导航菜单
首页 >  沐鸣开户测速 >  » 正文

沐鸣开户测速新发现的Mac恶意软件使用“无文件”技术来保持隐秘

沐鸣开户测速

据信为朝鲜政府工作的黑客利用最近发现的Mac木马增强了他们的游戏,这种木马使用内存执行来保持不可见。
 
内存执行(也称为无文件感染)从不向计算机硬盘写入任何内容。相反,它直接将恶意代码加载到内存中并从那里执行。这种技术是一种有效的方法来规避防病毒保护,因为没有文件来分析或标记为可疑。
 
记忆感染曾经是政府资助的攻击者的唯一领域。到2017年,沐鸣开户测速更老练、更有经济动机的黑客采用了这项技术。从那以后,它变得越来越普遍。
 
恶意软件并不是完全没有文件。第一阶段是名为unioncryptotrader.dmg的加密货币文件的应用程序。当它在本周早些时候首次曝光时,57种杀毒产品中只有两种被检测出是可疑的。据VirusTotal称,周五的检测结果仅略有改善,57种产品中有17种的检测结果符合要求。
 
根据企业Mac软件提供商Jamf的Mac安全专家Patrick Wardle的详细分析,一旦执行,该文件将使用安装后的二进制文件,该文件可以执行以下操作:
 
移动隐藏的plist (.vip.unioncrypto)。从应用程序的资源目录到/Library/ launchdaemon
 
将它设置为根用户所有
 
创建一个/图书馆/ UnionCrypto目录
 
将隐藏的二进制文件(.unioncryptoupdater)从应用程序的资源目录移动到/Library/UnionCrypto /
 
设置为可执行
 
执行这个二进制文件(/ Library/UnionCrypto/unioncryptoupdater)
 
结果是一个名为unioncryptoupdate的恶意二进制文件,它以根用户身份运行,具有“持久性”,这意味着在重新启动后它仍然有效,以确保它继续运行。
 
瓦尔德说,安装启动守护程序是一项技术,它的plist和二进制文件隐藏在应用程序的资源目录中。另一个Mac恶意软件AppleJeus也做了同样的事情。
 
另一个与朝鲜参与有关的特征是对加密货币的兴趣。正如美国财政部(us Treasury) 9月份报告的那样,行业组织发现了证据,表明朝鲜黑客从交易所窃取了价值数亿美元的加密货币,目的是为该国的核武器开发计划提供资金。
 
开始记忆感染
 
在感染链的这一点附近,没有文件执行开始。被感染的Mac通过HXXPS: // unioncrypto[开始。VIP/更新联系服务器以检查第二阶段的有效载荷。如果存在恶意软件,则下载并解密恶意软件,并使用macOS编程接口创建目标文件图像。此图像允许恶意负载在内存中运行,而不触及受感染的Mac的硬盘驱动器。
 
Wardle写道:“由于内存中进程映像的布局与磁盘上的映像不同,您不能简单地将文件复制到内存中并直接执行它。”相反,你必须调用NSCreateObjectFileImageFromMemory和NSLinkModule API(它们在内存映射和链接中准备)。
 
Wardle无法获得第二阶段有效载荷的副本,沐鸣开户测速因此其作用尚不清楚。考虑到文件和域名中的加密货币主题,以及朝鲜黑客对盗取数字货币的关注,这是一个不错的选择,随后的感染可以用来访问钱包或类似的资产。
 
本周早些时候,Wardle分析了这个恶意软件,它位于HXXPS: // unioncrypto[。VIP/的控制服务器仍然在线,但是响应为0,表明受感染的机器上没有其他有效负载可用。到周五,该域将不再响应ping。
 
帕特里克·沃德
 
虽然这种无文件感染进一步表明拉撒路在开发秘密恶意软件方面做得越来越好,但沃德尔称其为最近发现的恶意软件,而且applejeus.c仍然很容易被警惕的用户发现。这是因为它没有得到苹果信任的开发者的签名,这个漏洞导致macOS在右侧显示一个警告。
 
与安装应用程序一样,macOS要求用户输入Mac密码。这不是一个可疑事件的自动提示,但它确实防止了第一阶段安装走私或其他秘密手段。
 
该恶意软件不太可能针对加密货币交易所以外的任何人。想要查找(1)/库/启动守护进程/VIP。Unioncrypto。Plist和(2)正在运行的进程或二进制文件/库/unioncrypto/unioncryptoupdater存在。