如何進行MacOS惡意軟件Shlayer分析

這篇文章給大家介紹如何進行MacOS惡意軟件Shlayer分析，內容非常詳細，感興趣的小伙伴們可以參考借鑒，希望對大家能有所幫助。

近兩年來，Shlayer木馬一直是Mac OS平臺上最常見的惡意軟件，十分之一的Mac OS用戶受到它的攻擊，占該操作系統檢測到攻擊行為的30%。第一批樣本發現于2018年2月，此后收集了近32000個不同的木馬惡意樣本，并確定了143個C&C服務器。

自Shlayer首次被發現以來，其使用的算法幾乎沒有變化，活動行為保持平穩。

技術細節

從技術角度來看，Shlaye是一個相當普通的惡意軟件。在所有變體中，只有最新的木馬下載程序OSX.Shlayer.e與眾不同。此惡意軟件的變體是用Python編寫的，其算法也有不同。具體分析如下（樣本MD5：4d86ae25913374cfcb80a8d798b9016e）：

感染第一階段

安裝此DMG映像后，將提示用戶運行“安裝”文件，安裝程序是Python腳本。

應用程序包內可執行文件目錄包含兩個Python腳本：GJPWVUUD847 DZQPYBI(main)和GoqWajdBuV6(auxiliary)。后者用來實現數據加密功能：

接下來，主腳本生成唯一用戶和系統ID，收集macOS版本的信息。基于這些數據生成GET query參數，下載ZIP文件：

下載到/tmp/%（sessionID）目錄的ZIP文件使用unzip函數解壓到/tmp/tmp目錄：

ZIP包含可執行文件84cd5bba3870應用程序包：

解壓文件后，python腳本使用chmod賦予文件84cd5bba3870在系統中運行的權限：

樣本使用moveIcon和findVolumePath函數將原始DMG圖標復制到新下載的應用程序包所在的目錄中：

木馬程序使用內置工具下載和解壓，并刪除下載的文件及其解壓內容：

感染第二階段

Shlayer本身只執行攻擊的初始階段，穿透系統，加載payload運行。調查AdWare.OSX.Cimpli可以看出其對用戶的負面影響。

Cimpli安裝程序看起來無害，只是提供安裝：

但實際上Cimpli執行用戶看不到的操作。首先，它在Safari中安裝一個惡意擴展，將操作系統安全通知隱藏在惡意軟件偽造窗口后。單擊通知中的按鈕，用戶就會同意安裝擴展。

其中一個擴展名為ManagementMark，檢測為非病毒：HEUR:AdWare.Script.SearchExt.gen。它監視用戶搜索并將其重定向到地址hxxp://lkysearchex41343-a.akamaihd[.]net/as?q=c：

樣本還加載PyInstaller打包的mitmdump工具。系統中添加了一個特殊的可信證書，允許mitmdump查看HTTPS流量，所有的用戶流量被重定向到mitmdump的SOCKS5代理。

通過mitmdump（SearchSkilledData）的所有流量都由腳本SearchSkilledData.py（-s選項）處理：

此腳本將所有用戶搜索查詢重定向到hxxp://lkysearchds3822-a.akamaihd[.]net。Cimpli并不是Shlayer唯一一個廣告軟件應用程序系列，還包括AdWare.OSX.Bnodlero、AdWare.OSX.Geonei和AdWare.OSX.Pirrit。

軟件傳播

惡意軟件傳播是其生命周期的重要組成部分，Shlayer為了解決這個問題制定了很多方案：在找你最喜歡的電視節目的最新一集嗎？想看足球比賽的直播嗎？要格外小心，因為感染Shlayer的幾率很高。

在大多數情況下廣告登陸頁面把用戶帶到精心制作的假頁面，在Flash播放器更新提示下安裝惡意軟件。

在YouTube視頻描述中發現了指向惡意軟件下載的鏈接：

文章腳注中的Shlayer：

根據WHOIS判斷，它們屬于同一個人，這樣的域名總數已經超過700個。

統計數據顯示，Shlayer攻擊主要針對美國用戶（31%），其次是德國（14%）、法國（10%）和英國（10%），幾乎所有假冒的Flash Player下載頁面網站都有英語內容。

通過對Shlayer家族的研究可以得出結論，macOS平臺是網絡罪犯的一個很好的收入來源。木馬鏈接甚至存在于合法的資源上，攻擊者擅長于社會工程學，很難預測下一個欺騙技術會有多復雜。

關于如何進行MacOS惡意軟件Shlayer分析就分享到這里了，希望以上內容可以對大家有一定的幫助，可以學到更多知識。如果覺得文章不錯，可以把它分享出去讓更多的人看到。