人权倡导组织国际特赦组织上周的一份报告披露了名为FinSpy的跨平台间谍软件套件的macOS变体,该变体由HQ管理,由FinFisher开发和营销机构设在德国。FinSpy工具具有多种功能,包括键盘记录器、录音、网络摄像头、屏幕截图工具、远程访问shell、文件枚举和exfilter功能。在这篇文章中,研究人员研究了如何监控macOS变体并列出了一些以前未发布的攻击指标。什么是FinFisher间谍软件?根据FinFisher自己的网站和营销材料,该公司制作了“战术情报收集”、“战略情报收集”以及“部署方法和开发”的工具。该公司表示,它只与“执法和情报机构”合作,并且“在全球范围内运营”。然而,国际特赦组织和公民实验室等其他民权组织注意到,在埃及、埃塞俄比亚和阿联酋等地,FinSpy被用于针对“活动家、记者和持不同政见者”的运动。除了使用FinFisher产品外,将这些不同的活动联系起来表明,“人权捍卫者”经常成为攻击目标。虽然研究人员发现了针对macOS用户的工具包的恶意软件,并且macOS套件的某些组件似乎无法在最新版本的Apple桌面平台中运行,但最近的测试证实国际特赦组织共享的恶意软件样本仍将启动并感染macOSCatalina(2019年10月8日,macOSCatalina正式上线)安装。FinSpyformacOS如何工作?国际特赦组织在VirusTotal上提供了样本的哈希值:4f3003dd2ed8dcb68133f95c14e28b168bd0f52e5ae9842f528d3f7866495cea虽然VT上的一些引擎已将该样本列入黑名单,但在撰写本文时,大多数引擎仍未将其识别为恶意软件。由于样本尚未经过公开测试,因此需要对用户进行社会工程,而不是对macOSCatalina进行公开测试。木马安装程序的MacOS文件夹包含两个可执行文件和一个目录。Bash脚本Install?a?layan在隐藏的.log文件夹中包含执行恶意应用程序包的逻辑:ARA0848.app的Mach-O可执行文件包含在虚拟机环境中监视执行的逻辑,以使用Parallels、VMWare或任何VirtualBox虚拟化软件来阻止macOS恶意软件研究人员的分析:由于始终建议在隔离的测试环境中逆向macOS恶意软件,因此研究人员必须对样本进行小的改动,以避免通过其内置的反分析监控程序。在上面的示例中,研究人员在该实验室中使用了独立的Parallels虚拟机,因此应该使用一些简单的二进制补丁来处理VM监控。ParallelsDesktop被称为macOS上最强大的虚拟机软件。无需重启电脑即可在Mac下同时模拟运行Win、Linux、Android等操作系统和软件,并可随意切换不同系统。首先,将二进制文件从DMG复制到本地磁盘,然后在vi编辑器中打开二进制文件:然后,从vi的命令行调用xxd实用程序:%!xxd接下来,研究人员搜索“parallels”样本.幸运的是,有两个:现在研究人员编辑了每个字符的第一个字符,通过将十六进制的70(“p”)替换为78(“x”),将其从“parallels”更改为“xarallels”。然后,研究人员使用%!xxd-r将十六进制反转为二进制格式,并使用wq命令将其保存到vi中。在macOSCatalina上启动样本需要覆盖公证检查,之后研究人员可以立即观察到恶意软件提出的提升权限的请求。执行后,恶意软件立即将以下文件写入用户的Library缓存文件夹:除此之外,FinFisher间谍软件还在/Library/LaunchAgents文件夹中写入一个名为logind.plist的域级LaunchAgent:寻求保持持久效果.该程序参数针对/private/etc/logind,研究人员在其中发现了以下setuid、setgid文件:测试中掉落的可执行文件在VirusTotal上是未知的,并且据研究人员所知,之前没有共享过:可以看到出现了一个具有相同名称的不同文件,而其原因显然没有在VT/Library/Frameworks/Storage上注明.framework/Contents/MacOS/logind1cf36a2d8a2206cb4758dcdbd0274f21e6f437079ea39772e821a32a76271d4612FinSpy是一种完全无法检测到的新型恶意软件吗?恶意软件开发商和经销商总是热衷于通过将他们的产品描绘成“无法检测”或“完全无法检测”(FUD)来吸引客户,因此研究人员确信那些向“执法和情报机构”推销他们的工具的人也会同样做广告像这样。如果您打算购买恶意软件(尤其是间谍软件),您选择的第一个功能是如何不被检测到。尽管大肆宣传,但很少有恶意软件是真正“完全无法检测到”的,因为它需要以特定的、可预测的方式来实现其目标(例如,记录击键、与C2通信等)等),FinSpy也不例外这个尊重。事实上,安全研究人员和静态搜索引擎对FinSpy的关注由来已久。特别是FinFisher用于持久代理的用户路径:~/Library/LaunchAgents/logind。这条路径至少从2017年就被发现了。最近几个月,我们可以看到苹果的MRT.app中逐渐添加了其他攻击路径,在v1.52和v1.64中添加了新的监控路径:仍然,即使是当前的MRT.appv1。66不在域级别搜索LoginAgent。但是,更重要的是,MRT.app的监控不会阻止FinSpy攻击Mac用户。Apple的MRT.app是一种感染工具,尽管它主要在用户启动Mac或登录用户帐户时以及Apple在后台静默更新该工具时运行。为防止启动和执行恶意代码,Apple使用了许多不同的技术:Gatekeeper、Notarization和XProtect。前两个软件虽然有用,但存在用户可屏蔽的弱点,这意味着恶意软件可以通过受害者的社会工程或临时访问受害者计算机的恶意用户安装。在macOS10.15Catalina上,XProtect变得更具防御性和抵抗用户绕过的能力,但XProtect的效果仅限于它包含的签名。由于在实际测试中,研究人员能够执行macOSCatalina10.15.7安装中包含的FinSpy木马安装程序及其隐藏的恶意应用程序包,因此研究人员推测XProtect尚无法监控最新的FinSpy样本。SentinelOne是否可以抵御FinSpy/FinFisher恶意软件?研究人员对上述样本的测试表明,SentinelOne代理已正确检测并阻止了macOS恶意软件FinFisher/FinSpy。研究人员的行为监测表明,FinSpy恶意软件试图逃避检测并发起持续性攻击。SentinelOne研究人员已经分别确定了MITREATT&CKTTPsT1211和T1160。SentinelOne管理控制台进程树准确映射恶意进程的执行并正确判断那些是恶意程序(红色):总结TheFinSpymalwareformacOS是一种商业生产和销售的产品,旨在感染Mac用户进行间谍活动,窃取数据并远程控制目标计算机。虽然研究人员无法确定间谍软件是否被世界各地的执法机构或情报机构“合法”使用,但研究人员努力确保用户得到充分保护,免受适当的保护程序或端点上任何其他未经授权的软件的侵害。保护。攻击指标本文翻译自:https://www.sentinelone.com/blog/how-to-catch-a-spy-detecting-finfisher-spyware-on-macos/如有转载请注明出处:
