OSX.Keydnap

OSX.Keydnap to koń trojański oparty na systemie MacOS X , który kradnie hasła z pęku kluczy iCloud zainfekowanej maszyny. Używa droppera do ustanowienia stałego backdoora, wykorzystując luki w zabezpieczeniach MacOS i funkcje bezpieczeństwa, takie jak Gatekeeper , iCloud Keychain i system nazewnictwa plików. Po raz pierwszy został wykryty na początku lipca 2016 r. przez badaczy firmy ESET, którzy odkryli również, że jest rozpowszechniany za pośrednictwem zainfekowanej wersji klienta Transmission Bit Torrent.

Szczegóły techniczne

Pobierz i zainstaluj

OSX.Keydnap jest początkowo pobierany jako archiwum ZIP . To archiwum zawiera pojedynczy Mach-O i rozwidlenie zasobów zawierające ikonę pliku wykonywalnego, którym zazwyczaj jest obraz JPEG lub plik tekstowy. Ponadto dropper wykorzystuje sposób, w jaki OS X obsługuje rozszerzenia plików, na przykład umieszczając spację za rozszerzeniem nazwy pliku – jako „keydnap.jpg” zamiast „keydnap.jpg”. Zwykle powszechnie spotykane obrazy ikon i nazwy są używane do wykorzystywania chęci użytkowników do klikania niegroźnie wyglądających plików. Gdy plik jest otwierany, plik wykonywalny Mach-O jest domyślnie uruchamiany w terminalu zamiast przeglądarki obrazów, jak oczekiwałby użytkownik.

Ta początkowa egzekucja robi trzy rzeczy. Najpierw pobiera i uruchamia komponent backdoora. Po drugie, pobiera i otwiera wabiący dokument, który pasuje do tego, co udaje plik droppera. W końcu opuszcza terminal, aby ukryć, że był kiedykolwiek otwarty. Terminal jest otwierany tylko na chwilę.

Ustanawianie połączenia typu backdoor

Ponieważ program do pobierania nie jest trwały, pobrany komponent backdoora uruchamia proces o nazwie „icloudsyncd”, który działa przez cały czas. Dodaje również wpis do katalogu LaunchAgents, aby przetrwać ponowne uruchomienie. Proces icloudsyncd służy do komunikacji z serwerem dowodzenia i kontroli za pośrednictwem adresu onion.to, ustanawiając backdoora.

Następnie próbuje przechwycić hasła z pęku kluczy iCloud, używając sprawdzającego koncepcję Keychaindump, i przesyła je z powrotem na serwer. Keychaindump odczytuje pamięć securityd i wyszukuje klucz deszyfrujący dla pęku kluczy użytkownika, jak opisano w „Keychain Analysis with Mac OS X Memory Forensics” autorstwa K. Lee i H. Koo.

Obejście podpisywania przez strażnika

Mac OS używa Gatekeeper do sprawdzania, czy aplikacja jest podpisana ważnym certyfikatem Apple Developer ID, co uniemożliwia uruchomienie OSX.Keydnap. Co więcej, nawet jeśli użytkownik ma wyłączony Gatekeeper, zobaczy ostrzeżenie, że plik jest aplikacją pobraną z Internetu, dając użytkownikowi możliwość nieuruchamiania aplikacji. Jednakże, umieszczając OSX.Keydnap z legalnym kluczem podpisującym, tak jak w przypadku zainfekowanej aplikacji Transmission, skutecznie omija ochronę Gatekeepera.

Wykrywanie i usuwanie

Aktywacja Gatekeeper to prosty sposób na uniknięcie przypadkowej instalacji OSX.Keydnap. Jeśli komputer Mac użytkownika ma aktywowaną funkcję Gatekeeper, szkodliwy plik nie zostanie wykonany, a użytkownikowi zostanie wyświetlone ostrzeżenie. Dzieje się tak, ponieważ złośliwy plik Mach-O jest niepodpisany, co automatycznie uruchamia ostrzeżenie w Gatekeeper.

^ Reed, Thomas (13.07.2016). „Złośliwe oprogramowanie Mac OSX.Keydnap kradnie pęk kluczy” . Malwarebytes . Źródło 2016-11-20 .
^ ^a ^b Badania, ESET (2016-08-30). „OSX/Keydnap rozprzestrzenia się za pośrednictwem podpisanej aplikacji Transmission” . www.welivesecurity.com . ESET . Źródło 2016-12-02 .
^ ^abc ^{Léveillé , Marc-Etienne}⁽ 2016-07-06). „Nowe złośliwe oprogramowanie OSX/Keydnap jest głodne poświadczeń” . www.welivesecurity.com . ESET . Źródło 2016-11-20 .
^ Salonen, Juuso (2015-09-05). „Narzędzie sprawdzające słuszność koncepcji do odczytywania haseł pęku kluczy systemu OS X” . www.github.com . Źródło 2016-12-02 .
^ Lee, Kyeongsik; Koo, Hyungjoon (2012-07-01). „Analiza pęku kluczy z Mac OS X Memory Forensics” (PDF) . forensic.n0fate.com . Źródło 2016-12-02 .

[:0-1] Reed, Thomas (13.07.2016). „Złośliwe oprogramowanie Mac OSX.Keydnap kradnie pęk kluczy” . Malwarebytes . Źródło 2016-11-20 .

[:1-2] Badania, ESET (2016-08-30). „OSX/Keydnap rozprzestrzenia się za pośrednictwem podpisanej aplikacji Transmission” . www.welivesecurity.com . ESET . Źródło 2016-12-02 .

[:2-3] {Léveillé , Marc-Etienne}⁽ 2016-07-06). „Nowe złośliwe oprogramowanie OSX/Keydnap jest głodne poświadczeń” . www.welivesecurity.com . ESET . Źródło 2016-11-20 .

[4] Salonen, Juuso (2015-09-05). „Narzędzie sprawdzające słuszność koncepcji do odczytywania haseł pęku kluczy systemu OS X” . www.github.com . Źródło 2016-12-02 .

[5] Lee, Kyeongsik; Koo, Hyungjoon (2012-07-01). „Analiza pęku kluczy z Mac OS X Memory Forensics” (PDF) . forensic.n0fate.com . Źródło 2016-12-02 .