Stan zagrożeń w internecie znajduje się obecnie na poziomie standardowym. Nie występują duże epidemie a eksperci z Kaspersky Lab nie zanotowali żadnych poważnych incydentów związanych z bezpieczeństwem. Poziom zagrożenia: 1

Brakujący element – wykryto wyrafinowanego backdoora dla systemu OS X

Stefan Ortloff
Kaspersky Lab Expert
Dodany 8 września 2016, 11:55 CEST
Tagi:

W skrócie

  • Backdoor.OSX.Mokes to niedawno wykryty wariant wieloplatformowego backdoora dla systemu OS X, który potrafi działać na wszystkich głównych systemach operacyjnych  (Windows, Linux, OS X). Dostępna jest również nasza analiza dotycząca wariantów dla systemu Windows i Linux (j. ang.).
  • Opisywana rodzina szkodliwego oprogramowania potrafi kraść różne rodzaje danych z maszyny ofiary (zrzuty ekranu, przechwycone dane audio/wideo, dokumenty biurowe, uderzenia klawiszy)
  • Backdoor potrafi również wykonywać losowe polecenia na komputerze ofiary  
  • W celu komunikacji wykorzystuje mocne szyfrowanie AES­256­CBC

Informacje wprowadzające

W styczniu tego roku zidentyfikowaliśmy nową rodzinę backdoorów wieloplatformowych stworzonych dla środowisk desktopowych. Po wykryciu binariów dla systemów Linux i Windows w końcu trafiliśmy na wersję Mokes.A, stworzoną dla systemu OS X. Została ona napisana w języku C++ przy użyciu Qt, wieloplatformowej struktury aplikacji, i jest statycznie połączona z OpenSSL. Rozmiar pliku wynosi około 14MB. Przyjrzyjmy się tej świeżej próbce.    

„Rozpakowany” Backdoor.OSX.Mokes.a

Jej nazwa pliku została „rozpakowana”, gdy trafiła w nasze ręce, ale zakładamy, że „na wolności” występuje spakowana, podobnie jak jej wariant dla Linuksa.

01.png

Uruchomienie

Po tym, jak zostanie uruchomione po raz pierwszy, szkodliwe oprogramowanie kopiuje się do pierwszej dostępnej spośród poniższych lokalizacji, w następującej kolejności:

$HOME/Library/App Store/storeuserd $HOME/Library/com.apple.spotlight/SpotlightHelper $HOME/Library/Dock/com.apple.dock.cache $HOME/Library/Skype/SkypeHelper $HOME/Library/Dropbox/DropboxCache $HOME/Library/Google/Chrome/nacld $HOME/Library/Firefox/Profiles/profiled

Odpowiednio do tej lokalizacji tworzy plik .plist w celu przetrwania w systemie:

02_auto.png

Następnie przychodzi pora na nawiązanie pierwszego połączenia z serwerem kontroli (C&C) przy użyciu HTTP na porcie TCP 80:

03_auto.png

Ciąg Agent-użytkownik jest zakodowany na sztywno w binarium, a serwer odpowiada na to żądanie „pulsu” poprzez treść „text/html” o długości 208 bajtów. Następnie, binarium nawiązuje zaszyfrowane połączenie na porcie TCP 443 przy użyciu algorytmu AES256­CBC.    

04_auto.png

Funkcjonalność backdoora

Kolejnym zadaniem jest skonfigurowanie funkcji backdoora:

05_auto.png

  • Przechwytywanie danych audio

06_auto.png

  • Monitorowanie nośników wymiennych

07_auto.png

  • Przechwytywanie ekranu (co 30 sek.)

08.png

  • Skanowanie systemu plików w celu znalezienia dokumentów biurowych (xls, xlsx, doc, docx)

09.png

Osoba atakująca, która kontroluje serwer kontroli (C&C), może również zdefiniować własne filtry plików w celu usprawnienia monitorowania systemu plików jak również wykonywania losowych poleceń w systemie.

Podobnie jak w przypadku innych platform, szkodnik ten tworzy kilka plików tymczasowych zawierających zgromadzone dane, w przypadku gdy serwer kontroli (C&C) nie jest dostępny.

  • $TMPDIR/ss0­DDMMyy­HHmmss­nnn.sst (Screenshots)
  • $TMPDIR/aa0­DDMMyy­HHmmss­nnn.aat (Audiocaptures)
  • $TMPDIR/kk0­DDMMyy­HHmmss­nnn.kkt (Keylogs)
  • $TMPDIR/dd0­DDMMyy­HHmmss­nnn.ddt (Arbitrary Data)

DDMMyy = data: 070916 = 2016­09­07 

HHmmss = godzina: 154411 = 15:44:11 

nnn = milisekundy

Jeśli nie została zdefiniowana zmienna środowiska $TMPDIR, wykorzystywana lokalizacja to “/tmp/” http://doc.qt.io/qt4.8/qdir.html#tempPath   

Wskazówki od autora

Autor tego szkodnika po raz kolejny pozostawił kilka odwołań do odpowiednich plików źródłowych:

10.png

Wykrywanie

Wykrywamy ten rodzaj szkodliwego oprogramowania jako

HEUR:Backdoor.OSX.Mokes.a

IOC

Hash:  664e0a048f61a76145b55d1f1a57146069 53d69edccec52

28017eb546049dc8c

Pliki:  $HOME/LibraryApp Store/storeuserd 

$HOME/Library/com.apple.spotlight/SpotlightHelper 

$HOME/Library/Dock/com.apple.dock.cache 

$HOME/Library/Skype/SkypeHelper 

$HOME/Library/Dropbox/DropboxCache 

$HOME/Library/Google/Chrome/nacld 

$HOME/Library/Firefox/Profiles/profiled 

$HOME/Library/LaunchAgents/$filename.plist 

$TMPDIR/ss*­$date­$time­$ms.sst 

$TMPDIR/aa*­$date­$time­$ms.aat 

$TMPDIR/kk*­$date­$time­$ms.kkt 

$TMPDIR/dd*­$date­$time­$ms.ddt

Hosty: 

158.69.241[.]141 

jikenick12and67[.]com

ameforcameand33212[.]com

Użytkownik-agent: 

Mozilla/5.0 (Macintosh; Intel Mac OS X 10_9_3)

AppleWebKit/537.75.14 (KHTML, like Gecko)

Version/7.0.3 Safari/7046A194A