Mac StealthWare最近已成为MacOS安全领域的一种新的强大威胁。与典型的恶意软件不同，Mac StealthWare 非常复杂，并使用先进的规避技术来避免传统安全措施的检测。

该恶意软件通常通过恶意电子邮件附件、虚假软件更新或受感染的网站进行传播。毫无戒心的用户无意中下载并运行了恶意软件，认为它是合法软件。

我们应该打开我们的档案并开始我们的调查。

• 恶意软件开发 

问题 1：

该恶意软件针对多少个 Web 浏览器进行数据提取？

提示：在有关浏览器的“main”功能中搜索。

如何使用 Ghidra — 一个免费的开源逆向工程工具来解决这个问题。

❖启动 Ghidra：在您的计算机上打开 Ghidra 应用程序。如果 Ghidra 尚未安装，请从官方网站下载。
❖创建一个新项目：命名并找到您的项目，然后单击“确定”以创建它。
❖导入二进制文件：导航到“文件”>“导入文件...”，然后选择您的二进制文件。单击“下一步”而不更改设置。
❖等待分析：Ghidra 将分析文件;进度条将显示分析状态。

我们发现，恶意软件针对数据提取的 Web 浏览器是在二进制代码的“_main”部分中指定的。根据上面提供的图像，我们可以识别以下网络浏览器：Google Chrome，Mozilla Firefox，Brave Browser，Microsoft Edge，Vivaldi，Opera和Opera GX。

答案：7

第2项质询

恶意软件针对多少种不同的加密货币钱包？

提示：在“main”功能中检查恶意软件针对的钱包。

经过调查，我们发现了恶意软件旨在破坏的 Web 浏览器。在“_main”功能中继续向下滚动会显示其他目标，包括恶意软件利用的各种加密货币钱包。

我们已经确定，恶意软件针对数据提取的不同加密货币钱包是在二进制代码的“_main”部分指定的。根据上面提供的图像，我们可以识别以下加密货币钱包：Electrum、Coinomi、Exodus、Atomic 和 Binance。

答案：5

第3项质询

与 Coinomi 相关的用户主目录后面的文件路径的特定部分是什么？

提示：检查“main”函数上的钱包路径。

鉴于我们的分析表明 Coinomi 是恶意软件针对的加密货币钱包之一，识别与用户目录相对应的文件路径的特定部分应该相对简单。

让我们更深入地研究二进制代码的主要功能来研究这个问题。

提供的代码片段说明了恶意软件通过复制和组合字符串来构建文件路径的过程。最初，它会将 local_418 的内容（可能表示用户的主目录路径）复制到 local_1278 中。随后，它将“/Coinomi/wallets/”附加到local_1278，创建与 Coinomi 关联的完整文件路径。

答：币款/钱包/

第4项质询

恶意软件使用的 Telegram 标识符是什么？

提示：在“main”函数中查找电报路径。

短语“Telegram 标识符”可能是指恶意软件用来连接消息传递应用程序 Telegram 的特殊代码或号码。此代码可帮助恶意软件通过 Telegram 与其他计算机或服务器进行通信。它就像一个秘密密码，允许恶意软件发送和接收消息或命令。因此，当有人询问“恶意软件使用的 Telegram 标识符”时，他们询问的是让恶意软件与 Telegram 对话的特定代码。

为了回答这个问题，让我们按照给我们的提示进行操作。

给定的代码摘录演示了向变量 local_1cc8 中包含的字符串添加目录路径的过程。特别是，它通过附加目录路径“/Library/Group Containers/6N38VWS5BX.ru.keepcoder.Telegram/appstore/”来扩展local_1cc8中的字符串。

