【技术分享】了解macOS上的恶意木马--OSX/Dok

http://p1.qhimg.com/t014206b3a444d2088d.jpg

作者:凌迟 @ 360 NirvanTeam

投稿方式:发送邮件至linwei#360.cn,或登陆网页版在线投稿

近期,由CheckPoint发现了一款针对macOS意木–OSX/Dok该恶意木主要通过诱使受害者下制性要求,从而取你的管理口令,再通一些手段控受害者的http/https流量,窃取到有价的数据。

 

0x0 感染方式

该木马主要活跃于欧洲,打着税务局账单的旗号发送钓鱼邮件,诱使中招者下载一个名为“Dokument”件,还伪造成了预览子,但是当你打开它后,会示一个提示框提示文件可能坏不能打开,但是你以为这就完了??恰好相反,当你点“OK”候,恰好中招~

http://p5.qhimg.com/t01b55ae2988d2f89c5.png

http://p7.qhimg.com/t01819a523af292be66.png

 

0x1 OSX/Dok

OSX/Dok的主要功能比较明确:

1. 强制性“更新”,要求输入管理员密码

2. 下载berw,tor,socket等工具

3. 使用下载的这些工具,重定向中招者的http/https流量进行监控

 

0x2 详细分析

先本地看看目binary的一些名信息

http://p5.qhimg.com/t01afbf7e543b356134.png

看得出来这签是有些正~~~Apple 在运行程序之前,意程序会被复制到`/Users/Share`

http://p8.qhimg.com/t01e19eda140afa1940.png

当这个恶意程序运行时,会弹出警告框,点击OK之后,等到5s之后就会开始运行,并删除应用程序,然后会出现一个覆盖全屏幕的窗口,提示要更新系统

http://p1.qhimg.com/t01b775485069bbe783.png

http://p5.qhimg.com/t01fe5ce709ca09d014.png

然后弹出一个弹框要求输入密码,等等,你没看错,它的binary名称就叫做“AppStore”,而正常的应该是“App Store”

http://p3.qhimg.com/t019523612415205ff2.png

http://p0.qhimg.com/t01d63abf555b9008e6.png

意程序把自己添加在了`偏好->与群->录项`中,以便于当没安装完成就关机,重启后继续安装

http://p3.qhimg.com/t015a07ce54435ad966.png

但是等程序安装完成后,登录项中的“AppStore”就会被删掉

http://p1.qhimg.com/t0189998d9092829003.png

http://p8.qhimg.com/t018bdf5c87acfc10a7.png

在“更新”的过程中,会弹出几次要求你输入管理员密码,猜想应该是在安装一些命令行工具或者进行一些系统操作时需要管理员身份,但之后为什么不需要了呢?

http://p8.qhimg.com/t0198babb699afc5744.png

我们在`/etc/sudoers`文件中可以看到最底下多了一条`ALL=(ALL) NOPASSWD: ALL`命令,这条命令主要作用就是在之后的操作中免输入密码

http://p3.qhimg.com/t0108aa63ab1d87a32d.png

我们来看看,这些就是攻击者通过brew下载的一些工具

http://p0.qhimg.com/t018c6fbee69850d1bb.png

http://p8.qhimg.com/t01af815e635973b537.png

然后恶意程序会偷偷更改用户的的网络配置

http://p5.qhimg.com/t0162969443940eeb37.png

 

其中的`paoyu7gub72lykuk.onion`一看就是暗网的网址,tor就是暗网搜索引擎

以上命令大概说的就是通过TCP ipv4协议,本地监听5555端口,来自这个端口的请求通过本地的9050端口转到目标`paoyu7gub72lykuk.onion`的80端口(第二个同样的说法)

打开`系统设置->网络->高级`,可以看到自动代理已经被偷偷改了

http://p9.qhimg.com/t014056dfdcc091cb6b.png

攻击者还在用户的Mac中安装了一个证书,用于对用户进行MiTM,拦截用户流量

http://p9.qhimg.com/t0161519efdbb0aca34.png http://p3.qhimg.com/t013f1d74585659a501.png

 

0x3 总结

统计意木占所有件的75%,他大多数都很蔽,有甚至几个月都一声不吭,个也算比特殊,其明眼人看到个更新基本上就知道出问题了,但是不排除有很多Mac不熟悉的人,他是正常的更新,然后勒索件运行完之后又会被除,不容易发现,所以就会中招。 防患于未然,平收到陌生件的候,如果有附件或者接,最好不要打开,把种事情扼摇篮中最好不了,也免去了不少不必要的麻

 

0x4 参考

http://blog.checkpoint.com/2017/04/27/osx-malware-catching-wants-read-https-traffic/

 

(完)