FreeBuf年终策划

由于样式和传播途径多样，Windows系统下的恶意软件通常比较常见。当然，在2016年，Mac系统下的一些新型恶意软件也慢慢开始流行起来，大量苹果电脑系统面临安全威胁。

在此，我就2016年出现的Mac系统恶意软件作一些盘点分析，并对每个恶意软件的功能特点、感染方式、驻留机制及清除方法作出描述说明。

KeRanger 2016.3 野生 络中出现的，第一个针对OS X的全功能恶意勒索软件；

Eleanor 2016.7 基于PHP的后门程序，使用Tor隐藏服务端进行远程控制通信；

Keydnap 2016.7 具备窃取OS X系统用户凭据的标准后门程序，使用Tor隐藏服务端进行远程控制通信；

Fake File Opener 2016.8 具有独特驻留机制的一个相当烦人的广告类恶意软件；

Mokes 2016.9 针对OS X系统的一个非常标准非常完美的后门程序；

Komplex 2016.9 伪装成俄罗斯航天计划，可能由俄罗斯黑客团队 Sofacy Group 或 Fancy Bear 开发，主要针对航天领域用户的一款木马程序。

KeRanger

OSX/KeRanger是第一个针对OS X的全功能恶意勒索软件，由Palo Alto Networks发现。

感染方式

之后，利用入侵权限，把提供下载的Transmission官方程序替换成包含恶意程序OSX/KeRanger的假冒程序。

该假冒程序安装包在Transmission.app/Contents/Resources目录下带有一个名为General.rtf的文件，它看似像正常的RTF文件，实际上却是一个带有UPX 3.91的Mach-O格式可执行文件。

当用户点击受感染的Transmission程序之后，将会调用执行General.rtf文件，恶意程序主要执行体为：

驻留机制

据目前的样本观察来看，OSX/KeRanger不包含任何逻辑性驻留感染代码，只要把恶意程序主体文件kernel_service和其相关进程清除之后，就可以完全避免进一步感染。

感染特征

用户电脑被感染后，KeRanger会通过Tor匿名 络与远程C&2服务器连接，之后开始对系统上某些特定文档和数据进行加密，KeRanger就会要求受害者向一指定的地址支付一个比特币，以赎回文件。

以下是对其勒索代码的逆向分析：

以上代码显示，KeRanger将会加密 /Users/目录和/Volumes/根目录下所有文件，而据PaloAlto分析，这些被加密的文件包括300多种格式类型，如.docs, .jpgs, .zips, .cpp等。

在每个加密目录下，KeRanger会创建一个readme_for_decrypt.txt文档，其中包含用户如何支付比特币的方法：

也有分析人员认为KeRanger是勒索软件linux.encoder的变种，这也从另外一个方面说明现代某些恶意软件的移植相对灵活。

清除方式

停止kernel_service进程

删除 ~/Library/kernel_*目录和相关文件

升级Transmission至2.93版本

目前来说，苹果方面已经吊销了KeRanger的注册证书（ID Z7276PX673）并更新了XProtect特征库，暂时能对Mac用户形成安全防护。

Keydnap

OSX/Keydnap是具备窃取OS X系统用户凭据的标准后门程序，使用Tor隐藏服务端进行远程控制通信，由ESET发现。

感染方式

OSX/Keydnap首先被Eset发现，Eset声称，不清楚OSX/Keydnap以何种方式感染了受害者系统，但很有可能是通过垃圾邮件附件或非受信 站下载等途径。

据分析，Keydnap属下载者类型木马（downloader），由.zip压缩文件方式存在于受害者系统中，.zip压缩文件中包含有可执行的 Mach-O 文件，这些文件看似是.txt或.jpg文件，但其实在这些文件后缀名后被加了个空格隐藏在末尾，这就是木马程序的伪装手段。

由于Mac OS 默认这种文件为终端执行文件，这意味着在双击打开图片或文档的同时，恶意程序的payload同时也在终端环境下被运行。

在传播后期，攻击者同样通过入侵Transmission官 ，利用OSX/KeRanger感染方式，把合法的Transmission程序替换成了Keydnap恶意程序。

