2019年3月、人気のあるオンラインスキャンサービスであるVirusTotalが、OceanLotusサイバーグループのmacOS用の新しいマルウェアサンプルをアップロードしました。 バックドア実行可能ファイルは、macOSで調査した以前のバージョンのmalvariと同じ機能を備えていますが、その構造が変更され、検出がより困難になりました。 残念ながら、このサンプルに関連付けられたドロッパーが見つからなかったため、感染ベクトルはまだわかりません。
最近、
OceanLotusと、オペレーターが永続性を維持し、コード実行を高速化し、Windowsシステムでの存在の痕跡を最小限に抑える方法
についての
投稿を公開しました。 このサイバーグループにはmacOSのコンポーネントがあることも知られています。 この投稿では、以前のバージョン(
Trend Microによる説明 )と比較したmacOS用Malwareの最新バージョンの変更点と、分析がIDA Hex-Rays APIを使用して文字列復号化を自動化する方法について詳しく説明します。
分析
次の3つの部分では、SHA-1
E615632C9998E4D3E5ACD8851864ED09B02C77D2したサンプル分析について説明します。 このファイルは
flashlightdと呼ばれ、ESETアンチウイルス製品はOSX / OceanLotus.Dとして検出します。
アンチデバッグおよびサンドボックス保護
すべてのOceanLotus macOSバイナリと同様に、サンプルはUPXでパッケージ化されていますが、ほとんどのパッカー識別ツールはそれをそのように認識しません。 おそらく、主に署名が含まれているため、「UPX」行の存在に応じて、さらに、Mach-O署名はあまり一般的ではなく、頻繁に更新されません。 この機能により、静的検出が困難になります。 興味深いことに、解凍後、エントリポイントは
.TEXTセグメントの
__cfstringセクションの
.TEXTます。 以下の画像に示すように、このセクションにはフラグ属性があります。
図1. MACH-O __cfstringセクションの属性図2に示すように、
__cfstringセクションのコードの場所を使用すると、コードを文字列として表示することにより、一部の逆アセンブリツールをだますことができ
__cfstring 。
図2.バックドアコードはIDAによってデータとして定義されていますバイナリファイルを起動すると、デバッグに対する保護手段としてストリームが作成されます。その唯一の目的は、デバッガの存在を常にチェックすることです。 このスレッドの場合:
- 要求パラメーターとして
PT_DENY_ATTACHをPT_DENY_ATTACHしてptraceを呼び出して、デバッガーのアンフックを試みます。 task_get_exception_portsを呼び出して、いくつかの例外ポートが開いているかどうかをtask_get_exception_ports- 次の図に示すように、現在のプロセスに
P_TRACEDフラグが存在するかどうかを確認することにより、デバッガーが接続されているかどうかを確認します
図3. sysctl関数を使用したデバッガー接続の確認ウォッチドッグがデバッガーの存在を検出すると、
exit関数が呼び出されます。 さらに、サンプルは次の2つのコマンドを実行して環境をチェックします。
ioreg -l | grep -e "Manufacturer" sysctl hw.modelその後、サンプルは、既知の仮想化システムの文字列のハードコードされたリストに対して戻り値をチェックします:
acle 、
vmware 、
virtualboxまたは
parallels 。 最後に、次のコマンドは、マシンが次の「MBP」、「MBA」、「MB」、「MM」、「IM」、「MP」および「XS」のいずれかであるかどうかを確認します。 これらはシステムモデルコードです。たとえば、「MBP」はMacBook Pro、「MBA」はMacBook Airなどを意味します。
system_profiler SPHardwareDataType 2>/dev/null | awk '/Boot ROM Version/ {split($0, line, ":");printf("%s", line[2]);}キーの追加
トレンドマイクロの調査以降、バックドアコマンドが変更されていないという事実にもかかわらず、他のいくつかの変更に気づきました。 このサンプルで使用されるC&Cサーバーは非常に新しく、作成日は2018年10月22日です。
- daff.faybilodeau [。] com
- sarc.onteagleroad [。] com
- au.charlineopkesston [。] com
リソースURLが
/dp/B074WC4NHW/ref=gbps_img_m-9_62c3_750e6b35変更され
/dp/B074WC4NHW/ref=gbps_img_m-9_62c3_750e6b35 。
C&Cサーバーに送信される最初のパケットには、次の表のコマンドで収集されたすべてのデータを含む、ホストマシンに関する詳細情報が含まれています。
この構成の変更に加えて、サンプルはネットワークフィルタリングに
libcurlライブラリを使用せず、外部ライブラリを使用します。 それを見つけるために、バックドアは、ゼロが埋め込まれたキー
gFjMXBgyXWULmVVVzyxyを使用して、AES-256-CBCを使用して現在のディレクトリ内の各ファイルを復号化しようとします。 各ファイルは復号化されて
/tmp/storeとして保存され、
dlopen関数を使用してライブラリとしてロードしようとしました。 復号化の試行により
