macOS竊密木馬分析,你還敢輕易下載mac破解軟件嗎?-魔扣目錄

0x01 事件簡介

近期,在進行macOS終端威脅狩獵時,發現了一例macOS終端竊密木馬,經過深入分析發現該木馬專門針對macOS,會從受害者的機器上竊取大量敏感信息，包括瀏覽器自動填充、密碼、cookie、錢包信息、鑰匙串密碼、操作系統系統信息、桌面和文檔文件夾中特定格式文件，macOS開機密碼。經過溯源分析，該macOS竊密后門的傳播途徑主要是通過在軟件下載網站發布免費破解軟件、收費軟件激活軟件。例如Axure RP破解軟件，CleanMyMac X破解版。最終引導用戶下載運行惡意竊密后門。

0x02 事件分析

0x021 傳播途徑

https://muzamilpc.com/ 該網站上所有的破解軟件下載均會跳轉到竊密后門下載地址.

下面以Axure RP破解版為例
macOS竊密木馬分析,你還敢輕易下載mac破解軟件嗎?

點擊下載
macOS竊密木馬分析,你還敢輕易下載mac破解軟件嗎?

會跳轉到名稱為SecureMedia For Mac的下載網站
macOS竊密木馬分析,你還敢輕易下載mac破解軟件嗎?

看似是Axure RP破解版的軟件最終下載回來的是macOS竊密木馬AppleApp.dmg
macOS竊密木馬分析,你還敢輕易下載mac破解軟件嗎?

AppleApp.dmg沒有簽名. SHA256:997901477F7DA2060B1A3E087E866B2FE3E766662D208249614B74F74505534A
macOS竊密木馬分析,你還敢輕易下載mac破解軟件嗎?

打開界面

macOS竊密木馬分析,你還敢輕易下載mac破解軟件嗎?

VT檢測情況:2/57
macOS竊密木馬分析,你還敢輕易下載mac破解軟件嗎?

類似的,再舉個CleanMyMac X 免費版的例子
http://cleanmac-app.top/index.html
macOS竊密木馬分析,你還敢輕易下載mac破解軟件嗎?

點擊下載免費版,看似是CleanMyMac X,其實下載回來的還是macOS竊密木馬
macOS竊密木馬分析,你還敢輕易下載mac破解軟件嗎?

打開界面
macOS竊密木馬分析,你還敢輕易下載mac破解軟件嗎?

Setup.dmg同樣沒有簽名,SHA256:64CB30DF490AD9B4988A5A19C0E745CA9D0DFEF39B5522E61E3214AF7BB0815B
macOS竊密木馬分析,你還敢輕易下載mac破解軟件嗎?

其他類似傳播投毒的破解軟件下載站點：

1.https://worldforcrack.com/

2.https://kingsoftz.com/

3.https://muzamilpc.com/

4.http://cleanmac-app.top/

0x022 靜態分析

以AppleApp.dmg為例,進行分析

macho文件拖進ida,進入mAIn函數,設置窗口展示大小及方式,然后創建線程執行"_s3huyyyYbcfU_"函數
macOS竊密木馬分析,你還敢輕易下載mac破解軟件嗎?

跟進"_s3huyyyYbcfU_"函數
macOS竊密木馬分析,你還敢輕易下載mac破解軟件嗎?

繼續跟dotask函數
macOS竊密木馬分析,你還敢輕易下載mac破解軟件嗎?

定向獲取基于Chromium的瀏覽器憑據文件
macOS竊密木馬分析,你還敢輕易下載mac破解軟件嗎?

獲取用戶的Cookies、Login Data、Web Data
macOS竊密木馬分析,你還敢輕易下載mac破解軟件嗎?

獲取加密錢包瀏覽器擴展信息
macOS竊密木馬分析,你還敢輕易下載mac破解軟件嗎?

macOS竊密木馬分析,你還敢輕易下載mac破解軟件嗎?

獲取用戶的Keychain文件，Keychain文件是在蘋果設備上存儲敏感信息的安全容器，它是一種加密的數據庫，用于存儲密碼、證書、私鑰和其他敏感數據。
macOS竊密木馬分析,你還敢輕易下載mac破解軟件嗎?

調用osascript創建dialog框騙取用戶輸入賬號密碼.
macOS竊密木馬分析,你還敢輕易下載mac破解軟件嗎?