这一次，假冒Transmission程序包包含了恶意程序主体执行文件License.rtf，并注册了另一个开发者应用证书： Shaderkin Igor (836QJ8VMCQ)

驻留机制

为了实现长期系统驻留，Keydnap创建了两个系统项：com.apple.iCloud.sync.daemon、com.geticloud.icloud.photo

com.apple.iCloud.sync.daemon负责让系统执行恶意程序的二进制进程icloudsyncd，com.geticloud.icloud.photo负责恶意程序与远程C&2服务器的Tor隐藏服务通信进程icloudproc，而icloudproc则是Tor2Web代理程序的一个复本。

感染特征

另外，Keydnap还包括逻辑提权操作，它将会产生一个要求用户输入用户名密码的窗口，看上去就像OS X系统中某个程序需要系统执行权限一样。

如果受害者被此迷惑并输入用户名密码之后，后门程序将以root权限运行，并且keychain中的密码信息将会被盗取。

Keydnap使用Tor2Web代理程序进行C&2通信，进程icloudproc持续对127.0.0.1:9050地址进行监听， 用Tor隐藏服务利用https与远程C&C服务器进行通信：

清除方式

使用launchctl unload命令暂停恶意程序或Tor进程

删除启动项plist文件/Library/LaunchAgents 或 ~/Library/LaunchAgentscom.apple.iCloud.sync.daemon.plistcom.geticloud.icloud.photo.plist

删除启动项二进制文件：

a) ~/Library/Application Support/com.apple.iCloud.sync.daemon/?

b) ~/Library/Application Support/com.geticloud/

Eleanor

OSX/Eleanor是一个基于php的全功能简单后门程序，由Bitdenfender发现。

感染方式

与其它恶意软件传播方式不同，OSX/Eleanor通过伪装成应用程序EasyDoc Convertor，在很多流行的程序分享和下载 站提供下载，如Mac Update。

驻留机制

com.getdropbox.dropbox.integritycheck.plist → conn

com.getdropbox.dropbox.timegrabber.plist → check_hostname

com.getdropbox.dropbox.usercontent.plist → dbd

其中，启动项com.getdropbox.dropbox.integritycheck.plist负责执行名为conn的二进制程序，该程序为开启隐藏Tor服务；

com.getdropbox.dropbox.timegrabber.plist负责执行名为check_hostname的脚本，该脚本把恶意程序使用的C&C远程Tor地址发布到Pastebin 站保存；com.getdropbox.dropbox.usercontent.plist负责执行PHP主要程序dbd：

感染特征

Eleanor比较独特的功能之一是把受害主机通过Tor进行进程控制管理，conn程序负责与远程C&C服务器进行连接通信，利用进程管理工具TaskExplorer可以观察到其对9060和9061端口的 络监听行为：

Eleanor从以下Tor配置文件~/Library/.dropbox/sync/storage中读取 络监听端口：

另外，启动项执行脚本check_hostname还具备加密恶意软件使用的远程C&C Tor地址，并把其发布到文件分享 站Pastebin，通过这种中转方式，攻击者能与受害主机保持联系：

该PHP shell提供了大部份远程控制管理功能：

可怕的一点是，OSX/Eleanor还具有类似软件Wacaw的视频画面捕捉功能，可以通过简单的命令行实现对受害者系统摄像头的拍照或录像功能。

清除方式

删除OSX/Eleanor的三个自启动项；

删除隐藏文件目录~/Library/.dropbox下的相关恶意文件和假冒EasyDoc Convertor程序。

为了阻止Eleanor的传播感染，苹果方面已经更新了XProtect特征库。

Fake File Opener

OSX/FakeFileOpener是一种广告类恶意软件，由MalwareBytes发现。

感染方式

OSX/FakeFileOpener通过假冒安全 站AdvancedMacCleaner.com弹出的安全警告进行传播感染。

一旦用户点击了“立即安装安全更新”之后就会中招，OSX/FakeFileOpener将会产生一个文档处理程序 Mac File Opener，该程序附带注该册证书，可以绕过Gatekeeper执行。

