跨平台后门Mokes现已加入OS X豪华午餐
近期,卡巴斯基实验室的安全研究人员发现了一种恶意软件,这种恶意软件可以在目前主流的几款操作系统平台上运行,包括Windows、Linux和Mac OSX。
根据报道,安全研究专家在今年一月份发现了一款针对计算机操作系统的跨平台木马后门。当时,安全研究人员仅在Linux和Windows这两大操作系统中发现了该后门的代码。
而现在,研究人员又在OSX系统中检测到了这一后门变种(Mokes.A)。据分析,这一后门采用了C++编程语言进行开发,并且还使用到了Qt框架(一款跨平台应用程序框架)。
跨平台的恶意软件正在兴起
在此之前,攻击者只会将他们的注意力放在Windows操作系统上,他们更愿意花时间去开发针对Windows平台的恶意软件。但是现在,网络攻击者们似乎已经开始开发跨平台的恶意软件了,而且这个趋势的增长势头有点猛。
由于近些年Mac OS X和其他类型的桌面操作系统不断兴起,攻击者也毫无疑问地会跟上这个发展潮流,所以跨平台恶意软件的出现也并没有出乎我们的意料。
跨平台的恶意软件需要通过特殊的有效载荷(payload)和功能组件来进行加载,而这些特殊的payload和组件正是它们能够跨平台运行的基本条件。
针对Mac OS X的Mokes后门
在今年一月份,卡巴斯基实验室的安全研究人员Stefan Ortloff首次在Linux和Windows这两个操作系统中发现了这种跨平台的后门,并将该后门取名为“Mokes”。而在不久之前,安全研究人员又在MacOS X系统中发现了这一木马家族的变种,即Mokes.a。
与Windows和Linux平台上的Mokes后门类似,针对OSX的后门(Backdoor.OSX.Mokes.a)能够利用受感染设备的摄像头和麦克风来记录视频和音频数据,并获取到设备的键盘记录,而且它每隔三十秒就会在目标设备上截一次图。
除此之外,这一后门还可以监控类似U盘这样的移动存储设备。当受感染设备上插入了一个U盘之后,该后门便会立刻获取U盘中的数据。值得注意的是,它还可以扫描目标设备文件系统中的Office文档,例如.docx、.doc、.xlsx、以及.xls文件。
Mokes.a的功能远不止获取文件和数据这么简单。它还可以通过远程C&C服务器来获取攻击者的操作指令,并且在目标用户的计算机中执行这些命令。
该后门在与C&C服务器通信时,会建立一个经过AES-256加密的安全通信链接,而这一加密算法被认为是目前一种非常安全的加密算法。
Ortloff在对Mokes.a样本进行分析时发现,当该后门被执行之后,它可以进行自我复制,并将自己复制到文件系统中各个不同的地方,例如Skype、Dropbox、Google、以及Firefox等程序的Cache文件中。
深入分析Backdoor.OSX.Mokes.a
当我们拿到该后门的检测样本时,其文件名为“unpacked”。
运行
当我们首次运行Mokes.a时,这款恶意软件会按照下列目录顺序依次将自己拷贝到这些目录中:
$HOME/Library/AppStore/storeuserd
自我复制完成之后,它会在这些目录下分别创建一个plist文件,并以此来实现其在目标系统中的持久化:
一切设置妥当后,它便会使用TCP协议和80端口来与远程C&C服务器建立首次通信链接(HTTP):
User-Agent中的内容已经提前硬编码至后门代码中了,服务器会以长度为208字节的“text/html”内容来响应后门的网络请求。接下来,恶意代码会通过TCP的443端口来与服务器建立加密链接,加密过程使用的是AES-256-CBC加密算法。
Mokes.a的功能
上述操作完成之后,该后门便会开始配置其功能:
1.记录音频数据:
2.监控移动存储设备:
3.截取屏幕图片:
4.扫描文件系统中的Office文档(xls、xlsx、doc、docx):
除此之外,攻击者还可以通过C&C服务器来对后门的文件过滤器进行自定义配置,这样不仅能够增强其对目标文件系统的监控能力,而且还可以更方便地在目标系统中执行任意代码。
该恶意软件会在目标系统中创建以下几个临时文件,如果C&C服务器无法响应的话,它就可以将收集到的用户数据暂时保存到这些文件中。
$TMPDIR/ss0-DDMMyy-HHmmss-nnn.sst(屏幕截图)
如果目标系统中没有定义环境变量$TMPDIR的话,该恶意软件会默认使用“/tmp/”来作为临时文件目录。
该恶意软件的作者还留下了一些极具参考价值的信息,相应的源文件如下图所示:
入侵威胁指标(IOC)
后门名称:
Backdoor.OSX.Mokes.a
后门hash:
664e0a048f61a76145b55d1f1a5714606953d69edccec5228017eb546049dc8c
感染文件:
$HOME/LibraryAppStore/storeuserd
远程主机:
158.69.241[.]141
User-Agent:
