偷偷摘套内射激情视频,久久精品99国产国产精,中文字幕无线乱码人妻,中文在线中文a,性爽19p

如何預(yù)防和監(jiān)測(cè)macOS上的FinFisher間諜軟件

安全
針對(duì)macOS的FinSpy惡意軟件是一種商業(yè)生產(chǎn)和銷(xiāo)售的產(chǎn)物,旨在感染Mac用戶,以進(jìn)行間諜活動(dòng),竊取數(shù)據(jù)和遠(yuǎn)程控制目標(biāo)計(jì)算機(jī)。

[[344867]]

 人權(quán)倡導(dǎo)組織大赦國(guó)際(AmnestyInternational)上周發(fā)布的一份報(bào)告披露了一款名為FinSpy的跨平臺(tái)間諜軟件套件的macOS變體,該軟件由總部位于德國(guó)的機(jī)構(gòu)FinFisher開(kāi)發(fā)并銷(xiāo)售。FinSpy工具在編寫(xiě)時(shí)包含了多種功能,包括鍵盤(pán)記錄程序、音頻錄制、攝像頭、截圖工具、遠(yuǎn)程訪問(wèn)shell、文件枚舉和exfilter函數(shù)。在這篇文章中,研究人員來(lái)看看如何監(jiān)測(cè)macOS變體,并列出一些以前未發(fā)布的攻擊指標(biāo)。

什么是FinFisher間諜軟件?

根據(jù)FinFisher自己的網(wǎng)站和營(yíng)銷(xiāo)資料,該公司生產(chǎn)用于“戰(zhàn)術(shù)情報(bào)收集”、“戰(zhàn)略情報(bào)收集”和“部署方法和開(kāi)發(fā)”的工具。該公司表示,它只與“執(zhí)法和情報(bào)機(jī)構(gòu)”合作,并“在全球范圍內(nèi)開(kāi)展業(yè)務(wù)”。

然而,大赦國(guó)際和其他民權(quán)組織(如公民實(shí)驗(yàn)室)已經(jīng)注意到FinSpy被用于針對(duì)埃及、埃塞俄比亞和阿聯(lián)酋等地攻擊“活動(dòng)家、記者和持不同政見(jiàn)者”的活動(dòng)。除了使用FinFisher產(chǎn)品之外,將這些不同的活動(dòng)聯(lián)系在一起,可知攻擊目標(biāo)經(jīng)常是“人權(quán)維護(hù)者”。

盡管針對(duì)macOS用戶的工具包的惡意軟件已被研究人員發(fā)現(xiàn)了,并且macOS套件的某些組件在Apple桌面平臺(tái)的最新版本中似乎未起作用,但最近的測(cè)試證實(shí)了大赦國(guó)際共享的惡意軟件樣本將仍會(huì)啟動(dòng)并感染macOSCatalina(2019年10月8日,macOSCatalina正式上線)安裝。

FinSpyformacOS如何工作?

大赦國(guó)際在VirusTotal上提供了該樣本的哈希:

  1. 4f3003dd2ed8dcb68133f95c14e28b168bd0f52e5ae9842f528d3f7866495cea 

盡管VT上的某些引擎已將該樣本拉進(jìn)了黑名單,但在編寫(xiě)本文時(shí),大多數(shù)引擎仍未將其識(shí)別為惡意軟件。

由于樣本尚未經(jīng)過(guò)公開(kāi)測(cè)試,因此需要對(duì)用戶進(jìn)行社會(huì)工程設(shè)計(jì),以代替對(duì)macOSCatalina的公眾測(cè)試。

木馬安裝程序的MacOS文件夾包含兩個(gè)可執(zhí)行文件和一個(gè)目錄。

Bash腳本InstallÇağlayan包含在隱藏的.log文件夾中來(lái)執(zhí)行惡意應(yīng)用程序捆綁包的邏輯:

ARA0848.app的Mach-O可執(zhí)行文件包含用于監(jiān)測(cè)虛擬機(jī)環(huán)境中執(zhí)行情況的邏輯,以使用Parallels,VMWare或VirtualBox虛擬化軟件中的任何一個(gè)來(lái)阻止macOS惡意軟件研究人員的分析:

