APT组织海莲花的MacOS后门更新:MacOS信息收集攻略

释放双眼,带上耳机,听听看~!

本文详细介绍了趋势科技分析的以前的macOS 版本所发生的变化,并描述了在分析此变体的代码时,如何使用IDA Hex-Rays API自动执行字符串解密。

样本信息:

MacOS后门文件名为flashlightd

MD5:06334cb14c1512bf2794af8dae5ab357

反调试和反沙箱


与其他OceanLotus macOS一样,该样本使用UPX加壳,但大多数加壳程序识别工具都不会识别它,可能是因为它们主要包含依赖于“UPX”字符串存在的签名,而且, Mach-O特征不太常见,不经常更新。因此这种特殊的特性使静态检测更加困难。

解压缩后,一个有趣的事情是入口点位于.TEXT段的__cfstring部分的开头。此部分具有图1中所示的标志属性。

图1 – MACH-O __cfstring部分属性

如图2所示,代码位于__cfstring部分的事实欺骗了一些反汇编工具以将代码显示为字符串。

图2 – 后门代码由IDA定义为数据

运行时,二进制文件首先创建一个线程作为反调试watchdog,其唯一目的是不断检查是否存在调试器。为了做到这一点,这个线程会这么做:

  • 尝试通过使用PT_DENY_ATTACH作为请求参数调用ptrace来分离任何调试器

  • 通过调用task_get_exception_ports函数检查是否打开了某些异常端口

  • 通过验证是否在当前进程中设置了P_TRACED标志来检查是否附加了调试器,如图3所示

图3 – 检查调试器是否通过sysctl函数连接

如果监视程序检测到存在调试器,则调用exit函数。

此外,样本会通过发出以下两个命令来检查其环境:

ioreg -l | grep -e“Manufacturer”和sysctl hw.model
并根据已知虚拟化系统字符串的硬编码列表检查返回值:oracle,vmware,virtualbox或parallels。

最后,命令:
system_profiler SPHardwareDataType 2>/dev/null | awk ‘/Boot ROM Version/ {split($0, line, “:”);printf(“%s”, line[2]);}


检查机器是否为以下之一:

“MBP”,“MBA” ,“MB”,“MM”,“IM”,“MP”和“XS”。

这些代码代表系统的模型。例如,“MBP”代表MacBook Pro,“MBA”代表MacBook Air等等。

主要更新


尽管自趋势科技文章以来后门命令没有改变,但还是有一些其他修改。

用于此样本的C&C服务器是最新的,因为它们的创建日期是2018-10-22。

  • daff.faybilodeau.com

  • sarc.onteagleroad.com

  • au.charlineopkesston.com

使用的URL资源已更改为/dp/B074WC4NHW/ref=gbps_img_m-9_62c3_750e6b35

发送到C&C服务器的第一个数据包包含有关主机的更多信息。包括下表中的命令收集的所有数据。

命令

system_profiler SPHardwareDataType 2>/dev/null | awk ‘/Processor / {split($0,line,”:”); printf(“%s”,line[2]);}’

machdep.cpu.brand_string

system_profiler SPHardwareDataType 2>/dev/null | awk ‘/Memory/ {split($0,line, “:”); printf(“%s”, line[2]);}’

ifconfig -l

ioreg -rd1 -c IOPlatformExpertDevice | awk ‘/IOPlatformSerialNumber/ { split($0, line, “\””); printf(“%s”, line[4]); }’

除了此配置更改之外,此示例不使用libcurl库进行网络渗透。相反,它使用外部库。

为了找到它,后门尝试使用AES-256-CBC解密当前目录中的每个文件,其中key为gFjMXBgyXWULmVVVzyxy,用零填充。

每个文件都被“解密”并保存为/tmp/store,并尝试将其作为使用dlopen函数创建的库加载。

当解密尝试导致成功调用dlopen时,后门会检索导出的函数Boriry和ChadylonV ,这似乎是负责与服务器的网络通信的函数。

由于没有来自原始样本位置的dropper或其他文件,因此无法分析此库。

此外,由于组件已加密,因此基于这些字符串的YARA规则与磁盘上找到的文件不匹配。

而海莲花的macOS后门都会创建一个clientID。此标识符是以下命令之一,执行之后的返回值,再计算MD5哈希值后的值:

