以前の 亜種同様、このOSX/Crisis.Cも、パスワード不要でユーザ に気付かれずにインストールを行うドロッパーを使用し、Mac OS X 10.5、 10.6、および10.7で動作します。ただし、Hacking Teamによってドロッパーの コードおよびバックドアの構成ファイル形式はアップデートされています。
ドロッパーは、一般的でない__INITSTUBセグメントを実行します。オリジナルの エントリポイントEIPは、プログラム内のほぼ空である_main関数に到達する前に このコードセグメントを指しています。そのため、デバッガを使っている研究者 が注意していないと、気づかない内に感染する可能性があります。システムシン ボルの解決に異なる方法を用いていますので、OS X Mountain LionあるいはOS X Mavericksをクラッシュさせます(segmentation fault)。これは、マルウェア 内の64-bitバグによるものと思われます。
下図は、ドロッパーの解決されたシンボルハッシュの画面です。IDA:
ドロッパーが正常に実行されると、ユーザのホームディレクトリ(ライブラリ /Preferencesフォルダ内)のOvzD7xFr.appという偽のアプリケーションバンドル 内に次のファイルを隠します:
- 1バックドア: 8oTHYMCj.XIl (32-bit)
- 1構成ファイル: ok20utla.3-B
- 2カーネル拡張: Lft2iRjk.7qa (32-bit) および3ZPYmgGV.TOA (64-bit)
- 1スクリプト追加: EDr5dvW8.p_w (FAT)
- 1XPC service: GARteYof._Fk (FAT)
- 1TIFFイメージ、Linkinus環境設定パネルから取り出したシステム環境設定 アイコン: q45tyh
その後、バックドアを起動し、LaunchAgentファイルcom.apple.mdworker.plistを作成してインストールを終了 します。
前出のOSX/Crisis.B同様に、このバイナリはMPressパッカーを 使って難読化されています。また、現在では64-bit専用となっているAppleのシ ステムプロファイラのプライベートフレームワーク、SPSupportにリンクされて いるためOS X 10.9では動作しません。「Image not found」例外が起きてクラッ シュします。さらに、対応する標的上で、バックドアは自らのファイルをアンイ ンストールしてから終了します。これは破損した構成ファイルに関連していると 考えられます(サンプルでは、NULLバイトから始まっています)。
いくつかの新しい技術を除くと、バックドアコンポーネントが実行する機能は、 以前の亜種と同様です: アクティビティモニタアプリケーションをパッチして自 らを隠し、スクリーンショットを撮影し、オーディオとビデオをキャプチャし、 ユーザの位置情報を取得し、WiFiホットスポットに接続し、収集したデータを指 令管制サーバと同期させ、ソーシャルエンジニア技術を使ってユーザを騙してシ ステム管理者権限を奪取して、ルートキットをインストールします。
この記事執筆時点で、VirusTotalでの総合検出率は低いです。
IntegoのVirusBarrierは、最新のマルウェア定義ファイルでこのマ ルウェアをOSX/Crisis.Cとして検出し、ユーザを守ります。
Posted on January 20th, 2014 by Arnaud Abbati
intego Mac専用 インターネットセキュリティ 2014 最新版
http://www.act2.com/integox8/
0 件のコメント:
コメントを投稿
注: コメントを投稿できるのは、このブログのメンバーだけです。