答案：6N38VWS5BX.ru.keepcoder.Telegram

第5项质询

恶意软件使用什么 IP 地址通过 HTTP 发送数据？

提示：搜索恶意软件用于发送被盗数据的功能。

如何使用 IDA Freeware，一种用于对二进制可执行文件进行逆向工程的反汇编器和调试器软件工具。

❖在 IDA Freeware 中打开恶意软件二进制文件：如果尚未安装 IDA Freeware，请从官方网站下载。启动 IDA 免费软件并通过导航到“打开文件”>打开来打开恶意软件二进制文件。
❖分析二进制文件：让 IDA 分析二进制文件。此过程可能需要一些时间，具体取决于恶意软件的大小和复杂性。

第一步是确定负责发送数据的函数，位于“函数名称”列中。

选择“_send_data_via_http”功能后，右侧将出现一个面板。导航到该面板，单击鼠标右键，然后转到文本视图选项。

这一段代码将 IP 地址“91.103.252.213”加载到内存中，并通过 _inet_addr 函数将其转换为适合网络通信的格式。它表明恶意软件利用 IP 地址“91.103.252.213”通过 HTTP 传输数据。

答案：91.103.252.213

第6项质询

用于抓取铬的函数的偏移量是多少？

提示：使用 IDA 中的函数名称找到已获取 chromium 的函数，然后单击以查看地址。

导航到“_SearchAndGrabChromium”部分，然后选择旁边的功能按钮以显示右侧面板。滚动面板以查找和访问偏移信息。

“_SearchAndGrabChromium”函数的偏移量为 100022DF0，它位于内存地址处，该地址由可执行二进制文件的内存布局确定。它用作二进制文件中 Chromium-grabbing 函数的入口点，反映其在反汇编代码和内存布局中的起始位置。但是，偏移量通常从 0x 开始，因为大多数计算机系统中的内存地址都以十六进制格式表示。

答：0x100022DF0

第7项质询

恶意软件使用的“send_data_via_http”函数的偏移量是多少？

提示：搜索 Send API 并单击外部参照以查看 Send 函数。

让我们重复我们用来定位 Chromium-grabbing 函数的过程。

导航到“Send_data_via_http”部分，然后选择旁边的功能按钮以显示右侧面板。滚动面板以查找和访问偏移信息。

“_send_data_via_http”的偏移量为 100021DF0

答：0x100021DF0

第8项质询

恶意软件使用什么命令来获取有关 MacOS 系统上的硬件组件的信息？

提示：查找名为“userinfo”的函数。

恶意软件以 macOS 硬件信息为目标，以自定其操作、利用弱点或避免检测。这些数据塑造了有效载荷、指令和规避策略，同时还通过唯一标识符帮助身份盗用或规避。

导航到“_userinfo”部分，然后选择旁边的功能按钮以显示右侧面板。滚动面板以查找和访问偏移信息。

此代码旨在从 Mac 计算机秘密收集硬件信息，类似于秘密间谍。最初，它设置为请求有关计算机硬件的详细信息，例如其处理器类型和内存使用情况。然后，它向计算机发送命令，指示它收集此信息。一旦计算机提供了请求的数据，程序就会将其存储在计算机的内存中。最后，它会自行清理，以避免留下任何其存在的痕迹，类似于间谍掩盖其踪迹。

答：system_profiler SPHardwareDataType

_________________________________________________________________

总之，针对 macOS 系统的恶意软件变得越来越复杂，通常旨在窃取敏感信息、利用漏洞或实施各种形式的网络犯罪。这些恶意程序利用社会工程、利用软件漏洞或诱骗用户在不知不觉中安装它们等策略。随着 macOS 的不断普及，它成为攻击者更具吸引力的目标，需要强大的安全措施和用户警惕来降低恶意软件带来的风险。

• windows网络安全防火墙与虚拟网卡（更新完成）

• windows文件过滤(更新完成)

• USB过滤(更新完成)

• 游戏安全(更新中)

• ios逆向

• windbg

• 还有很多免费教程(限学员)

• 

• 更多详细内容添加作者微信

原文始发于微信公众号（安全狗的自我修养）：macOS 恶意软件分析