同時,調用dscl對用戶傳入的密碼進行本地開機密碼校驗
macOS竊密木馬分析,你還敢輕易下載mac破解軟件嗎?

直到輸入正確密碼為止
macOS竊密木馬分析,你還敢輕易下載mac破解軟件嗎?

獲取操作系統信息，如果發現虛擬機，則退出。
macOS竊密木馬分析,你還敢輕易下載mac破解軟件嗎?

獲取用戶桌面特定格式后綴的文件
macOS竊密木馬分析,你還敢輕易下載mac破解軟件嗎?

獲取firefox瀏覽器中的cookies、歷史登錄記錄、憑據信息
macOS竊密木馬分析,你還敢輕易下載mac破解軟件嗎?

獲取用戶冷錢包相關配置
macOS竊密木馬分析,你還敢輕易下載mac破解軟件嗎?

獲取完敏感信息后，調用ditto壓縮成zip包
macOS竊密木馬分析,你還敢輕易下載mac破解軟件嗎?

調用sendlog函數向c2服務器185.106.93.154的80端口發送前面收集的敏感信息
macOS竊密木馬分析,你還敢輕易下載mac破解軟件嗎?

敏感數據外發完成后就把前面創建的文件夾及壓縮包刪除
macOS竊密木馬分析,你還敢輕易下載mac破解軟件嗎?

0x023 動態調試

在sendlog函數前下個斷點，跟進運行
macOS竊密木馬分析,你還敢輕易下載mac破解軟件嗎?

提示輸入密碼
macOS竊密木馬分析,你還敢輕易下載mac破解軟件嗎?

隨便輸入一個錯誤的密碼會提示輸入了錯誤的密碼
macOS竊密木馬分析,你還敢輕易下載mac破解軟件嗎?

輸入正確密碼后,接著提示TCC權限請求窗口.
macOS竊密木馬分析,你還敢輕易下載mac破解軟件嗎?

下面就是惡意木馬竊取用戶的敏感信息.瀏覽器自動填充密碼,Cookies,抓取的特定格式的文件,login-keychain,用戶輸入的密碼,系統信息.
macOS竊密木馬分析,你還敢輕易下載mac破解軟件嗎?

0x024 行為檢測

簡單列舉幾個基于可疑行為檢測的告警.
1.可疑本地開機密碼爆破行為
macOS竊密木馬分析,你還敢輕易下載mac破解軟件嗎?

2.可疑瀏覽器憑據訪問行為
macOS竊密木馬分析,你還敢輕易下載mac破解軟件嗎?

3.可疑信息收集行為
macOS竊密木馬分析,你還敢輕易下載mac破解軟件嗎?

4.可疑憑據釣取行為
macOS竊密木馬分析,你還敢輕易下載mac破解軟件嗎?

5.可疑壓縮包創建行為
macOS竊密木馬分析,你還敢輕易下載mac破解軟件嗎?

0x03 事件總結

復盤這次macOS竊密木馬事件可以發現這種安全事件的本質還是終端軟件供應鏈管理的問題。如果企業員工能夠在企業內網獲取到所需要的軟件，那么大概率不會再去外面下載安裝第三方不可信源提供的破解軟件，個人覺得可以從事前，事中，事后三個方面進行針對性的解決這種終端軟件供應鏈投毒風險場景.

事前：建立辦公終端安全基線，企業在內網為員工提供可信的正版軟件下載渠道，定期對員工進行安全風險意識培訓，不斷提高辦公終端的基礎防御能力及員工的安全防范意識；

事中：基于ATT&CK框架，通過攻擊模擬，數據分析，策略開發&調優，不斷提高辦公終端的威脅感知能力；

事后：建立應急響應快速止血SOP機制，復盤機制，獎懲通報制度，不斷提高辦公終端風險處置能力；

0x04 附錄-IOC

C2&Malicious Domains

185.106.93.154:80

https://worldforcrack.com/

https://kingsoftz.com/

https://muzamilpc.com/

http://cleanmac-app.top/

SHA256

997901477F7DA2060B1A3E087E866B2FE3E766662D208249614B74F74505534A

64CB30DF490AD9B4988A5A19C0E745CA9D0DFEF39B5522E61E3214AF7BB0815B

日日操夜夜添-日日操影院-日日草夜夜操-日日干干-精品一区二区三区波多野结衣-精品一区二区三区高清免费不卡