旧金山恶意软件开发者总是试图用比竞争对手更隐蔽、更先进的软件来超越对手。在本周的RSA安全会议上,美国国家安全局(National Security Agency)的一名前黑客展示了一种通常更为有效的方法:窃取竞争对手的代码,然后将其重新利用。
帕特里克·沃德尔(Patrick Wardle)现在是macOS和iOS企业管理公司Jamf的安全研究员,他向我们展示了如何利用旧的Mac恶意软件来部署勒索软件、远程访问间谍工具和其他类型的恶意代码,这是一种更智能、更节省资源的方法。他说,这种方法真正能带来好处的地方是重新利用政府资助的黑客编写的高级代码。
沃德尔在一次题为“重新利用恶意软件:回收利用的阴暗面”的演讲中说:“在由三封信组成的机构中,沐鸣开户测速有资金雄厚、资源充足、积极性极高的黑客组织,他们正在制造功能齐全、经过全面测试的令人惊叹的恶意软件。”
他说:“我的想法是:为什么不让这些机构中的组织制造恶意软件,如果你是一名黑客,为什么不让它们为你自己的使命服务呢?”他说。
劫持劫机者
为了证明这一点,沃德尔描述了他如何改变了四个Mac恶意软件,这些恶意软件在过去几年里一直被用于野外攻击。
重新使用导致恶意软件向属于Wardle的命令服务器报告,而不是向开发人员指定的服务器报告。从那时起,Wardle完全控制了回收的恶意软件。这一壮举使他能够使用开发良好、功能齐全的应用程序来安装自己的恶意软件,从被感染的mac电脑上获取屏幕截图和其他敏感数据,并在恶意软件中执行其他恶意操作。
除了节省时间和资源,重新利用恶意软件还有两个主要好处:
它可能允许攻击者,特别是那些来自国家支持的组织的攻击者,感染高风险的环境,比如那些已经被感染的环境,并且在其他恶意软件参与者的眼皮底下。在这种情况下,许多国家黑客组织将放弃部署他们的皇冠宝石恶意软件,以保持专有策略、技术和程序的私密性。在这些情况下,重新利用他人的恶意软件可能是一个合适的选择。
如果恶意软件感染被检测到并进行了法医学分析,研究人员很有可能会将攻击错误地归咎于最初的黑客,而不是重新利用恶意软件的一方。
有足够的证据表明,对对手的恶意软件进行重新利用已经是民族国家黑客的一种常见做法。“想哭”(WannaCry)和“不哭”(notpetya)——这两种病毒分别在2017年导致全球电脑瘫痪,被普遍认为是朝鲜和俄罗斯联邦制造的——在美国国家安全局(nsa)开发、后来又被窃取的Windows漏洞“永恒蓝”(eternblue)的关键帮助下,在电脑之间迅速传播。2016年3月,安全公司赛门铁克(Symantec)的研究人员发现,一个与中国政府有广泛联系的黑客组织重用了由“永恒蓝”(EternalBlue)安装的NSA恶意软件。14个月后,美国国家安全局(NSA)发布了强大的黑客工具。
自由记者金·泽特尔在2017年的这篇文章中报道,维基解密公布的文件显示,中情局黑客回收了以前攻击中使用的技术和代码片段,并将其用于新项目。根据赛门铁克(Symantec)发现的证据,几年前,讲俄语的黑客组织“图拉”(Turla)劫持了与伊朗政府有关联的竞争对手“石油钻井平台”(OilRig)的服务器。图拉随后利用这些基础设施攻击了一个中东政府。
得到Jeused
沃德尔的一个重新定位涉及AppleJeus。最近,一段恶意代码被发现嵌入了一个假冒的macOS加密货币交易应用程序中。值得注意的是,这个样本是第一个,至少是第一个已知的macOS恶意软件样本,它使用内存或无文件的方法在目标mac上执行第二阶段的恶意有效载荷。
通过仅在内存中执行恶意代码,而不是使用更常见的将代码保存到磁盘然后执行的方法,applejeus .c显著降低了反病毒程序和其他形式的端点安全性检测感染或捕获第二阶段有效负载的机会。研究人员已将该恶意软件与为朝鲜政府工作的黑客组织拉撒路(Lazarus)联系起来。
