W skrócie
Informacje wprowadzające
W styczniu tego roku zidentyfikowaliśmy nową rodzinę backdoorów wieloplatformowych stworzonych dla środowisk desktopowych. Po wykryciu binariów dla systemów Linux i Windows w końcu trafiliśmy na wersję Mokes.A, stworzoną dla systemu OS X. Została ona napisana w języku C++ przy użyciu Qt, wieloplatformowej struktury aplikacji, i jest statycznie połączona z OpenSSL. Rozmiar pliku wynosi około 14MB. Przyjrzyjmy się tej świeżej próbce.
„Rozpakowany” Backdoor.OSX.Mokes.a
Jej nazwa pliku została „rozpakowana”, gdy trafiła w nasze ręce, ale zakładamy, że „na wolności” występuje spakowana, podobnie jak jej wariant dla Linuksa.
Uruchomienie
Po tym, jak zostanie uruchomione po raz pierwszy, szkodliwe oprogramowanie kopiuje się do pierwszej dostępnej spośród poniższych lokalizacji, w następującej kolejności:
$HOME/Library/App Store/storeuserd $HOME/Library/com.apple.spotlight/SpotlightHelper $HOME/Library/Dock/com.apple.dock.cache $HOME/Library/Skype/SkypeHelper $HOME/Library/Dropbox/DropboxCache $HOME/Library/Google/Chrome/nacld $HOME/Library/Firefox/Profiles/profiled
Odpowiednio do tej lokalizacji tworzy plik .plist w celu przetrwania w systemie:
Następnie przychodzi pora na nawiązanie pierwszego połączenia z serwerem kontroli (C&C) przy użyciu HTTP na porcie TCP 80:
Ciąg Agent-użytkownik jest zakodowany na sztywno w binarium, a serwer odpowiada na to żądanie „pulsu” poprzez treść „text/html” o długości 208 bajtów. Następnie, binarium nawiązuje zaszyfrowane połączenie na porcie TCP 443 przy użyciu algorytmu AES256CBC.
Funkcjonalność backdoora
Kolejnym zadaniem jest skonfigurowanie funkcji backdoora:
Osoba atakująca, która kontroluje serwer kontroli (C&C), może również zdefiniować własne filtry plików w celu usprawnienia monitorowania systemu plików jak również wykonywania losowych poleceń w systemie.
Podobnie jak w przypadku innych platform, szkodnik ten tworzy kilka plików tymczasowych zawierających zgromadzone dane, w przypadku gdy serwer kontroli (C&C) nie jest dostępny.
DDMMyy = data: 070916 = 20160907
HHmmss = godzina: 154411 = 15:44:11
nnn = milisekundy
Jeśli nie została zdefiniowana zmienna środowiska $TMPDIR, wykorzystywana lokalizacja to “/tmp/” http://doc.qt.io/qt4.8/qdir.html#tempPath
Wskazówki od autora
Autor tego szkodnika po raz kolejny pozostawił kilka odwołań do odpowiednich plików źródłowych:
Wykrywanie
Wykrywamy ten rodzaj szkodliwego oprogramowania jako
HEUR:Backdoor.OSX.Mokes.a
IOC
Hash: 664e0a048f61a76145b55d1f1a57146069 53d69edccec52
28017eb546049dc8c
Pliki: $HOME/LibraryApp Store/storeuserd
$HOME/Library/com.apple.spotlight/SpotlightHelper
$HOME/Library/Dock/com.apple.dock.cache
$HOME/Library/Skype/SkypeHelper
$HOME/Library/Dropbox/DropboxCache
$HOME/Library/Google/Chrome/nacld
$HOME/Library/Firefox/Profiles/profiled
$HOME/Library/LaunchAgents/$filename.plist
$TMPDIR/ss*$date$time$ms.sst
$TMPDIR/aa*$date$time$ms.aat
$TMPDIR/kk*$date$time$ms.kkt
$TMPDIR/dd*$date$time$ms.ddt
Hosty:
158.69.241[.]141
jikenick12and67[.]com
ameforcameand33212[.]com
Użytkownik-agent:
Mozilla/5.0 (Macintosh; Intel Mac OS X 10_9_3)
AppleWebKit/537.75.14 (KHTML, like Gecko)
Version/7.0.3 Safari/7046A194A
Analizy
Blog