Mozilla/5.0(Macintosh; Intel Mac OS X 10_9_3) AppleWebKit/537.75.14 (KHTML, like Gecko)Version/7.0.3 Safari/7046A194A
总结
目前,安全研究人员还没有找到Mokes后门家族背后的始作俑者到底是谁。但无论是独立的黑客组织也好,由国家资助的黑客组织也罢,就目前可获取到的信息来看,这款后门绝对是一种非常复杂的恶意软件。
* 参考来源:thehackernews,securelist,本文由Alpha_h4ck编译,未经许可禁止转载
- 剑指OFFER之顺时针打印矩阵(九度OJ1391)
- 用Qt写软件系列五:一个安全防护软件的制作(2)
- 2018年值得关注的200场机器学习会议
- Linux开机启动(bootstrap)
- 剑指OFFER之树的子结构(九度OJ1520)
- 万物智联慧结成网:信息技术驱动物流产业转型升级
- 用Qt写软件系列五:一个安全防护软件的制作(1)
- Linux文件管理
- 为什么区块链会成为消除数字化营销障碍的解决方案
- TinyOS和Deluge的安装模拟(二)
- Kubernetes的服务网格(第4部分):通过流量切换持续部署
- QTableView表格视图的列宽设置
- OpenProcess打开进程返回错误的问题
- Python标准库01 正则表达式 (re包)
- JavaScript 教程
- JavaScript 编辑工具
- JavaScript 与HTML
- JavaScript 与Java
- JavaScript 数据结构
- JavaScript 基本数据类型
- JavaScript 特殊数据类型
- JavaScript 运算符
- JavaScript typeof 运算符
- JavaScript 表达式
- JavaScript 类型转换
- JavaScript 基本语法
- JavaScript 注释
- Javascript 基本处理流程
- Javascript 选择结构
- Javascript if 语句
- Javascript if 语句的嵌套
- Javascript switch 语句
- Javascript 循环结构
- Javascript 循环结构实例
- Javascript 跳转语句
- Javascript 控制语句总结
- Javascript 函数介绍
- Javascript 函数的定义
- Javascript 函数调用
- Javascript 几种特殊的函数
- JavaScript 内置函数简介
- Javascript eval() 函数
- Javascript isFinite() 函数
- Javascript isNaN() 函数
- parseInt() 与 parseFloat()
- escape() 与 unescape()
- Javascript 字符串介绍
- Javascript length属性
- javascript 字符串函数
- Javascript 日期对象简介
- Javascript 日期对象用途
- Date 对象属性和方法
- Javascript 数组是什么
- Javascript 创建数组
- Javascript 数组赋值与取值
- Javascript 数组属性和方法
- SpringCloud2020 学习笔记(三) cloud-api-commons通用模块搭建
- SpringCloud2020 学习笔记(四) cloud-provider-payment8001支付模块
- SpringCloud2020 学习笔记(五)cloud-consumer-order80 消费者订单模块
- SpringCloud2020 学习笔记(六)如何开启idea中的Run DashBoard or Services
- SpringCloud2020 学习笔记(七)cloud-eureka-server7001 EurekaServer服务端安装
- SpringCloud2020 学习笔记(八)cloud-provider-payment8001支付模块入驻eurekaServer注册中心
- SpringCloud2020 学习笔记(九)cloud-consumer-order80 消费者订单模块入驻eurekaServer注册中心
- SpringCloud2020 学习笔记(十)cloud-eureka-server7001 cloud-eureka-server7002 Eureka集群安装
- Python爬虫之抓取某东苹果手机评价
- python学习笔记
- 必看!!!python列表( 增 删 改 查),超详细讲解!!
- Python识别验证码
- 多线程爪巴虫下载进击的巨人
- 利用selenium实现自动翻页爬取某鱼数据
- 20行Python代码爬取下载应用宝所有APP软件