与其为macOS开发自己的无文件有效载荷安装程序,Wardle只对AppleJeus做了一个小的修改。c:而不是从服务器获得无文件的有效载荷最初硬编码到AppleJeus。修改后的恶意软件现在从他控制的服务器获得有效载荷。
沃德尔说:“这意味着,当(第一阶段)恶意软件被执行时,它现在将与我们的服务器通信,而不是与黑客原来的基础设施通信。”因此,沐鸣开户测速它将下载并执行新的第二阶段有效载荷。
第一步是彻底分析applejeus的内部运作方式。他观察到的内容包括恶意软件的能力,以及它用来与原始开发人员的命令和控制服务器通信的协议。例如,在使用反汇编器时,他观察到恶意软件使用加密哈希函数和解密函数来加载并执行第二阶段的有效负载。
通过使用调试器在恶意软件运行哈希函数之前阻止它,他发现了字符串VMI5EOhq8gDz,它被传递给哈希函数后变成了解密密钥。然后,他使用反汇编器和调试器以类似的方式发现解密密码和参数。
被分解的代码AppleJeus.c用于解密、加载和执行(在内存中)接收到的第二阶段有效负载。
用于解密、加载和执行(在内存中)接收到的第二阶段有效载荷的拆解代码AppleJeus.c。
接下来,Wardle使用十六进制编辑器将原始版本的硬编码控制服务器域更改为他所控制的服务器的地址。他设计了这个新的控制服务器,使用相同的通信协议,并逐步与恶意软件的每个功能进行交互。
为了使修改后的AppleJeus.c接受第二阶段的有效载荷,Wardle的控制服务器必须使用他在分析过程中观察到的相同密钥和密码对其进行加密。这样,Wardle就可以使用他重新定义的AppleJeus.c来加载和执行他选择的任何Mac mach-O可执行文件。
使用十六进制编辑器来识别(以及稍后更改)硬编码到恶意软件中的控制服务器。
放大/使用十六进制编辑器来识别(和稍后的更改)硬编码到恶意软件中的控制服务器。
“只需对二进制文件进行一次修改(并构建一个轻量级C&C服务器),我们现在就可以访问一个先进的民族国家加载程序,它将按照我们的要求执行……无需编写任何(客户端)代码!沃德尔在演讲后的留言中写道。“这比从头开始写要容易得多:)而且,如果这种被重新利用的变种被发现,它可能会被错误地归于朝鲜。”
有趣的是,很多用来执行AppleJeus的代码。c的记忆感染本身就是来自Cylance研究员Stephanie发表的一项深度技术分析
阿奇博尔德。
感情再加三倍
Wardle使用了类似的技术来重新利用另外三个在野外传播的Mac恶意软件。该恶意软件包括远程访问工具“水果苍蝇”(Fruitfly),沐鸣开户测速它在长达13年的时间里窃取了数以百万计的用户图片,其中很多是裸体照片,直到最后被关闭。“水果苍蝇”是一款勒索软件,于2016年被发现。“风尾”主要针对中东地区的政府机构和公司。
Wardle可以对他重新使用的代码进行其他的调整,这样就可以绕过内置在macOS中的恶意软件缓冲。例如,由于Xprotect恶意软件扫描程序是基于文件签名的,因此更改一个字节的重用代码就足以完全逃脱检测。当苹果颁发的签名证书被撤销时,取消对软件的签名并使用新证书进行签名就变得很简单了。要删除用户试图执行代码或安装从互联网下载的应用程序时显示的警告,可以很容易地删除使这些警告出现的编程标记。
本周RSA的演讲可能会给人留下这样的印象:恶意软件的重新利用是Mac产品所独有的。前面提到的回收恶意代码的例子应该表明,这种回收对任何操作系统或平台都有效。沃德尔说,考虑到恶意软件的大量可用性和可重用性,很容易理解为什么这种做法如此普遍。“我们的想法是让那些有更多时间、金钱和资源的人来做所有的艰苦工作。”