日本综合一区二区|亚洲中文天堂综合|日韩欧美自拍一区|男女精品天堂一区|欧美自拍第6页亚洲成人精品一区|亚洲黄色天堂一区二区成人|超碰91偷拍第一页|日韩av夜夜嗨中文字幕|久久蜜综合视频官网|精美人妻一区二区三区

RELATEED CONSULTING
相關(guān)咨詢
選擇下列產(chǎn)品馬上在線溝通
服務(wù)時(shí)間:8:30-17:00
你可能遇到了下面的問題
關(guān)閉右側(cè)工具欄

新聞中心

這里有您想知道的互聯(lián)網(wǎng)營銷解決方案
mac惡意軟件使用run-only AppleScripts繞過檢測

概述

網(wǎng)站建設(shè)哪家好,找創(chuàng)新互聯(lián)!專注于網(wǎng)頁設(shè)計(jì)、網(wǎng)站建設(shè)、微信開發(fā)、小程序制作、集團(tuán)企業(yè)網(wǎng)站建設(shè)等服務(wù)項(xiàng)目。為回饋新老客戶創(chuàng)新互聯(lián)還提供了弋江免費(fèi)建站歡迎大家使用!

近日,研究人員發(fā)現(xiàn)一起攻擊macOS用戶的加密貨幣挖礦攻擊活動(dòng),其中使用的惡意軟件經(jīng)過復(fù)雜的進(jìn)化給研究人員的分析工作帶來了很大的困難和挑戰(zhàn)。該惡意軟件名為OSAMiner,最早出現(xiàn)于2015年。因?yàn)閜ayload被導(dǎo)出為run-only AppleScript文件了,使得反編譯為源碼非常困難,因此導(dǎo)致整個(gè)分析工作非常難。近期,研究人員發(fā)現(xiàn)的一個(gè)變種將run-only AppleScript文件嵌入到了另一個(gè)腳本中,并使用公網(wǎng)的web頁面URL來下載真實(shí)的門羅幣挖礦機(jī)。

逆向run-only AppleScript

OSAMiner主要通過游戲和軟件的盜版版本進(jìn)行傳播,其中包括英雄聯(lián)盟和office macOS版本。

AppleScript 文件包括源碼和編譯的代碼,但是啟用了"run-only"后就只有編譯后的版本了,不再有人類可讀的源代碼,使得逆向分析幾乎不可能。

Sentinel One安全研究人員在2020年底發(fā)現(xiàn)了一個(gè)新的OSAMiner樣本,雖然分析過程非常艱難。但是研究人員利用AppleScript disassembler(https://github.com/Jinmo/applescript-disassembler)和內(nèi)部開發(fā)的反編譯工具aevt_decompile對其惡意軟件樣本進(jìn)行了逆向分析。

繞過行為

Sentinel One發(fā)現(xiàn),最近的OSAMiner攻擊活動(dòng)中使用了3個(gè)run-only AppleScript文件來在感染的macOS 機(jī)器上部署挖礦活動(dòng)。

· 一個(gè)從木馬化的應(yīng)用執(zhí)行的父腳本;

· 一個(gè)嵌入的腳本;

· 挖礦機(jī)設(shè)置AppleScript

父腳本的主要角色是將嵌入的AppleScript用"do shell script"命令寫入到~/Library/k.plist 中,并執(zhí)行。此外,還會(huì)檢查機(jī)器是否有足夠的空閑空間,如果空閑空間不足就退出。

其他任務(wù)包括收集設(shè)備的序列號、重啟復(fù)雜加載和卸載daemon或代理、kill terminal應(yīng)用。

研究人員分析發(fā)現(xiàn)主腳本還會(huì)設(shè)置駐留代理,從公網(wǎng)頁面URL處下載挖礦機(jī)的第一階段。

研究人員發(fā)現(xiàn)其中一個(gè)頁面還可以訪問(https://www[.]emoneyspace[.]com/wodaywo),惡意軟件會(huì)分析指向一個(gè)PNG圖像的頁面源碼的鏈接。

這是第三個(gè)run-only AppleScript,會(huì)下載到~/Library/11.PNG中。其目的是下載開源的門羅幣XMR-Stak挖礦機(jī),其可以運(yùn)行在Linux、Windows和macOS平臺上。

設(shè)置腳本包括礦池地址、密碼和其他配置信息,但是不含錢包地址。此外,惡意軟件還使用"caffeinate"工具預(yù)防機(jī)器進(jìn)入休眠模式。

繞過檢測

第二個(gè)腳本的作用是預(yù)防分析和繞過檢測。支持kill Activity Monitor (活動(dòng)監(jiān)視器)的結(jié)論,活動(dòng)監(jiān)視器類似Windows中的任務(wù)管理器,kill活動(dòng)監(jiān)視器的目的是預(yù)防用戶檢查系統(tǒng)的資源使用。

此外,腳本會(huì)kill掉系統(tǒng)一個(gè)硬編碼列表上監(jiān)控和清理的主流工具進(jìn)程。

雖然AppleScript腳本融入了許多強(qiáng)大的特征,OSAMiner的作者目前還沒有利用這些特征。這可能就是為什么當(dāng)前設(shè)置可以運(yùn)行加密貨幣挖礦活動(dòng)而沒有被檢測到的原因。

Sentinel One最終證明了該技術(shù)還不夠成熟,研究人員仍然可以對其進(jìn)行分析,并提出對應(yīng)的防護(hù)手段。

完整技術(shù)分析報(bào)告參見:https://labs.sentinelone.com/fade-dead-adventures-in-reversing-malicious-run-only-applescripts/

本文翻譯自:https://www.bleepingcomputer.com/news/security/mac-malware-uses-run-only-applescripts-to-evade-analysis/如若轉(zhuǎn)載,請注明原文地址。


本文標(biāo)題:mac惡意軟件使用run-only AppleScripts繞過檢測
文章鏈接:http://www.dlmjj.cn/article/djcpssc.html