由于在隔離的測(cè)試環(huán)境中逆轉(zhuǎn)macOS惡意軟件始終是明智的選擇,因此研究人員必須對(duì)樣本進(jìn)行一些小的改動(dòng),以逃過(guò)其內(nèi)置的抗分析監(jiān)測(cè)程序。在以上的樣本中,研究人員在此實(shí)驗(yàn)室中使用一個(gè)獨(dú)立的Parallels虛擬機(jī),因此應(yīng)該使用一些簡(jiǎn)單的二進(jìn)制補(bǔ)丁來(lái)處理VM監(jiān)測(cè)。ParallelsDesktop被稱為macOS上最強(qiáng)大的虛擬機(jī)軟件??梢栽贛ac下同時(shí)模擬運(yùn)行Win、Linux、Android等多種操作系統(tǒng)及軟件而不必重啟電腦,并能在不同系統(tǒng)間隨意切換。

首先,將二進(jìn)制文件從DMG中復(fù)制到本地磁盤(pán),然后在vi編輯器中打開(kāi)二進(jìn)制文件:

然后,從vi的命令行調(diào)用xxd實(shí)用程序:

  1. %!xxd 

接下來(lái),研究人員搜索“parallels”樣本。幸運(yùn)的是,有兩個(gè):

現(xiàn)在研究人員編輯每個(gè)字符的第一個(gè)字符,并將其從“parallels”改為“xarallels”,方法是將十六進(jìn)制70(“p”)替換為78(“x”)。然后研究人員使用%!xxd-r將十六進(jìn)制反轉(zhuǎn)回二進(jìn)制格式,并使用wq命令將其保存到vi中。

在macOSCatalina上啟動(dòng)樣本需要重寫(xiě)公證檢查,之后研究人員就可以立即觀察到來(lái)自惡意軟件提升特權(quán)的請(qǐng)求。強(qiáng)制使用后,惡意軟件立即將以下文件寫(xiě)入用戶的 Library cache文件夾中:

除此之外,F(xiàn)inFisher間諜軟件還通過(guò)在/Library/LaunchAgents文件夾中編寫(xiě)一個(gè)名為logind.plist的域級(jí)LaunchAgent來(lái)尋求保持持久性的作用。

程序參數(shù)以/private/etc/logind為目標(biāo),研究人員在其中找到以下setuid,setgid文件:

雖然/etc/logind(或/private/etc/logind)上的路徑是該惡意軟件眾所周知的,在研究人員的測(cè)試中刪除的可執(zhí)行文件在VirusTotal上是未知的,據(jù)研究人員所知,之前沒(méi)有共享:

 

可以看到出現(xiàn)了一個(gè)不同的文件出現(xiàn)了相同的名稱,VT上顯然也沒(méi)有注明其中的原因

  1. /Library/Frameworks/Storage.framework/Contents/MacOS/logind 
  2. 1cf36a2d8a2206cb4758dcdbd0274f21e6f437079ea39772e821a32a76271d4612 

 

FinSpy是一種完全無(wú)法監(jiān)測(cè)的新型惡意軟件嗎?

惡意軟件開(kāi)發(fā)商和經(jīng)銷(xiāo)商總是熱衷于將其產(chǎn)品描繪為“無(wú)法監(jiān)測(cè)”或“完全不可監(jiān)測(cè)”(FUD)來(lái)吸引客戶,因此研究人員確信那些向“執(zhí)法和情報(bào)機(jī)構(gòu)”推銷(xiāo)工具的人也同樣會(huì)這樣宣傳。如果你打算購(gòu)買(mǎi)惡意軟件(尤其是間諜軟件),那么你選擇的第一個(gè)功能就是怎不部被發(fā)現(xiàn)。

盡管廣告做的震天響,但是只有極少數(shù)的惡意軟件真正是“完全不可監(jiān)測(cè)”,因?yàn)樗枰蕴囟ǖ?、可預(yù)測(cè)的方式行動(dòng)以實(shí)現(xiàn)其目標(biāo)(例如,記錄擊鍵、與C2通信等等),在這方面FinSpy也不例外。

實(shí)際上,安全研究人員和靜態(tài)搜索引擎早已經(jīng)注意FinSpy很久了。特別是FinFisher用于持久性代理的用戶路徑:~/Library/LaunchAgents/logind。

該路徑至少在2017年就被發(fā)現(xiàn)了,在最近幾個(gè)月中,可以看到其他攻擊路徑逐步添加到Apple的MRT.app中,在v1.52和v1.64中添加了新的監(jiān)測(cè)路徑:

