自去年年初以来,针对macOS的信息窃取程序不断增加,且目前仍未显示出放缓的迹象。在过去的一年里,研究人员看到了Atomic Stealer、macOS MetaStealer、RealStealer等多个变种。
最近对macOS的XProtect(macOS的内置反恶意软件系统)签名数据库的更新表明,苹果方面已经意识到了这个问题,但在2024年伊始,已经有许多窃取程序家族成功逃避了已知的签名。
在这篇文章中,我们将详细介绍三种活跃的信息窃取程序,它们目前正在逃避许多静态签名检测引擎。文中提供了对每个威胁的高级概述以及相关指标,旨在帮助威胁猎人和防御者更好地应对相关威胁。
自2021年趋势科技首次注意到KeySteal以来,其内部结构已经发生了显著变化。大约一年前(2023年2月),苹果在v2166中为XProtect添加了一个签名,但它已经无法检测到当前的KeySteal版本,其中一些版本以名为“ChatGPT”的二进制形式分发。
【KeySteal最近的一个示例使用了“ChatGPT”这个名称作为其可执行文件】
最初,KeySteal是以 .pkg 格式分发的,带有一个名为“ReSignTool”的嵌入式macOS实用程序。ReSignTool是一个合法的开源应用程序,用于将应用程序签名和捆绑到 .ipa文件中,以便在iOS设备上分发。
恶意软件作者修改了代码来窃取Keychain信息,并在以下位置加载持久性组件:
/Library/LaunchDaemons/com.apple.googlechrome.plist
~/Library/LaunchAgents/com.apple.googleserver.plist
不过,最新一轮的KeySteal样本已经发生了很大的变化。它们不再利用ReSign工具,而是以“UnixProject”和“ChatGPT”等名称出现在多架构Mach-O二进制文件中。目前分发方式尚不清楚。由于未被XProtect检测到,一些最新版本的KeySteal在VirusTotal上的检测分数也很低。
【由于未被XProtect检测到,这些KeySteal样本在VirusTotal上的得分很低】
这些版本都是用Objective C编写的,但是负责恶意行为的主要方法已经从早期版本的JKEncrypt更改为最新版本的UUnixMain、KCenterModity和ICenterModity。
早期和当前的KeySteal迭代之间的一个共同点是硬编码的C2(如下所示),威胁猎人和静态检测可能仍可以此为契机进行检测。
usa[.]4jrb7xn8rxsn8o4lghk7lx6vnvnvazva[.]com
然而,威胁行为者不轮换C2地址是非常不寻常的,我们鼓励防御者开发更好的捕获和检测规则,以便在不可避免的变化之前检测到KeySteal。
研究人员观察到的KeySteal样本是用一个特别的代码签名签署的,其工件表明二进制文件是在Xcode(苹果的开发IDE)中构建的。
【KeySteal样本带有一个特别的代码签名】
2023年5月,SentinelOne的研究人员首次记录了一种新的基于Go的窃取程
序Atomic Stealer。自此之后,该窃取程序也已发生了一些变化。值得注意的是,Atomic Stealer的多种变体都在同时迭代,这表明了完全不同的开发链,而不是一个正在更新的核心版本。
今年1月初,Malwarebytes最新报道称,在苹果XProtect更新v2178(2024年1月)后不久出现了一个混淆的Go版本Atomic Stealer。苹果的更新包含了MalwareBytes描述的版本的检测规则,规则名为SOMA_E。
然而,从那时起,研究人员已经陆续看到了XProtect目前尚未检测到的变化。
在撰写本文时,其中一些样本在VirusTotal上的检测分数也很低。
【由于未被XProtect监测到,最新版本的Atomic Stealer在VirusTotal上得分很低】
这个版本的Atomic Stealer是用c++编写的,并包含了防止受害者、分析人员或恶意软件沙箱与窃取者同时运行终端的逻辑。此外,它还会检查恶意软件是否正在虚拟机中运行。
【Atomic Stealer关闭终端】
与1月初的混淆版本不同,这些样本使用硬编码的清晰文本AppleScript,清楚地表明恶意软件的窃取逻辑。
【Atomic仍然大量使用硬编码的AppleScript】
最初的传播可能是通过Torrent或以游戏为重点的社交媒体平台,因为恶意软件继续以 .dmg 的形式出现,名称如“CrackInstaller”和“Cozy World Launcher”。
【一个Atomic Stealer指示受害者终止Gatekeeper控制】
macOS CherryPie在v2176中被添加到XProtect中。AT&T实验室在2023
年12月将同样的恶意软件描述为“JaskaGo”。
【CherryPie / Gary Stealer 09de6c864737a9999c0e39c1391be81420158877】
虽然苹果的XProtect规则对研究发现的许多新样本仍然有效,但VirusTotal引擎在某些情况下的表现并不理想。
下述样本(首次上传于2023年9月9日)连同其嵌入的恶意软件二进制文件,至今仍未在VirusTotal上检测到。
【VirusTotal引擎并未检测到macOS.CherryPie】
CherryPie是一个跨平台的Windows/macOS窃取程序,用Go语言编写,包含广泛的反分析和虚拟机检测逻辑。尽管如此,恶意软件的作者在恶意软件中嵌入了看似明显的字符串,以表明其目的(窃取程序)和恶意意图。
【CherryPie包含一些相当明显的硬编码字符串】
某些版本的CherryPie使用合法的开源Wails项目将恶意代码打包到应用程序包中。
研究观察到的CherryPie样本是用一个特别签名签名的。作为应用程序设置的一部分,它还使用“master-disable”参数调用macOS spctl实用程序。此代码用于禁用Gatekeeper,并通过sudo以管理员权限运行。
【macOS.CherryPie试图用管理员权限禁用Gatekeeper】
macOS信息窃取程序(如KeySteal、Atomic InfoStealer和CherryPie)的持续流行和适应凸显了macOS企业用户面临的持续挑战。尽管苹果公司努力更新其XProtect特征数据库,但这些快速发展的恶意软件仍在持续逃逸。
鉴于这些挑战,采取全面的纵深防御方法至关重要。仅仅依靠基于签名的检测是不够的,因为威胁行为者有快速适应的手段和动机。除了具有原生macOS功能的现代EDR平台外,主动威胁搜索、增强的检测规则以及对不断发展的策略的认识,都可以帮助安全团队领先于针对macOS平台的威胁。
KeySteal
95d775b68f841f82521d516b67ccd4541b221d17
f75a06398811bfbcb46bad8ab8600f98df4b38d4
usa[.]4jrb7xn8rxsn8o4lghk7lx6vnvnvazva[.]com
Atomic InfoStealer
1b90ea41611cf41dbfb2b2912958ccca13421364
2387336aab3dd21597ad343f7a1dd5aab237f3ae
8119336341be98fd340644e039de1b8e39211254
973cab796a4ebcfb0f6e884025f6e57c1c98b901
b30b01d5743b1b9d96b84ef322469c487c6011c5
df3dec7cddca02e626ab20228f267ff6caf138ae
CherryPie
04cbfa61f2cb8daffd0b2fa58fd980b868f0f951
09de6c864737a9999c0e39c1391be81420158877
6a5b603119bf0679c7ce1007acf7815ff2267c9e
72dfb718d90e8316135912023ab933faf522e78a
85dd9a80feab6f47ebe08cb3725dea7e3727e58f
原文始发于微信公众号(FreeBuf):macOS信息窃取程序面面观:KeySteal、Atomic Stealer、CherryPie及更多
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论