纪姚
2019-05-30 03:19:20

发现六个月后,今年的第一个Mac恶意软件仍然引起轰动。

最近发现的Fruitfly恶意软件是一种用于Mac的隐形但高度侵入性的恶意软件,多年来一直未被发现。 恶意软件的控制器能够远程完全控制受感染的计算机 - 文件,网络摄像头,屏幕,键盘和鼠标。

但尽管 ,但对恶意软件知之甚少。

考虑到Mac恶意软件是多么罕见 - 特别是那个可能成为国家攻击者的所有标志的人 - 现在担任Synack首席安全研究员的前NSA黑客帕特里克·沃德尔开始工作。

Apple 为Fruitfly发布了安全补丁,但此后出现了恶意软件的变种。 该安全公司表示,恶意软件的核心是使用过时代码的混淆perl脚本,代码中的指示符表明恶意软件可能会回溯近五年或更长时间。

苹果首席执行官蒂姆库克:数据隐私“影响我们所有人”

尽管如此,恶意软件仍然适用于现代版本的macOS,包括Yosemite。 Fruitfly连接并与命令和控制服务器通信,攻击者可以远程侦察并控制受感染的Mac。

但它的作用和原因并不广为人知。

“这不是最复杂的Mac恶意软件,”沃德尔上周在信号电话会议上表示,但他将其描述为“功能完整”。 像其他人一样,他不确定恶意软件乍看之下究竟做了什么。

他没有对恶意软件的代码进行逆向工程来查看它的作用,而是采用了一种新颖的方法来创建自己的命令和控制服务器,以便直接与他实验室中的恶意软件样本进行交互。

“我必须弄清楚如何创建一个可以说出恶意软件'语言'的命令和控制服务器,”他说。 这让他可以通过“询问”恶意软件正确的问题来完全解构恶意软件所做的事情,从而使他对其能力有了前所未有的看法。

他发现他可以完全控制受感染的Mac,包括键盘和鼠标,截取屏幕截图,远程打开网络摄像头,以及修改文件。 恶意软件还可以在后台运行命令,甚至完全杀死恶意软件的进程 - 可能是为了避免检测。

“最有趣的功能是恶意软件可以在用户处于活动状态时发送警报,”Wardle说,这样攻击者就可以避免干扰计算机以保持隐身状态。 “我以前没见过,”他说。 他甚至发现一些命令支持其他参数。 他称之为每个命令的“第二个字节”将提供更细粒度的选项。 他解释说,他可以截取不同质量的显示屏 - 这是低带宽连接或试图逃避网络检测的有用功能。

他注意到恶意软件正在与脱机的主服务器进行通信。 但是有些备份服务器可用。

有了他基于Python的命令和控制脚本,他注册了一些域名,并启动了他的服务器。 那是他的屏幕开始填满连接到他的服务器的受害者计算机,一个接一个。

“我想 - 'f ** k!' - 我必须在这里负责,“他说。 当恶意软件连接时,您将获得IP地址,用户名和计算机名(通常是用户的全名)。 “我只记录了连接并解析了计算机名称,然后关闭了连接,”他说。

他说,早期的分析是,多达90%的受害者是在美国,用户之间没有明显的联系。 “这只是一般用户的一小部分。”

但问题仍然存在于恶意软件的来源以及它的目的。

沃德尔说,根据目标受害者的说法,恶意软件不太可能由一个国家的攻击者管理,更有可能由一个黑客操作,“目的是以不正当的理由监视人。” 他不会说有多少人受到恶意软件的影响,但他表示并不像其他形式的恶意软件那样普遍存在。

他也不确定恶意软件的确切传送方式,但建议它可以通过恶意电子邮件附件感染计算机。

Wardle已经通知并正在与执法部门合作,交出受害者名单,指挥和控制服务器。

iPhone在我们的文化中留下了不可磨灭的印记

“你必须意识到,这种事实再次暴露了这样一个事实:你可能是一个普通人,仍然是一个真正阴险的攻击的受害者,”他说。 “这只是另一个例子,Macs和其他计算机一样容易受到攻击。”

部分由于这个原因,Wardle利用业余时间开发免费下载的Mac工具来防止这种攻击, ,当用户的麦克风或网络摄像头变为活动状态时会通知用户; 从根本上抵御这种恶意软件的某些功能。

“这种恶意软件在五年或更长时间内未被检测到并不奇怪,因为目前的Mac安全软件往往效率不高,”他说。 “大多数人甚至都不寻求这种活动。”

Wardle将于周三在拉斯维加斯举行的更详细地讨论恶意软件。

Apple没有回复评论请求。

本文最初出现在