盡管如此,即使當(dāng)前的MRT.appv1.66仍未在域級(jí)別上搜索LoginAgent。

但是,更重要的是,MRT.app的監(jiān)測(cè)不會(huì)阻止FinSpy對(duì)Mac用戶的攻擊。蘋(píng)果的MRT.app就是一種感染工具,不過(guò)主要是在用戶啟動(dòng)Mac或登錄用戶帳戶時(shí),以及蘋(píng)果在后臺(tái)靜默更新該工具時(shí)才會(huì)運(yùn)行。

為了防止惡意代碼的啟動(dòng)和執(zhí)行,蘋(píng)果使用了許多不同的技術(shù):Gatekeeper,Notarization和XProtect。雖然很有用,但前兩種軟件存在用戶可屏蔽的弱點(diǎn),這意味著惡意軟件可以通過(guò)對(duì)受害者進(jìn)行社會(huì)工程的方式安裝,也可以由臨時(shí)訪問(wèn)受害者計(jì)算機(jī)的惡意用戶安裝。

在macOS10.15Catalina上,XProtect變得更加具有防御性,并且能夠抵抗用戶的繞過(guò),但是XProtect的作用僅限于它所包含的簽名。因?yàn)樵趯?shí)際測(cè)試中,研究人員能夠執(zhí)行FinSpy木馬程序安裝程序及其在macOSCatalina10.15.7安裝中包含的隱藏惡意應(yīng)用程序包,因此研究人員推測(cè)XProtect尚沒(méi)有能力監(jiān)測(cè)最新的FinSpy樣本。

SentinelOne是否可以防御FinSpy/FinFisher惡意軟件?

研究人員對(duì)上述樣本的測(cè)試表明,SentinelOne代理已經(jīng)可以正確地監(jiān)測(cè)和阻止了macOS惡意軟件FinFisher/FinSpy。

研究人員的行為監(jiān)測(cè)表明,F(xiàn)inSpy惡意軟件嘗試逃避監(jiān)測(cè)并進(jìn)行發(fā)起持久性攻擊,SentinelOne的研究人員已經(jīng)分別找到了MITRE ATT&CK TTPs T1211和T1160。

SentinelOne管理控制臺(tái)進(jìn)程樹(shù)精確地映射惡意進(jìn)程的執(zhí)行,正確地判斷那些屬于惡意程序(紅色部分):

總結(jié)

針對(duì)macOS的FinSpy惡意軟件是一種商業(yè)生產(chǎn)和銷(xiāo)售的產(chǎn)物,旨在感染Mac用戶,以進(jìn)行間諜活動(dòng),竊取數(shù)據(jù)和遠(yuǎn)程控制目標(biāo)計(jì)算機(jī)。盡管研究人員無(wú)法確定該間諜軟件是否被全球的執(zhí)法機(jī)構(gòu)或情報(bào)機(jī)構(gòu)“合法”使用,但研究人員仍致力于確保用戶在其端點(diǎn)上受到應(yīng)該有的保護(hù)程序或任何其他未經(jīng)授權(quán)的軟件的完全保護(hù)。

攻擊指標(biāo)

本文翻譯自:https://www.sentinelone.com/blog/how-to-catch-a-spy-detecting-finfisher-spyware-on-macos/如若轉(zhuǎn)載,請(qǐng)注明原文地址:

責(zé)任編輯:姜華 來(lái)源: 嘶吼網(wǎng)
相關(guān)推薦

2009-12-10 10:13:50

2009-12-09 17:49:39

2015-07-10 09:08:44

2012-12-12 09:49:41

2019-07-22 08:05:21

MacOSElasticsear

2019-07-23 09:10:41

MacOSKibana開(kāi)源

2015-10-20 09:12:10

2011-12-01 11:27:59

2023-03-30 19:04:57

2020-11-08 14:31:01

工業(yè)間諜惡意軟件網(wǎng)絡(luò)攻擊

2020-12-01 08:00:00

Linux服務(wù)器系統(tǒng)

2020-08-31 10:54:05

勒索軟件漏洞網(wǎng)絡(luò)安全

2015-06-17 09:54:30

2022-07-28 11:47:22

網(wǎng)絡(luò)安全間諜軟件

2023-05-17 18:36:27

2017-05-10 09:46:27

2021-12-06 05:42:15

間諜軟件網(wǎng)絡(luò)安全網(wǎng)絡(luò)攻擊

2010-09-16 12:34:36

2015-02-06 13:46:06

2010-10-08 15:42:09

點(diǎn)贊
收藏

51CTO技術(shù)棧公眾號(hào)