本文探索揭示了針對macOS系統(tǒng)的惡意工具EvilOSX的內(nèi)部機(jī)制和流量特征。通過專業(yè)分析其加密通信和木馬活動(dòng)的各個(gè)過程，說明了EvilOSX這類安全威脅的運(yùn)行機(jī)制，旨在幫助組織的網(wǎng)絡(luò)安全專業(yè)人員充分識(shí)別和防范這類高級(jí)威脅。

01工具簡介

EvilOSX是一款開源的，由python編寫專門為macOS系統(tǒng)設(shè)計(jì)的C2工具，該工具可以利用自身釋放的木馬來實(shí)現(xiàn)一系列集成功能，如鍵盤記錄、文件捕獲、瀏覽器歷史記錄爬取、截屏等。EvilOSX主要使用HTTP協(xié)議進(jìn)行通信，通信內(nèi)容為特定格式的數(shù)據(jù)經(jīng)由base64加密后傳輸。為了規(guī)避檢測，EvilOSX的通信響應(yīng)信息均為404 Not Found頁面。

02衍生木馬分析

在/data/builds目錄下會(huì)生成指定腳本類型的文件，其中主要部分是一段base64編碼形式的payload。主要分析生成的python加載器--Launcher-238346.py

a、加載器中攜帶了一段base64加密的python腳本（Connectivity mode.txt），腳本通過python執(zhí)行這段加密數(shù)據(jù)后，又通過rm -rf  __file__來清除當(dāng)前目錄下的所有py腳本

圖片

b、Connectivity mode.txt中定義了請求頭中User-Agent和cookie的形式，其中cookie由兩段關(guān)鍵數(shù)據(jù)組成：由受控端計(jì)算機(jī)用戶名和mac地址組成的16進(jìn)制數(shù)作為session；而后通過“-”連接的一段base64數(shù)據(jù)，解密后是一些服務(wù)端和受控端的信息。并且該腳本還定義了當(dāng)響應(yīng)碼為404時(shí)，使用base64解密響應(yīng)體中DEBUG: base64 =DEBUG--> 其中的base64數(shù)據(jù)。

圖片

c、將受控端與服務(wù)端連接時(shí)的流量捕獲，解密其中的DEBUG數(shù)據(jù)，可以獲取又一段python腳本（CONNECT.py），這段腳本會(huì)在macOS上注冊一個(gè)Launch Agent,并經(jīng)過base64編碼寫入本地。然后這段payload會(huì)在系統(tǒng)啟動(dòng)時(shí)被Launch Agent執(zhí)行。其中payload的路徑默認(rèn)為當(dāng)前用戶主目錄，默認(rèn)命名為arLPrVu，Launch Agent文件默認(rèn)文件名為” com.apple.teuAwWo”

圖片

d、arLPrVu的內(nèi)容為一段openssl aes-256-cbc加密的密文，密鑰就是之前session中攜帶的16進(jìn)制字符串，手動(dòng)運(yùn)行后，木馬會(huì)正式與服務(wù)端進(jìn)行聯(lián)通。

圖片

03流量分析

EvilOSX從植入程序到數(shù)據(jù)交互可以通過如下流程圖來描述：

圖片

以下為過程流量分析和解讀：

連接時(shí)

圖片

客戶端向服務(wù)端發(fā)送get請求后，

請求頭cookie與原始木馬中base64密文解密后的形式一致。

圖片

圖片

服務(wù)端返回404并在http_server_body部分?jǐn)y帶base64數(shù)據(jù)。

圖片

數(shù)據(jù)的開頭結(jié)尾是以DEBUG: base64形式 =DEBUG--> 存在

而404中攜帶的數(shù)據(jù)，解碼后含義是通過get_uid函數(shù)獲取當(dāng)前計(jì)算機(jī)用戶名和唯一標(biāo)識(shí)符拼接后轉(zhuǎn)化為16進(jìn)制數(shù)據(jù)，用于下一段中使用openssl命令對一段加密的代碼進(jìn)行解密，并通過exec()函數(shù)執(zhí)行。

命令執(zhí)行時(shí)

當(dāng)靶機(jī)上的原始木馬文件執(zhí)行后會(huì)在同級(jí)目錄下留下一個(gè)arLPrVu命名的py腳本文件?；剡B服務(wù)器還需要在手動(dòng)執(zhí)行它

測試全部module和部分常見shell命令（ifconfig、ls -l）

會(huì)發(fā)現(xiàn)存在明顯特征，以執(zhí)行CVE-2020-3950模塊時(shí)為例

圖片

圖片

在POST請求體中，username后接著base64數(shù)據(jù)

圖片

解密后，就是使用的模塊名，經(jīng)過測試除了shell命令執(zhí)行和模塊啟用失敗時(shí)，均可在流量中發(fā)現(xiàn)這一特征。并且響應(yīng)碼一定是404。

這一段在木馬中也有體現(xiàn)

圖片

觀成瞰云（ENS）-加密威脅智能檢測系統(tǒng)能夠?qū)vilOSX工具產(chǎn)生的HTTP流量進(jìn)行檢測。

圖片

04  總結(jié)

在利用EvilOSX-C2工具的過程中，會(huì)優(yōu)先上傳其釋放的木馬文件，該文件具有特殊格式，之后通信過程中會(huì)利用404頁面隱藏真實(shí)響應(yīng)，但是基于人工智能、流行為特征和TLS限定域指紋檢測的加密威脅智能檢測系統(tǒng)能夠檢測此類加密通信行為。如今越來越多的攻擊者利用具體加密通信功能C2工具，以增強(qiáng)攻擊的隱蔽性。觀成科技安全研究團(tuán)隊(duì)一直在持續(xù)追蹤這些C2工具的最新動(dòng)態(tài)，并積極進(jìn)行研究和更新，以提高對加密流量的檢測技術(shù)。