一個可以在Mac上執行,下載資訊竊取軟體和廣告軟體的Windows應用程式
EXE是用於Windows的官方可執行檔案格式,僅在Windows平臺上執行。預設情況下,試圖在Mac或Linux作業系統上執行EXE檔案都是不可行的。
然而近日,trendmicro在野外發現了一種EXE檔案,其惡意payload能夠繞過Mac的內建保護機制(比如Gatekeeper),原因是Gatekeeper僅檢查本機Mac檔案而不會檢查EXE檔案,因此該EXE檔案能輕易繞過編碼簽名檢查和驗證的步驟。當前並沒有觀察達到具體的攻擊模式,但我們的遙測資料顯示,在英國、澳大利亞、亞美尼亞、盧森堡、南非和美國等國家,感染已經有蔓延開的趨勢。
表現
我們檢查的樣本是Mac和Windows上流行的防火牆應用程式Little Snitch的安裝程式,可以從各種torrent網站上下載。.NET編譯的Windows可執行檔案的名稱如下:
·Paragon_NTFS_for_Mac_OS_Sierra_Fully_Activated.zip
· Wondershare_Filmora_924_Patched_Mac_OSX_X.zip
· LennarDigital_Sylenth1_VSTi_AU_v3_203_MAC_OSX.zip
· Sylenth1_v331_Purple_Skin__Sound_Radix_32Lives_v109.zip
· TORRENTINSTANT.COM+ – + Traktor_Pro_2_for_MAC_v321.zip
· Little_Snitch_583_MAC_OS_X.zip
解壓縮下載的.ZIP檔案時,發現它包含一個託管Little Snitch安裝程式的.DMG檔案。
圖1.從解壓的Windows可執行檔案中發現的檔案示例
圖2.對.DMG樣本分析後,發現其中包含Little Snitch的安裝程式
檢查安裝程式內容後,我們發現該應用程式中捆綁的.EXE檔案存在異常,該檔案後被驗證為負責惡意payload的Windows可執行檔案。
圖3.該Mac應用程式中繫結的可疑的.EXE檔案
當安裝程式執行時,主檔案也會啟動可執行檔案,因為它是由包中包含的mono框架啟用的,該框架允許跨平臺(如OSX)執行Microsoft . net應用程式。
執行後,該惡意軟體會收集下列的系統資訊:
· ModelName
· ModelIdentifier
· ProcessorSpeed
· ProcessorDetails
· NumberofProcessors
· NumberofCores
· Memory
· BootROMVersion
· SMCVersion
· SerialNumber
· UUID
在/Application目錄下,該惡意軟體還掃描所有基礎和已安裝的應用程式,並將所有資訊傳送到C&C伺服器:
· App Store.app
· Automator.app
· Calculator.app
· Calendar.app
· Chess.app
· Contacts.app
· DVD Player.app
· Dashboard.app
· FaceTime.app
· Font Book.app
· Image Capture.app
· iTunes.app
· Launchpad.app
· Mail.app
· Maps.app
· Messages.app
· Mission Control.app
· Notes.app
· Photo Booth.app
· Photos.app
· Preview.app
· QuickTime Player.app
· Reminders.app
· Safari.app
· Siri.app
· Stickies.app
· System Preferences.app
· TextEdit.app
· Time Machine.app
· UtilitiesiBooks.app
接著,它能從網際網路上下載以下檔案並儲存到目錄~/Library/X2441139MAC/Temp/:
· hxxp: / /install.osxappdownload.com/download/mcwnet
· hxxp: / /reiteration-a.akamaihd.net/INSREZBHAZUIKGLAASDZFAHUYDWNBYTRWMFSOGZQNJYCAP/FlashPlayer.dmg
· hxxp:/ /cdn.macapproduct.com/installer/macsearch.dmg
圖4.目錄中的儲存已下載檔案。
這些.DMG檔案會在準備就緒後立即安裝和執行,並在執行期間顯示PUA。
圖5.一個廣告軟體正假裝成一個常見的應用程式進行下載
圖6.執行檔案時顯示的一個PUA
此惡意軟體專門針對Mac使用者,當在Windows中執行時會顯示錯誤警告。
圖7.在Windows中執行此安裝程式時發出的錯誤警告
目前,在其他非windows系統(如MacOS)上執行EXE通常需要在系統中安裝mono框架來編譯或載入可執行檔案和庫。然而,在此類情況下,攻擊者利用了EXE不是MacOS安全功能可識別的二進位制可執行檔案這一特性,將檔案與mono框架繫結,繼而繞過了檢測系統。至於Windows和MacOS之間的本機庫差異,mono框架能支援DLL對映,進而支援從Windows到MacOS的對應關係。
結論
我們推測該惡意軟體可以作為一種逃避技術,繞過一些內建的安全措施,用於其他攻擊或感染,比如繞過數字認證檢查。至少在當前,MacOS安全功能無法識別EXE的這一特性不被更改的情況下,我們認為網路犯罪分子仍在研究這款捆綁在app和torrent網站上的惡意軟體的發展機會,因此我們將繼續調查網路犯罪分子如何使用這些資訊和程式。使用者應避免或避免從未經驗證的來源和網站下載檔案、程式和軟體,並應為其個人和企業系統安裝多層保護機制。