快捷搜索:  创意文化园  tagid=19004  as  tagid=18987  1832  1862  tagid%3D19004  1957

usdt无需实名交易(www.caibao.it):mac 恶意软件使用run-only AppleScripts绕过检测

概述

克日,研究人员发现一起攻击macOS用户的加密钱币挖矿攻击流动,其中使用的恶意软件经由庞大的进化给研究人员的剖析事情带来了很大的难题和挑战。该恶意软件名为OSAMiner,最早泛起于2015年。由于payload被导出为run-only AppleScript文件了,使得反编译为源码异常难题,因此导致整个剖析事情异常难。近期,研究人员发现的一个变种将run-only AppleScript文件嵌入到了另一个剧本中,并使用公网的web页面URL来下载真实的门罗币挖矿机。

逆向run-only AppleScript

OSAMiner主要通过游戏和软件的盗版版本举行流传,其中包罗英雄同盟和office macOS版本。

AppleScript 文件包罗源码和编译的代码,然则启用了"run-only"后就只有编译后的版本了,不再有人类可读的源代码,使得逆向剖析险些不可能。

Sentinel One平安研究人员在2020年底发现了一个新的OSAMiner样本,虽然剖析历程异常艰难。然则研究人员行使AppleScript disassembler(https://github.com/Jinmo/applescript-disassembler)和内部开发的反编译工具aevt_decompile对其恶意软件样本举行了逆向剖析。

绕过行为

Sentinel One发现,最近的OSAMiner攻击流动中使用了3个run-only AppleScript文件来在熏染的macOS 机械上部署挖矿流动。

· 一个从木马化的应用执行的父剧本;

· 一个嵌入的剧本;

· 挖矿机设置AppleScript

父剧本的主要角色是将嵌入的AppleScript用"do shell script"下令写入到~/Library/k.plist 中,并执行。此外,还会检查机械是否有足够的空闲空间,若是空闲空间不足就退出。

,

欧博allbet客户端

欢迎进入欧博allbet客户端(Allbet Game):www.aLLbetgame.us,欧博官网是欧博集团的官方网站。欧博官网开放Allbet注册、Allbe代理、Allbet电脑客户端、Allbet手机版下载等业务。

,

其他义务包罗网络装备的序列号、重启庞大加载和卸载daemon或署理、kill terminal应用。

研究人员剖析发现主剧本还会设置驻留署理,从公网页面URL处下载挖矿机的第一阶段。

研究人员发现其中一个页面还可以接见(https://www[.]emoneyspace[.]com/wodaywo),恶意软件会剖析指向一个PNG图像的页面源码的链接。

这是第三个run-only AppleScript,会下载到~/Library/11.PNG中。其目的是下载开源的门罗币XMR-Stak挖矿机,其可以运行在Linux、Windows和macOS平台上。

设置剧本包罗矿池地址、密码和其他设置信息,然则不含钱包地址。此外,恶意软件还使用"caffeinate"工具预防机械进入休眠模式。

绕过检测

第二个剧本的作用是预防剖析和绕过检测。支持kill Activity Monitor (流动监视器)的结论,流动监视器类似Windows中的义务管理器,kill流动监视器的目的是预防用户检查系统的资源使用。

此外,剧本会kill掉系统一个硬编码列表上监控和清算的主流工具历程。

虽然AppleScript剧本融入了许多壮大的特征,OSAMiner的作者现在还没有行使这些特征。这可能就是为什么当前设置可以运行加密钱币挖矿流动而没有被检测到的缘故原由。

Sentinel One最终证明了该手艺还不够成熟,研究人员仍然可以对其举行剖析,并提出对应的防护手段。

完整手艺剖析讲述参见:https://labs.sentinelone.com/fade-dead-adventures-in-reversing-malicious-run-only-applescripts/


本文翻译自:https://www.bleepingcomputer.com/news/security/mac-malware-uses-run-only-applescripts-to-evade-analysis/
发表评论
sunbet声明:该文看法仅代表作者自己,与本平台无关。请自觉遵守互联网相关的政策法规,严禁发布色情、暴力、反动的言论。
评价:
表情:
用户名: 验证码:点击我更换图片

您可能还会对下面的文章感兴趣: