返回目录:excel表格制作
虽说MacOS操作系统相对来说更加安全,但仍挡不住有恶意软件开发者对它十分钟爱。最近,网络安全公司趋势科技(Trend Micro)就发现了一个Mac后门病毒的新变种,并且怀疑它很有可能出自朝鲜黑客组织“拉撒路(Lazarus)”之手。
与Lazarus早期活动的相似之处
用于传播后门病毒的恶意Excel表格最初是由Twitter用户“cyberwar_15”发现的,表格内嵌恶意宏代码,这与Lazarus的早期活动完全一致。
图1.伪装成心理测试问卷的恶意Excel表格
不同之处在于,恶意宏代码仅会运行一个PowerShell脚本,而该脚本将连接到三台C2服务器——hxxps[:]//crabbedly[.]club/board[.]php、hxxps[:]//craypot[.]live/board[.]php和hxxps[:]//indagator[.]club/board[.]php。
图2.恶意宏代码连接到三台C2服务器
图3. Lazarus早期活动中的恶意宏代码与最近发现的恶意宏代码之间的对比
Mac应用程序安装包包含恶意和合法的Flash播放器
因为与恶意Excel表格共享相似的C2服务器,所以Twitter用户“cyberwar_15”还获取到了可能与此次活动有关的Mac应用程序安装包。
图4.恶意Mac应用程序安装包
安装包包含两个Flash播放器文件:一个合法版本,一个恶意版本。其中,恶意版本会使用合法版本来隐藏其真实的路径。
图5.安装包包含两个Flash播放器文件
图6. 恶意版本Flash播放器由Oleg Krasilnikov开发,与Adobe没有半毛钱关系
运行安装包,恶意版本就会运行合法版本来播放诱饵SWF视频。
图7. SWF视频会在后台播放韩语歌曲,并显示图片
分析表明,在视频播放时,恶意版本Flash播放器会在路径“~/.FlashUpdateCheck”创建一个隐藏文件“Backdoor.MacOS.NUKESPED.A”。
图8. 恶意版本Flash播放器将创建一个隐藏文件
随后,恶意版本Flash播放器将通过释放PLIST文件“~/Library/Launchagents/com.adobe.macromedia.plist”来实现隐藏文件的长久驻留。
图9.用于释放PLIST文件的代码
进一步的分析表明,隐藏文件从功能上看相当于一个Powershll脚本,会与以下C2服务器建立连接。
图10.位于隐藏文件的_DATA字段中的C&C服务器地址
变种的后门函数
为了触发后门功能,隐藏文件必须与上述C2服务器建立连接,第一个便是craypot[.]live。建立连接成功后,它将继续到执行实际的后门程序。
图11. 隐藏文件根据接收到的命令号执行特定函数
图12. Backdoor.MacOS.NUKESPED.A的完整后门功能
结论
与Lazarus早期使用恶意宏来下载后门Mac文件不同,最新发现的变种使用了带有诱饵的应用程序安装包。
Lazarus等网络犯罪集团正在通过适用于不同的平台的恶意软件来扩大其攻击范围,这是值得注意的,此类恶意软件在今后也必定会再次出现。