针对中东地区的APT组织WindShift,该组织可利用自定义URL Scheme来远程感染macOS目标(需交互)

释放双眼,带上耳机,听听看~!

昨天推送中出现笔误,攻击目标应该为巴勒斯坦地区,已经删除原推送并进行修改发在今天的第二篇推送中,十分抱歉。

WindShift组织 ,针对中东地区的政府部门和关键基础设施部门的特定工作人员,该组织可利用自定义URL Scheme来远程感染macOS目标(需进行交互)

该组织的详细分析ppt

链接:https://gsec.hitb.org/materials/sg2018/D1%20COMMSEC%20-%20In%20the%20Trails%20of%20WINDSHIFT%20APT%20-%20Taha%20Karim.pdf

 

        该组织攻击目标均位于所谓的海湾合作委员会(GCC)地区,即沙特阿拉伯,科威特,阿联酋,卡塔尔,巴林和阿曼。这些目标被发送包含黑客运行的网站的链接的邮件。一旦目标点击链接,且受害者进行了交互,则会下载被称为 WindTale 和 WindTape 的恶意软件并进行感染。

        其中一些邮件内容如下


攻击流程如下

1、首先,WINDSHIFT APT组织发送钓鱼邮件,使得用户点击邮件中的链接,进入该组织正在控制的网站。

2、一旦目标浏览该组织的恶意网站,就会触发下载操作,下载包含恶意应用的一个压缩包(.zip)。

      此时,如果Mac用户正在使用Safari,那么压缩包就会自动被解压(不要问为什么,也许MacOS觉得那是安全的吧)。

      这意味着恶意应用(而不是一个单纯的压缩zip文件)现在会存在于用户的文件系统上,这样就会自动触发自定义URL Scheme handler的注册过程。

3、现在恶意应用的自定义URL Scheme已成功注册(在目标系统中),恶意网站中的代码就可以加载或者浏览至自定义的url地址,使用JavaScript可以完成,类似如下

window.location.replace(‘windshift://’);

4、此时,macOS在后台会查找处理这个自定义URL Scheme的handler,最终就会找到刚刚下载到目标系统的恶意应用。一旦查找完毕,操作系统将尝试启动恶意应用来处理所请求的URL。

(对Mac用户来说)较新版的Safari中会弹出一个警告信息:

上面的引号中的字符是可控的,完全可以伪装成一个疑似安全的文件。(默认是不允许输入.txt或者.com这类后缀,但由于应用名可以包含unicode字符,因此可以利用homograph这种攻击技巧来输入.txt或者.com)

而老版本的Safari并不会弹出提示框,会尝试运行该恶意程序。

5、紧接着,这里还有一点需要注意,当文件是从互联网下载,用户点击运行后,MacOS会触发文件隔离机制,即弹出下面这个框,但一般只要伪装好一点都会点击。

6、最后,WindTale 和 WindTape 开始窃取文件并截取屏幕截图。

     下图可表明这两个恶意软件的发展历程

       

PPT最后提到了,该组织与很多组织的资产和代码存在关联性,尤其是俄罗斯和印度的组织,但个人认为,毕竟年头已久,抢注伪造的情况都有,现在确认来源还是得靠某些途径啊。

    

中文相关讯息

链接:https://steemit.com/technology/@iyouport/3q8chd-mac

————————————————

涉及的远程感染MacOS的手段如下文:

如何利用自定义URL Scheme远程突破Mac

详细安全客上写的很清楚了。

链接:https://www.anquanke.com/post/id/158679

安全客的文章原文链接:https://objective-see.com/blog/blog_0x38.html

具体攻击步骤流程图如下

安全资源

一、#僵尸网络  僵尸网络类恶意软件源码收集仓库

https://github.com/maestron/botnets

二、#安全会议  HITB GSEC Singapore 2018

https://gsec.hitb.org/materials/sg2018/

本文源自微信公众号:黑鸟

人已赞赏
安全工具

远程桌面服务漏洞分析与检测代码公开,暗网已开始售卖可利用EXP

2019-10-16 10:04:42

安全工具

APT34武器再泄一枚

2019-10-16 10:05:56

0 条回复 A文章作者 M管理员
    暂无讨论,说说你的看法吧
个人中心
购物车
优惠劵
今日签到
有新私信 私信列表
搜索