1671天 博客通用头像 Edwiin

本人熟练掌握linux,windows的开关机,擅长nfs,samba,ftp,dhcp,bind,apache,mail等各项服务的安装与卸载,精通shell,mysql,iptables,selinux等单词的拼写,了解虚拟化,存储,集群等相关汉字的书写。

Hacking Team针对Mac的恶意软件代码分析

发布于 5年前 / 1.3k 次围观 / 0 条评论 / 技术学习 / Edwiin
本文最后更新于2016-3-6,已超过 1 个月没有更新,如果文章内容或图片资源失效,请【留言反馈】,我会及时处理,谢谢!

上周,安全人员Patrick Wardle发表了一篇关于HackingTeam使用的新的后门病毒植入程序的文章。同时也表明,Hacking Team重新开始活跃,带来了新的恶意软件
为了了解该恶意软件原理和功能,有安全人员对此进行了深入的分析。该恶意软件名为Backdoor.OSX.Morcut,后门植入程式为Backdoor.OSX.Morcut.u,病毒植入程式为Trojan-Dropper.OSX.Morcut.d。
加密密钥
主要的后门组件接收来自加密的Json配置文件的负载指令。为了解密配置文件,首先使用了已知的密钥,但是都不能解密该文件。通过查看二进制文件,研究人员确定了编码该文件的算法是AES 128,因此需要一个新的加密密钥。经分析,在加密程序的初始化过程中,该密钥作为参数传递到函数中:

通过追踪该代码,研究人员发现了加密配置文件的新密钥:

由上图可以看出,该密钥长度为32字节,因此只有前16字节发挥密钥的作用。研究人员用该密钥成功解密配置文件,发现该文件为Json格式,其中包含该后门需要在目标OS X机器上执行的指令:

 植入程序的恶意功能
· 获取屏幕截图
· 当目标连接Wi-Fi或使用特定的网络通道带宽(在Json配置文件中定义,如下图)时,会向位于英国的Linode服务器同步或报告窃取的信息

· 窃取本地安装的应用程序的信息、通讯录、日历事件和电话。当iPhone用户连接相同且可信的Wi-Fi时,OS X允许用户之间直接从桌面拨打电话。
· 它通过开启前摄像头录像、使用嵌入式耳机录音、嗅探本地聊天和从剪贴板盗取数据来监视目标。
· 它盗取目标的电子邮件、短信和MMS消息,包括iPhone配对的OS X台式机,如下图

· 在它的其他功能中,还可以监控目标的地理位置。
Json文件显示,该操作开始的时间是2015年10月16日(星期五),也就是说,这是HackingTeam的一项新的后门植入程序。
参考样本散列
0eb73f2225886fd5624815cd5d523d08
e2b81bed4472087dca00bee18acbce04
C&C服务器
212[.]71[.]254[.]212

 

全站顶部广告位

  • 支付宝赞助图片
  • 微信赞助图片
  • QQ赞助图片
头像
描述: 还好有你,再见如初。

Press Space to start