freeBuf
主站

分类

漏洞 工具 极客 Web安全 系统安全 网络安全 无线安全 设备/客户端安全 数据安全 安全管理 企业安全 工控安全

特色

头条 人物志 活动 视频 观点 招聘 报告 资讯 区块链安全 标准与合规 容器安全 公开课
报告 专辑
行业服务
政 府
CNCERT CNNVD
会员体系(甲方) 会员体系(厂商) 产品名录 企业空间
知识大陆

官方公众号企业安全新浪微博

FreeBuf.COM网络安全行业门户,每日发布专业的安全资讯、技术剖析。

FreeBuf+小程序

FreeBuf+小程序

macOS窃密木马分析,你还敢轻易下载mac破解软件吗?
  • 关注
macOS窃密木马分析,你还敢轻易下载mac破解软件吗?
2023-09-23 15:59:17

0x01 事件简介

近期,在进行macOS终端威胁狩猎时,发现了一例macOS终端窃密木马,经过深入分析发现该木马专门针对macOS,会从受害者的机器上窃取大量敏感信息,包括浏览器自动填充、密码、cookie、钱包信息、钥匙串密码、操作系统系统信息、桌面和文档文件夹中特定格式文件,macOS开机密码。经过溯源分析,该macOS窃密后门的传播途径主要是通过在软件下载网站发布免费破解软件、收费软件激活软件。例如Axure RP破解软件,CleanMyMac X破解版。最终引导用户下载运行恶意窃密后门。

0x02 事件分析

0x021 传播途径

https://muzamilpc.com/ 该网站上所有的破解软件下载均会跳转到窃密后门下载地址.

下面以Axure RP破解版为例
image

点击下载
image

会跳转到名称为SecureMedia For Mac的下载网站
image

看似是Axure RP破解版的软件最终下载回来的是macOS窃密木马AppleApp.dmg
image

AppleApp.dmg没有签名. SHA256:997901477F7DA2060B1A3E087E866B2FE3E766662D208249614B74F74505534A
image

打开界面

image

VT检测情况:2/57
image

类似的,再举个CleanMyMac X 免费版的例子
http://cleanmac-app.top/index.html
image

点击下载免费版,看似是CleanMyMac X,其实下载回来的还是macOS窃密木马
image

打开界面
image

Setup.dmg同样没有签名,SHA256:64CB30DF490AD9B4988A5A19C0E745CA9D0DFEF39B5522E61E3214AF7BB0815B
image

其他类似传播投毒的破解软件下载站点:

1.https://worldforcrack.com/

2.https://kingsoftz.com/

3.https://muzamilpc.com/

4.http://cleanmac-app.top/

0x022 静态分析

以AppleApp.dmg为例,进行分析

macho文件拖进ida,进入main函数,设置窗口展示大小及方式,然后创建线程执行"_s3huyyyYbcfU_"函数
image

跟进"_s3huyyyYbcfU_"函数
image

继续跟dotask函数
image

定向获取基于Chromium的浏览器凭据文件
image

获取用户的Cookies、Login Data、Web Data
image

获取加密钱包浏览器扩展信息
image

image

获取用户的Keychain文件,Keychain文件是在苹果设备上存储敏感信息的安全容器,它是一种加密的数据库,用于存储密码、证书、私钥和其他敏感数据。
image

调用osascript创建dialog框骗取用户输入账号密码.
image

同时,调用dscl对用户传入的密码进行本地开机密码校验
image

直到输入正确密码为止
image

获取操作系统信息,如果发现虚拟机,则退出。
image

获取用户桌面特定格式后缀的文件
image

获取firefox浏览器中的cookies、历史登录记录、凭据信息
image

获取用户冷钱包相关配置
image

获取完敏感信息后,调用ditto压缩成zip包
image

调用sendlog函数向c2服务器185.106.93.154的80端口发送前面收集的敏感信息
image

敏感数据外发完成后就把前面创建的文件夹及压缩包删除
image

0x023 动态调试

在sendlog函数前下个断点,跟进运行
image

提示输入密码
image

随便输入一个错误的密码会提示输入了错误的密码
image

输入正确密码后,接着提示TCC权限请求窗口.
image

下面就是恶意木马窃取用户的敏感信息.浏览器自动填充密码,Cookies,抓取的特定格式的文件,login-keychain,用户输入的密码,系统信息.
image

0x024 行为检测

简单列举几个基于可疑行为检测的告警.
1.可疑本地开机密码爆破行为
image

2.可疑浏览器凭据访问行为
image

3.可疑信息收集行为
image

4.可疑凭据钓取行为
image

5.可疑压缩包创建行为
image

0x03 事件总结

复盘这次macOS窃密木马事件可以发现这种安全事件的本质还是终端软件供应链管理的问题。如果企业员工能够在企业内网获取到所需要的软件,那么大概率不会再去外面下载安装第三方不可信源提供的破解软件,个人觉得可以从事前,事中,事后三个方面进行针对性的解决这种终端软件供应链投毒风险场景.

事前:建立办公终端安全基线,企业在内网为员工提供可信的正版软件下载渠道,定期对员工进行安全风险意识培训,不断提高办公终端的基础防御能力及员工的安全防范意识;

事中:基于ATT&CK框架,通过攻击模拟,数据分析,策略开发&调优,不断提高办公终端的威胁感知能力;

事后:建立应急响应快速止血SOP机制,复盘机制,奖惩通报制度,不断提高办公终端风险处置能力;

0x04 附录-IOC

C2&Malicious Domains

185.106.93.154:80

https://worldforcrack.com/

https://kingsoftz.com/

https://muzamilpc.com/

http://cleanmac-app.top/

SHA256

997901477F7DA2060B1A3E087E866B2FE3E766662D208249614B74F74505534A

64CB30DF490AD9B4988A5A19C0E745CA9D0DFEF39B5522E61E3214AF7BB0815B

# 入侵检测 # 企业安全 # macOS恶意软件 # 威胁狩猎 # 投毒
本文为 独立观点,未经允许不得转载,授权请联系FreeBuf客服小蜜蜂,微信:freebee2022
被以下专辑收录,发现更多精彩内容
+ 收入我的专辑
+ 加入我的收藏
相关推荐
  • 0 文章数
  • 0 关注者
文章目录
0x01 事件简介
    0x02 事件分析
    • 0x021 传播途径
    • 0x022 静态分析
    • 0x023 动态调试
    • 0x024 行为检测
    0x03 事件总结
      0x04 附录-IOC
      • C2&Malicious Domains
      • SHA256