治疗白癜风医院哪家好 http://news.39.net/bjzkhbzy/180306/6083989.html一个Mac挖矿软件被发现在其例行程序和I2P网络中使用开源组件来隐藏其流量。我们深入研究了这种恶意软件的旧版本,并分析了最新版本。
挖矿软件是攻击者最喜欢应用的恶意软件类型,一旦安装在受害者的设备上,它们几乎不需要维护。攻击者可以让挖矿软件伪装成合法的应用程序,诱骗易受攻击的用户在他们的系统上运行它。在这篇文章中,我们会介绍年1月上旬发现的货币挖矿软件样本的分析结果。该样本使用了几个经过修改的开源组件,攻击者对其进行了修改。该样本还被发现使用i2pd(又名I2P守护程序)来隐藏其网络流量。I2pd是隐形Internet协议或I2P客户端的C++实现。I2P是一个通用匿名网络层,它允许匿名的端到端加密通信,攻击者不会透露他们的真实IP地址。以前,其他Mac恶意软件样本(Eleanor、DOK、Keranger)使用Tor来隐藏其网络活动,因此i2pd的这种用法是最新出现的。
攻击过程
主要恶意软件样本被检测为Coinminer.MacOS.MALXMR.H(SHAdcde6c6a5dcfbc1d6bd86eece66c7c39)。这是一个Mach-O文件,很早就被多家供应商标记,因为它包含与XMRig相关的字符串,这些字符串很容易被Yara等采购工具捕获。XMRig是用于挖掘门罗币加密货币的命令行应用程序,由于其可用性和易用性,通常被其他恶意软件用于执行加密挖掘。
发现主要的Mach-O样本是临时签名的,如下图所示。这意味着Mach-O二进制文件不会轻易在Mac系统上运行,并且可能会被Gatekeeper阻止,这是一个内置的安全机制强制执行代码签名的macOS功能。
Mach-O样本的数字签名,已经过临时签名
我们怀疑Mach-O样本以DMG(一种用于压缩安装程序的Apple图像格式)封装到AdobePhotoshopCCv20.0.6。但是,未成功获取父文件。我们根据下图中的代码片段得出了这个结论,该代码片段可以在其删除的文件中找到。在此代码中,示例尝试启动/Volumes路径中不存在的文件。需要注意的是,对于DMG文件,当在macOS上双击时,它们默认安装在/Volumes目录中。
尝试启动不存在文件的代码片段
安装货币挖矿软件
发现主要的Mach-O样本(检测为Coinminer.MacOS.MALXMR.H)包含几个嵌入式Mach-O文件。执行时,它利用AuthorizationExecuteWithPrivilegesAPI通过提示用户输入凭据来提升权限。
使用AuthorizationExecuteWithPrivilegesAPI通过提示用户输入凭据来提升权限的代码片段
测试期间显示的用户提示
然后,该示例会将以下文件放入系统中:
/tmp/lauth
/usr/local/bin/
