回顾2020年,我们看到了macOS攻击者的略发生了许多变化。这些措施包括转化为Shell脚本,使用Rust和Go替代编程语言,在Electron在应用程序中打包恶意软件,通过隐写击败Apple公证安全检查。这些技术中的许多已经使用了新的或最近的变化或发展,但我们正在macOS 10.15在更高版本中观察到的一种技术策略采用了相反的 *** Mac OS 9以来一直存在的旧技术是隐藏用户和文件扫描工具上的恶意软件载荷。
在这篇文章中,我们将研究一个看起来像的Bundlore如何在命名资源衍生中隐藏广告软件的新变体的有效载荷。苹果机系统使用一种叫做资源衍生的 *** ”(Resource Fork)文件图标等技术记录相关信息。
恶意软件传播
流行软件可以提供“免费”恶意软件在版本的网站上随意可见。在本文的例子中,我们发现恶意软件被称为“mysoftwarefree”网站传播,保证用户免费提供Office 365副本。
指示用户删除当前安装的任何指示Office,从Microsoft下载合法的免费试用版,从恶意网站上的按钮下载“所需文件”,以获取“完整版Office 365 ProPlus,而无需限制”。
一旦用户上钩,一个叫“dmg”将文件下载到用户的设备上。
命名资源衍生的扩展属性
在磁盘图像的安装中,事情远非恶意软件网站承诺。MS Office副本,但看起来很像典型“ Bundlore / Shlayer”滴管。
像这些磁盘图像一样,图形描述可以帮助用户绕过Gatekeeper和Notarization提供的内置macOS安全检查。在macOS Catalina上,绕过操作不会阻止XProtect在执行时扫描代码,但是XProtect目前还不知道这个特定代码。
如果我们去终端查看磁盘图像上的内容,令人惊讶的是看起来不多。
但请注意,权限列表上的权限列表@是微小的203字节Install.command文件的权限。这意味着文件有一些扩展属性,这使事情变得有趣。
我们可以用xattr -l列出扩展属性似乎有一个com.apple.ResourceFork属性,至少在一开始看起来像一个图标文件,这并不罕见。历史上曾经用这样的资源来存储缩略图等东西。
然而,这种资源有很大的衍生。如果我们向下滚到底部,我们将看到大约14174字节的添加数据。
更有说服力的是,如果我们检查的话Install.command文件本身,我们会看到它很简单shell脚本暴露了资源衍生的真实内容。
从9092偏移量开始,脚本通过密码“oZwb”的funzip为了解密数据,实用程序将衍生数据传输到管道中,并将其放入前缀中“Installer”随机名称Darwin用户TMPDIR中。
本文件原有43b9157a4ad42da1692cfb5b571598fcde775c7d1f9c7d56e6d6c13da5b35537的SHA256的Mach-O。
快速查看VirusTotal可以发现SentinelOne的静态AI (DFI)引擎将其识别为恶意文件,并被一些供应商标记为Bundlore变体。
那么什么是资源衍生,攻击者为什么要用呢?
资源衍生是一种命名衍生,是一种用于存储结构化数据(如图像缩略图、窗口数据甚至代码)的旧文件系统技术。资源衍生不是将信息存储在一系列特定的偏移字节中,而是将数据保留在结构化记录中,类似于数据库。有趣的是,资源衍生的大小限制并不超过文件系统本身的大小,正如我们在本文中看到的,衍生是直接看不见的Finder或终端,除非我们列表文件的扩展属性通过ls -l@或xattr - l。
利用资源来隐藏恶意软件是我们以前从未见过的一项非常新颖的技术,但对它的研究并不是很深入,即参与者使用该技术的目的是什么。虽然压缩二进制文件隐藏在搜索器和终端上,但正如我们所看到的,只要阅读Install.command shell任何人都可以很容易地找到脚本。
然而,许多传统的文件扫描仪并没有使用这种技术。Bundlore变体在磁盘图像容器和应用程序包中使用加密文本文件,但扫描仪可以快速学会找到它们。此类文件泄漏的原因之一是混淆或加密代码(通常是base64)合法软件长度过长是不正常的。
攻击者显然希望通过生中隐藏加密和压缩的文件,攻击者显然希望避免某些类型的扫描引擎。虽然这个例子没有代码签名,但也没有Apple但鉴于最近的公证检查,Bundlore变体使用的隐藏技巧确实绕过了Apple自动检查仍然是一个公开漏洞。
总结
将恶意软件隐藏在文件藏恶意软件只是macOS恶意软件开发人员试图逃避防御工具的最新技能。虽然它不是特别复杂和容易手动发现,但它是逃避动态和静态的AI一些检测引擎不支持的工具确实是一种非常隐蔽的 *** 。
样本哈希
本文翻译自:https://labs.sentinelone.com/resourceful-macos-malware-hides-in-named-fork/