终于现身!安全研究人员为你揭开OSX.Mokes.a后门木马的神秘面纱

阅读量    47731 |   稿费 130

分享到: QQ空间 新浪微博 微信 QQ facebook twitter

t01192ee1c6be332d74.jpg

木马诞生背景

今年1月,我们发现了很多针对Linux、Windows等当下热门操作系统的跨平台恶意木马程式。随后,该恶意木马家族中又加入了一位新成员,即:针对OS X Mokes.A操作系统的后门木马程式。OS X Mokes.A操作系统是用C++语言所编写的,其中用到了Qt应用程序开发框架(Qt:一个由奇趣科技公司开发的跨平台C++图形用户界面应用程序开发框架);同时,它还能够实现与OpenSSL之间的静态链接。OSX.Mokes.a后门木马的大小约为14MB。接下来,我将为读者详细介绍此后门木马的相关情况。


木马情况简介

(1)据我们调查发现,Backdoor.OSX.Mokes.a木马是一个跨平台式恶意木马程序,能够影响Linux、Windows、以及Mac OS X在内的多个当下热门操作系统。此前,我们已经分析了此木马对Linux和Windows系统造成的影响,并在一篇博文中详细介绍了相关情况。读者若想了解相关内容,可自行阅读该篇文章。(文章地址:https://securelist.com/blog/research/73503/from-linux-to-windows-new-family-of-cross-platform-desktop-backdoors-discovered/);

(2)黑客利用这种类型的恶意木马,能够窃取受害用户PC中存储的文件信息,包括:屏幕截图、视频音频文件、办公文档以及用户的按键记录等;

(3)该木马还能在被感染的PC中执行任意的二进制指令;

(4)为了能够实现安全通信,黑客在对数据进行加密时,使用了强有力的AES-256-CBC加密算法。


木马文件名为:“Unpacked

当我们在OSX.Mokes.A系统中找到这一木马文件时,它所标识的文件名为“Unpacked”,与之前在Linux系统中发现的不一样(该木马在Linux中的文件名为:packed)。因此,我们断定,这应该是OS X系统中存在的一种特殊情况。

http://p4.qhimg.com/t01a2c332278772bed4.png

初始设置

当系统第一次执行该木马文件时,木马会自动进行复制粘贴,并按照如下的地址顺序,找到第一个能够获取的地址,之后将文件保存于其中。

http://p2.qhimg.com/t01d890e168bb51a833.png

在找到了相应的物理地址空间后,该木马还会在其中创建一个plist文件,用于标识文件在系统中的存储位置。

http://p3.qhimg.com/t01a166f87828ab0979.png

此后,木马会利用编号为80的网络端口,通过向C&C服务器发送HTTP或TCP请求的方式,建立与C&C服务器之间的连接。

http://p5.qhimg.com/t01a2bb78b94afbbeba.png

系统对用户发送的字符串采用的是硬编码的编译方式。服务器在回应这一名为“heartbeat”请求时,会向客户端发送一个长度为208字节的“text/html”文本。在收到这一文本后,木马会通过TCP 443网络端口,与服务器建立一个加密连接。该加密连接所采用的加密算法正是AES-256-CBC。

http://p8.qhimg.com/t01d7cafdb31dff8cd8.png

木马实现的功能

在完成了以上的初始设置之后,接下来就是设置该木马应实现的功能。

功能名称如下所示:

https://p2.ssl.qhimg.com/t01c88b7dc43fa38cb7.png

(1)窃取音频文件:

https://p4.ssl.qhimg.com/t0197408693ed515dd4.png

(2)监控系统移动存储服务:

http://p9.qhimg.com/t01bebe45e7351cf524.png

(3)截取屏幕显示信息(每30秒进行一次)

http://p8.qhimg.com/t01a9c1237a3b4ef92f.png

(4)扫描文件系统中存储的xls、xlsx、doc、docx等格式的办公文档

https://p5.ssl.qhimg.com/t01116b4619d0c586bc.png

此外,攻击者通过控制C&C服务器,可自行定义系统中的File Fitter文件筛选工具,进而能够加强对于文件系统的监控;同时,也便于在被感染的系统中执行任意的二进制指令。

与在其他操作系统中出现的情况类似,当该木马发现在OSX.Mokes.A系统中,无法建立与C&C服务器的连接时,它便会立即创建如下的一些临时文件,用于保存窃取到的信息。

http://p3.qhimg.com/t019a3c0e0ae33ff7d0.png

如果在文件编译过程中,未定义环境变量$TMPDIR,那么该木马就会采用“/tmp/”变量来标识存储地址。【点我查看


来自木马作者的提示:近期,OSX.Mokes.a后门木马的作者再一次向外界公布了关于此木马的相关源文件,这些文件对于分析该木马,具有一定的参考价值。

http://p9.qhimg.com/t01bf5c5ead8beb8454.png


相关检测信息:我们将该后门木马定义为了:HEUR:Backdoor.OSX.Mokes.a。


相关的事件响应信息(IOCs

(1)Hash参数:

664e0a048f61a76145b55d1f1a5714606953d69edccec5228017eb546049dc8c

(2)文件信息:

http://p2.qhimg.com/t0172771f09fb6b027f.png

(3)主机信息:

http://p2.qhimg.com/t0172f5c375edbb4a35.png

(4)用户代理:

http://p7.qhimg.com/t014335af26be83e3ca.png


分享到: QQ空间 新浪微博 微信 QQ facebook twitter
|推荐阅读
|发表评论
|评论列表
加载更多