在进行哈希处理之前,会将字符“0”或“1”附加到表示根权限的返回值。

如果代码以root身份运行,或者在

~/Library/SmartCardsServices/Technology/PlugIns/drivers/snippets.ecgML 中,此clientID存储在

~/Library/SmartCardsServices/Technology/PlugIns/drivers/snippets.ecgML 

否则,此文件通常通过_ chflags函数隐藏,其时间戳使用带有随机值的“ touch -t ”命令进行修改。

字符串解密


与以前的变体一样,字符串使用AES-256-CBC

(十六进制编码密钥:

9D7274AD7BCEF0DED29BDBB428C251DF8B350B92,用零填充,IV用零填充)加密,使用CCCrypt 功能。

密钥已从以前的版本更改,但由于海莲花仍使用相同的算法来加密字符串,因此可以自动解密。

与本文一起,发布了一个利用Hex-Rays API来解密二进制文件中存在的字符串的IDA脚本。

该脚本可能有助于将来对OceanLotus的分析以及我们尚未获得的现有样本的分析。

这个脚本的核心是一个通用的方法来获取传递给函数的参数。

此外,它会查找参数分配以查找其值。可以重用此方法来检索函数的参数列表,然后将它们传递给回调。

知道了解密函数的原型,脚本首先找到对该函数的所有交叉引用,找到所有参数,解密数据并将明文放在交叉引用地址的注释中。

为了使脚本正常工作,必须在脚本中设置base64解码函数使用的自定义字母,并且必须定义包含键长度的全局变量(在本例中为DWORD;请参见图4)。

图4 – 定义全局变量key_len

在“ 函数”窗口中,可以右键单击解密函数,然后单击“提取和解密参数”。脚本应该将解密的字符串放在注释中,如图5所示。

图5 – 将解密的文本放入注释中

这可以方便地将IDA的外部参照中的解密字符串列在该函数的窗口中,如图6所示。

图6 – 外部参照到的f_decrypt 功能

脚本已上传至github,可以用用看。

https://github.com/blackorbird/APT_REPORT/blob/master/Oceanlotus/OL_OSX_decryptor.py



结论


正如我们在另一篇文章中最近记录的那样,OceanLotus不断改进和更新其工具集,并再次改进了针对Mac用户的工具。

代码没有那么大改变,但由于许多Mac用户没有在他们的机器上运行安全软件,因此逃避检测的需求并不那么重要。

由于用于C&C通信的网络库现在已在磁盘上加密,因此该后门使用的真正网络协议仍然未知。

IOC

MD5:06334cb14c1512bf2794af8dae5ab357

文件路径:

1、~/Library/SmartCardsServices/Technology/PlugIns/drivers/snippets.ecgML 

2、/Library/Storage/File System/HFS/25cf5d02-e50b-4288-870a-528d56c3cf6e/pivtoken.appex 

3、/tmp/store 

域名

daff.faybilodeau.com

sarc.onteagleroad.com

au.charlineopkesston.com

URI

/dp/B074WC4NHW/ref=gbps_img_m-9_62c3_750e6b35

报告链接:

https://www.welivesecurity.com/2019/04/09/oceanlotus-macos-malware-update/

趋势对海莲花mac后门的分析:

https://blog.trendmicro.com/trendlabs-security-intelligence/new-macos-backdoor-linked-to-oceanlotus-found/


近期两篇海莲花报告,点击图片跳转

欢迎持续关注,知识星球用户请暂时先上Github获取资讯

感谢您的点赞,转发和关注,您的支持是我更新的动力

本文源自微信公众号:黑鸟

人已赞赏
安全工具

IBM以340亿美元正式收购Red Hat;流行Ruby库被曝存在恶意后门

2019-10-16 10:38:36

安全工具

为图吐钱更快?ATM自动化盗钱木马WinPot展示

2019-10-16 10:38:41

0 条回复 A文章作者 M管理员
    暂无讨论,说说你的看法吧
个人中心
购物车
优惠劵
今日签到
有新私信 私信列表
搜索