macOS平台最新恶意软件HiddenLotus分析

AlexFrankly 2017-12-27 信息安全 0 0

1.png

就在前几天,为了对付这个名叫 OSX.HiddenLotus.A 的 macOS 端恶意软件,苹果公司悄悄地给 macOS 的 XProtect 反恶意软件系统增加了一个恶意软件签名。当时,并没有多少人知道 HiddenLotus 到底是什么,但是安全研究专家Arnaud Abbati在不久之后边发现了一个HiddenLotus样本,并将其发布在了Twitter上与社区的其他研究人员共享。

2.png

HiddenLotus的“dropper”是一个伪装成pdf文件的应用程序,文件名为Lê Thu Hà (HAEDC).pdf,它使用了一种非常“古老”的伪装技术,即伪装成Adobe Acrobat文件。

当macOS用户下载了这个文件之后,便会激活macOS的文件免疫功能。苹果公司于Mac OS X 10.5引入了这个功能,该功能可以使用一种特殊的元数据来对用户从互联网上下载下载的文件进行标记,以识别该文件是否需要被“隔离”。接下来,当用户尝试打开这个文件时,如果该文件是一个可执行文件(例如应用程序),macOS系统将会给用户显示警告信息。

3.png

这个功能的作用就是确保用户已经明确知道自己所要打开的文件是一个应用程序,而不是一个普通文档。其实从2009年开始,很多恶意应用都会伪装成普通文档了实施攻击了,而文件免疫功能就是为了要从某种程度上来解决这个问题。尽管有这么个功能存在,但恶意软件开发者仍然一直在使用这种文件伪装技术。在今年年初,不断爆发的Dok恶意软件就是通过伪装成微软Word文档的形式来传播的。

就此看来,你可能会觉得HiddenLotus也并没有什么特别的嘛…但你要知道,HiddenLotus跟以前的恶意软件可不同,它是一个不带有隐藏.app后缀名的恶意软件,而它使用的是.pdf后缀。但尽管如此,Finder(macOS的资源管理器)还是会将其识别为应用程序。

4.png

而且进一步的研究也没有发现该恶意软件带有隐藏的后缀名,这就有点让我想不通了。除此之外,我们也没有发现它使用了2013年Janicab所使用的伪装技术。

注:Janicab使用了一种非常老的文档伪装技术,当时该恶意软件显式地使用了 “RecentNews.ppa.pdf”作为文件名,而Janicab真实的文件名为“RecentNews.fdp.app”。但是这种RLO(从左到右覆盖)字符在Finder中会逆向显示,即ppa.pdf会变成fdp.app。

不过,HiddenLotus并没有使用这种技术。实际上,.pdf后缀中的d并不是你以为的那个”d”,而是罗马数字‘D’的小写形式,而它代表的是数字‘500’。但Abbati在Twitter上表示,目前还不清楚为什么这个特殊字符会让macOS将这个恶意软件视为一个应用程序。

5.png

不过在进一步调查之后Abbati发现:在macOS系统中,一个应用程序不一定必须要有 .app后缀才会被当作是应用程序。也就是说,macOS并不以.app后缀名来判断一个文件是否是可执行程序。

在macOS系统中,一个应用程序其实就是一个拥有特殊内不结构的文件夹,称之为Bundle。尽管如此,但它本质上还是一个文件夹,但如果你把它的后缀名改成.app之后,它就会立马变成一个应用程序。当我们双击一个文件或文件夹时,LaunchServices会首先考虑其后缀名,如果后缀名未知,则会根据后缀名来打开文件(询问用户选择应用程序来打开文件,或者从App Store下载应用)。比如说,后缀为.txt的文件默认会用TextEdit来打开。而对于后缀为.app的文件夹,macOS会认为它拥有正确的内部结构,并将其当作应用程序来运行。

但是,如果文件夹拥有一个未知后缀名的话,那么当我们双击这个文件夹时,LaunchServices将会重新检查文件夹的内部结构(Bundle)。

6.png

这意味着什么?HiddenLotus的Dropper是一个拥有正确内部Bundle结构的文件夹,它使用的后缀为.pdf,其中的‘d’是一个罗马数字,而不是一个字母。尽管这个后缀看起来跟Adobe Acrobat文件的后缀一样,但它们本质上是完全不同的(目前还没有应用程序可以处理这种后缀)。因此,系统将会重新检查该文件夹的内部Bundle结构,并将文件夹当作一个应用程序来处理(虽然没有使用.app后缀)。

除了这种方法之外,还有很多其他的后缀同样可以实现这种效果:

7.png

当然了,上图显示的这种样本可骗不了人,只是用来说明问题罢了…

如果要在后缀名中使用Unicode字符的话,那么可以使用的后缀可就多了去了。攻击者可以使用这种Unicode字符来构造看起来跟合法后缀类似的恶意后缀,例如模仿Word文档(.doc)、Excel文件(.xls)或者Pages文档(.pages)等等。

后记

虽然这是一种非常巧妙的方法,但它仍然无法绕过macOS的文件免疫功能。因此,这种攻击技术可能并不会对macOS产生多么严重的安全威胁,但之后我们可能还会看到很多恶意软件使用这种方法来实施感染和攻击。我们之所以会这样认为,不仅是因为这种技术明显要优于普通的文档伪造技术,而且更重要的是,对于普通用户而言,攻击者可能只需要稍微使用一些“小伎俩”,就能够成功把这些用户拿下了。

如果你发现自己感染了这种恶意软件的话,你可以使用Malwarebytes for Mac来扫描并清除病毒。温馨提示,该工具可是免费的哟!

* 参考来源:malwarebytes,FB小编Alpha_h4ck编译,转载请注明来自FreeBuf.COM

转载请注明来自华盟网,本文标题:《macOS平台最新恶意软件HiddenLotus分析》

喜欢 (0) 发布评论