dlopen呼び出しが成功すると、バックドアはエクスポートされた
Boriryおよび
ChadylonV取得します。
ChadylonVは、サーバーとのネットワーク通信を担当している可能性があります。 サンプルのソースの場所からのドロッパーまたは他のファイルがないため、このライブラリを分析できません。 さらに、コンポーネントは暗号化されているため、これらの行に基づくYARAルールはディスク上で見つかったファイルと一致しません。
上記の記事で説明したように、
cliendIDが作成されます。 この識別子は、次のコマンドのいずれかの戻り値のMD5ハッシュです。
ioreg -rd1 -c IOPlatformExpertDevice | awk '/IOPlatformSerialNumber/ { split($0, line, "\""); printf("%s", line[4]); }' ioreg -rd1 -c IOPlatformExpertDevice | awk '/IOPlatformSerialNumber/ { split($0, line, "\""); printf("%s", line[4]); }'ioreg -rd1 -c IOPlatformExpertDevice | awk '/IOPlatformUUID/ { split($0, line, "\""); printf("%s", line[4]); }' ioreg -rd1 -c IOPlatformExpertDevice | awk '/IOPlatformUUID/ { split($0, line, "\""); printf("%s", line[4]); }'ifconfig en0 | awk \'/ether /{print $2}\' ifconfig en0 | awk \'/ether /{print $2}\' (MACアドレスを取得)
-未知のコマンド( "
\x1e\x72\x0a ")、以前のサンプルで使用されています
ハッシュする前に、戻り値に文字「0」または「1」が追加され、ルート権限の存在が示されます。 この
clientIDは、
/Library/Storage/File System/HFS/25cf5d02-e50b-4288-870a-528d56c3cf6e/pivtoken.appex /HFS/25cf5d02-e50b-4288-870a-528d56c3cf6e/pivtoken.appexに保存されます。コードがルートまたは〜/ Library / SmartCardsServices / Technology / PlugIns / drivers / snippets.ecgMLとして実行されている場合他のすべての場合。 ファイルは通常、
_chflags関数を使用して非表示にされ、そのタイムスタンプは
touch –tコマンドを使用してランダムな値で変更されます。
文字列のデコード
以前のバージョンと同様に、
CCCrypt関数を使用して、AES-256-CBC(16進キー:
9D7274AD7BCEF0DED29BDBB428C251DF8B350B92ゼロ
9D7274AD7BCEF0DED29BDBB428C251DF8B350B92 、IVにゼロ
9D7274AD7BCEF0DED29BDBB428C251DF8B350B92ます)を使用して文字列が暗号化されます。 キーは以前のバージョンから変更されましたが、グループは引き続き同じ文字列暗号化アルゴリズムを使用しているため、復号化を自動化できます。 この投稿に加えて、Hex-Rays APIを使用してバイナリファイルに存在する文字列を解読するIDAスクリプトをリリースしています。 このスクリプトは、OceanLotusの将来の分析と、まだ取得できていない既存のサンプルの分析に役立つ場合があります。 このスクリプトは、関数に渡される引数を取得するための普遍的な方法に基づいています。 彼は目的地の設定も探しています。 メソッドを再利用して関数の引数のリストを取得し、コールバックに渡すことができます。
復号化関数のプロトタイプを知っているスクリプトは、この関数へのすべての相互参照、すべての引数を見つけ、データを復号化し、相互参照のアドレスでコメント内にプレーンテキストを配置します。 スクリプトが正しく機能するには、base64デコード機能で使用されるユーザーアルファベットが必要であり、キーの長さを含むグローバル変数を定義する必要があります(この場合、DWORD、図4を参照)。
図4. key_lenグローバル変数の定義[関数]ウィンドウで、復号化関数を右クリックし、[引数の抽出と復号化]をクリックします。 スクリプトは、図5に示すように、コメントに解読された行を挿入する必要があります。
図5.復号化されたテキストはコメントに配置されますしたがって、復号化された行は、図6に示すように、この関数のIDA
外部参照ウィンドウに一緒に配置されるのが便利です。
図6. f_decrypt関数への外部参照最終スクリプトは
Githubリポジトリにあります 。
おわりに
既に述べたように、OceanLotusはそのツールセットを常に改善および更新しています。 今回、サイバーグループはMacユーザーと連携するためのマルウェアを改善しました。 コードはあまり変更されていませんが、多くのMacユーザーはセキュリティ製品を無視しているため、マルウェアを検出から保護することは二番目に重要です。
ESET製品は、調査時点でこのファイルをすでに検出しています。 C&C通信に使用されるネットワークライブラリはディスク上で暗号化されるため、攻撃者が使用する正確なネットワークプロトコルはまだ不明です。
侵害インジケータ
GitHubでは 、侵害インジケータとMITER ATT&CK属性も利用でき
ます 。