研究人員分析了XCSSET惡意軟體攻擊最新macOS 11(Big Sur)系統的特征,之后,XCSSET惡意軟體攻擊活動又向其工具集中增加了一些新的特征,在其最新的攻擊活動中,研究人員發現了XCSSET從不同APP中竊取資訊的機制,
XCSSET惡意軟體如何竊取資訊?
從最初的XCSSET版本開始,研究人員就發現惡意軟體會從不同的APP中收集資料,并發送回其C2服務器,但是研究人員并不知道攻擊者如何使用這些資料,研究人員最近發現了XCSSET用來竊取資料的作業機制,并發現其中含有一些可以用于其他目的的敏感資訊,
以惡意AppleScript檔案“telegram.applescript”為例,該檔案名中可以看出telegram就是目標APP,其主邏輯是壓縮檔案夾“~/Library/Group Containers/6N38VWS5BX.ru.keepcoder.Telegram”到ZIP檔案中,然后上傳該檔案到其C2服務器,
圖 1. telegram.applescript代碼
為找出收集該檔案夾的目的,研究人員使用2個Mac機器來執行簡單的測驗:
?在測驗機器A和機器B上都按照telegram應用
?在機器A上,登入有效的telegram賬戶,在機器B上不做任何操作,
?將機器A的“~/Library/Group Containers/6N38VWS5BX.ru.keepcoder.Telegram”檔案夾復制到機器B,并替換現有檔案夾,
?在機器B上運行telegram,完成后,就登入了與機器A相同的賬戶,
在macOS系統中,應用沙箱目錄/Library/Containers/com.xxx.xxx和/Library/Group Containers/com.xxx.xxx可以被普通用戶以讀或寫權限訪問,這與iOS中的實踐是不同的,此外,并不是所有的可執行檔案都是在macOS沙箱中的,也就是說一個簡單的腳本就可以竊取沙箱目錄中保存的所有資料,因此,研究人員建議應用開發者不要在沙箱目錄中保存敏感資訊,尤其是保存于登錄資訊相關的資訊,
XCSSET竊取的敏感資訊
XCSSET惡意軟體從這些應用中竊取了許多的關鍵隱私資料,其中大多數都保存在沙箱目錄中,下面演示如何在Chrome中竊取敏感資訊:
在Chrome中,竊取的資料包括用戶保存的密碼,XCSSET惡意軟體需要使用命令security find- generic-password -wa ‘Chrome’來獲取safe_storage_key,但是給命令需要root權限,為了獲得該權限,惡意軟體將所有需要root權限的操作都放在一個單獨的函式中,如圖2所示:
圖 2. 需要管理員權限的操作
然后惡意軟體會通過一個偽造的對話框來誘使用戶授予這些權限:
一旦獲得Chrome safe_storage_key,惡意軟體會解密所有的敏感資料并上傳到C2服務器,
圖 3. 竊取的Chrome資訊
圖 4. 竊取Chrome的資訊
研究人員還發現了攻擊以下應用的類似的腳本:
?Contacts
?Evernote
?Notes
?Opera
?Skype
新C2域名
從2021年4月20日到4月22日,研究人員發現了一些新的域名,這些域名都決議到了XCSSET 之前使用過的IP地址94.130.27.189,這些域名包括:
?atecasec.com
?linebrand.xyz
?mantrucks.xyz
?monotal.xyz
?nodeline.xyz
?sidelink.xyz
類似地,域名icloudserv.com會決議到一個非惡意的IP地址94.130.27.189,
這些新的域名都有來自“Let’s Encrypt”的HTTPS證書,有效日期為4月22日到7月21日,
圖 5. C2服務器的HTTPS證書
從2021年4月22日開始,所有的C2域名都決議到了IP地址 194.87.186.66,5月1日,出現了一個新的域名irc-nbg.v001.com被決議到了原來的C2 IP地址94.130.27.189,該新域名表明在該IP地址上有一個IRC服務器,這好像與XCSSET惡意軟體是無關的,
從2021年6月9日到10日,所有與XCSSET C2服務器相關的現有域名都被移除了,取而代之的是如下的新域名:
?atecasec.info
?datasomatic.ru
?icloudserv.ru
?lucidapps.info
?relativedata.ru
?revokecert.ru
?safariperks.ru
6月24日,這些服務器也被攻擊者移除了,目前,研究人員無法定位XCSSET惡意軟體的新服務器,
其他行為變化
Bootstrap.applescript
在bootstrap.applescript中,最大的變化是使用了最新的C2域名:
圖 6. 使用的C2域名
除了現有的域名外,IP地址也是該串列的一部分,雖然域名無法訪問了,但是仍然可以通過IP地址來訪問C2服務器,
圖 7. 使用的模塊
研究人員還發現惡意軟體添加了一個新的模塊“canary”來對Chrome Canary瀏覽器執行XSS注入,canary是Chrome瀏覽器的一個實驗版本,
圖 8. 使用的模塊
與最新的版本相比,screen_sim被移除了,
Replicator.applescript
作為感染本地Xcode專案的第一步,惡意軟體修改了注入的build節點,將build規則的ID從硬編碼的ID變成了隨機生成的ID,但是ID的最后6個字符仍然是硬編碼的AAC43A,在最新的版本中,硬編碼的后綴修改成了6D902C,
圖 9. 修改的后綴
我這整理了網路安全的學習資料!!!
關注私我獲取資料
轉載請註明出處,本文鏈接:https://www.uj5u.com/qita/291789.html
標籤:其他
上一篇:社工基礎2
下一篇:系統安全之SSH入侵的檢測與回應