驻留机制

据恶意软件专家Thomas Reed分析认为，该恶意程序无明显的启动机制，不产生任何启动项或驻留进程，就跟不存在一样。

深入分析之后发现，Fake File Opener把自身注册成了一个可以打开大多数文档的处理程序（Document handler），危险的情况是，如果某个特定文件没有其他的应用程序可以打开，那么Fake File Opener就是其默认打开程序，而这正是该恶意程序需要达到的效果。

由于这种驻留方式需要受害用户打开一个未知类型的文档才能触发，稍微有点不常见或不通用，但这种方法的好处是可以绕过一些安全防护工具，非常独特。

感染特征

OSX/FakeFileOpener是标准的广告类恶意软件，它的目的很简单，就是让感染系统安装更多广告类恶意程序。

具体来说，每当受害系统的File Opener启动打开某些未知类型文档后，OSX/FakeFileOpener将会跳出一个提示弹窗（如下），声明“没有应用程序可以打开该文档”。

而当用户点击“在线查找应用”’Search Web之后，浏览器将会跳转到恶意程序 站www.macfileopener.org，该 站又会继续跳出其它恶意程序安装窗口，如Mac Adware Remover或Mac Space Reviver，进一步迷惑受害用户，达到欺骗安装目的。

清除方式

删除Mac File Opener相关目录文档，重新设置系统文档打开程序。

Mokes

OSX/Mokes是一个具备大多数功能的完美的OS X后门程序，由卡巴斯基发现。

感染方式

目前，其感染方式未知，卡巴斯基也只能作出一些猜测：漏洞利用、不受信 站的程序安装或 工攻击都有可能。

驻留机制

自启动是OS X恶意软件的首选方法，OSX/Mokes也是这样，它在~/Library/LaunchAgents/目录下生成启动项storeuserd.plist，以下分析可以清楚看出其启动方法：

感染特征

除了下载和执行操作之外，OSX/Mokes还具备其它多数功能，据卡巴斯基描述，Mokes可以对受害系统的多种类型文档的窃取，包括音视频文件、办公文件和键盘记录等：

该恶意程序还能监控U盘等其它插入系统的可移动载体，并利用QT编程方法集成了一个针对OS X系统的摄像头录像功能：

清除方式

取消其自启动项：launchctl unload ~/Library/LaunchAgents/storeuserd.plist，并删除其对应程序，如storeuserd

除了名为storeuserd的程序外，Mokes还可能在以下目录生成相关程序，可以对照删除：

~/Library/com.apple.spotlight/SpotlightHelper

~/Library/Dock/com.apple.dock.cache

~/Library/Skype/SkypeHelper

~/Library/Dropbox/DropboxCache

~/Library/Google/Chrome/nacld

~/Library/Firefox/Profiles/profiled

Komplex

俄罗斯 络间谍是2016年的一个热门话题，而OSX/Komplex据说就是俄罗斯相关黑客团体APT 28/Fancy Bear使用的木马植入程序。由Palo Alto Networks发现。

感染方式

OSX/Komplex通过钓鱼邮件传播，其中内置了恶意程序的PDF附件伪装成俄罗斯联邦太空计划文档roskosmos_2015-2025.pdf，当目标用户点开之后就会触发恶意程序：

驻留机制

Komplex在系统内生成自启动项：~/Library/LaunchAgents/com.apple.updates.plist，该启动项对应恶意程序/Users/Shared/.local/kextd，通过该程序体远程下载并执行攻击者有有效载荷。

感染特征

Komplex执行后，会检测受害系统的 络联通性，并判断自身是否处于调试分析状态：

Komplex虽然只具备以下几个简单的木马功能，但足以让攻击者实现远程入侵控制：

下载文件

删除文件

配置后门程序

执行程序

运行后门命令

除了俄罗斯相关的线索外，Palo Alto公司声称Komplex其实早已经被发现。

2015年，BAE systems公司就发布了名为”New Mac OS Malware Exploits Mackeeper“的分析 告， 告指出，某未知恶意程序利用MacKeeper杀毒软件漏洞感染Mac系统，而Palo Alto也发现了大量类似的恶意代码。

清除方式

取消启动项~/Library/LaunchAgents/com.apple.updates.plist

删除其对应程序