令。因此，如果用戶發現感染了該惡意軟體，最好的方式就是重裝系統。如果用戶不願意重裝系統，那麼至少要刪除惡意DNS設置並且移除安裝的惡意證書。

刪除惡意的DNS設置:

打開系統設置，點擊網路—高級—DNS，如果設備感染，就會看到惡意的DNS伺服器地址82.163.143.135和82.163.142.137。選擇每個地址，點擊刪除按鈕。

移除證書:

打開Keychain Access應用，點擊系統，如果系統設置（system），如果設備感染，就會看到惡意的證書(cloudguard.me)，點擊刪除進行移除。

Q: 安全工具可以保護嗎？

A: 是的，但是到目前為止，殺毒軟體等還不能檢測。

喜歡這篇文章嗎？立刻分享出去讓更多人知道吧！