上週美國逾半Mac遭該殭屍網路感染增加了大家對Mac平台安全性的疑慮, 這個被趨勢科技偵測為OSX_FLASHBCK.AB的木馬程式,持續地在資訊界成為發燒的話題,它打破了Apple公司認為自家的Mac OS不受資安威脅的想法。隨著惡意軟體攻擊的增加和目標攻擊的出現。讓我們要重新思考一下Apple公司所自稱的安全。
Flashback不是指單一的惡意軟體,而是一個木馬家族,最近還有許多的後門程式。它最早是在2011年10月出現,那時偽裝成一個Flash Player的安裝程式。之後我們所看到的變種是由攻擊Java漏洞的惡意Java檔案所產生的。Flashback變種通常會透過攻擊Java漏洞來修改瀏覽器的內容。
具體地說,OSX_FLASHBCK.AB來自會攻擊CVE-2012-0507漏洞的惡意Java檔案。這個漏洞在Windows環境上,早在今年二月就已經被修補好了。而Apple在這個月才發布了相同的修補程式給Mac使用者。
不管Apple公司怎麼說,Mac作業系統從來就不是真的沒有惡意軟體攻擊,更不用說是任何種類的攻擊了。趨勢科技的威脅研究經理 – Jamz Yaneza認為攻擊者最近著重在Mac OS上,有可能是因為它不斷成長的市佔率。美國是這些Mac相關威脅的首要目標,而Gartner的研究也說明了Mac在這國家的驚人佔有率。
網路銀行木馬恐鎖定
要注意的是,Mac會吸引網路犯罪分子的原因之一,也可能是因為它的用戶群。Mac電腦的售價一般比Windows電腦要高,這也可能說明了Mac使用者的收入水準。一個2002年的尼爾森研究報告證明這是真的,它的結論是,跟PC使用者比起來,大多數Mac使用者可能有比較好的教育程度跟較高的收入。
在未來,我們也可能會看到其他類型的威脅轉台來針對Mac OS。由於網路銀行的重要性和使用普遍性,網路銀行木馬很可能是下一波入侵Mac的惡意軟體。
趨勢科技對Flashback的防護
趨勢科技產品可以主動偵測並刪除OSX_FLASHBCK.AB以及下列Flashback惡意軟體:
- OSX_FLASHBCK.A – 一個偽裝成Mac上的Flash Player安裝程式的木馬
- OSX_FLASHBCK.DL – 會攻擊兩個Java漏洞
- OSX_FLASHBCK.IC – 透過注入瀏覽器來竊取資料
Flashback並不是Mac使用者所唯一要擔心的資安問題。我們之前也報導過其他會攻擊Mac OS的威脅。你可以參考下列連結來了解相關資訊:
《APT /MAC 攻擊》另一起和西藏相關的攻擊活動針對Windows和Mac系統
時代變了 Mac使用者現在也會遭受目標攻擊
時代變了 Mac使用者現在也會遭受目標攻擊
如何打擊假防毒軟體來保護你的Mac
搜尋 Google圖片竟被導入惡意網頁, Mac 用戶也受駭
假防毒軟體在 Mac OS X 作業系統上的感染過程
利用 iOS 漏洞的 iPhone 線上破解
我們還發表了一篇給消費者的資料圖表 – 「近年惡名昭彰的Mac威脅」,裡面詳細介紹了一般Mac使用者可能會遇到的著名Mac威脅。
趨勢科技的使用者不用擔心,Smart Surfing for Mac可以提供完善的保護,及時地偵測Flashback病毒變種。
@原文出處:OSX_FLASHBCK: A Backlash to Apple’s Popularity? 作者:Dianne Lagrimas
◎FlashBack 小檔案
OSX_FLASHBCK.AB是利用JAVA漏洞傳播的病毒感染大量MAC作業系統,截止至2012年3月感染數量已達60萬台。
該病毒利用的JAVA漏洞有:
CVE-2008-5353
CVE-2011-3544
技術細節與惡意行為:
1、當用戶被重定向至帶有惡意程式碼的頁面時,會載入一段包含漏洞的Java小程式。
這個漏洞在被感染機器上釋放一個可執行檔,用來與遠端伺服器連接並執行其它惡意行為。
注意:這些網站往往會打著下載或更新一個“新版本的Flash Player”的幌子來欺騙用戶來下載,並會請求使用者輸入管理員密碼。故此病毒被命名為flashback。
2、病毒第一次運行時會搜索特定路徑是否含有以下防毒軟體元件:
/Library/Little Snitch
/Developer/Applications/Xcode.app/Contents/MacOS/Xcode
/Applications/VirusBarrier X6.app
/Applications/iAntiVirus/iAntiVirus.app
/Applications/avast!.app
/Applications/ClamXav.app
/Applications/HTTPScoop.app
/Applications/Packet Peeper.app
如果沒有發現,後門程式會通過特殊的途徑生成一個控制伺服器列表,將安裝成功的通知內容發送至攻擊者的伺服器,並且根據伺服器清單進行連續性查詢。
3、之後,主機會被接入到一個殭屍網路/傀儡網路 Botnet,攻擊者會在主機上安裝額外的惡意模組,某些模組偽造搜尋引擎結果,提供錯誤的搜索結果,並利用“點擊欺詐”產生利潤。
除此以外,攻擊者也會上傳其他元件,例如資料竊取,垃圾郵件(SPAM)等模組。這個惡意軟體會使用負載均衡技術,動態切換伺服器。每個被控端將被賦予唯一的ID並發送至控制伺服器。
解決方案
趨勢科技建議使用以下方法進行防護OSX_FLASHBCK.AB:
1、使用趨勢科技防病毒產品刪除被檢測為OSX_FLASHBCK.AB病毒的檔。如果被檢測到的病毒檔已經被趨勢科技防病毒產品清除、刪除或隔離,不需要再做任何操作。您可以選擇刪除隔離檔。請訪問Knowledge Base page獲取更多詳細資訊。
2、建議至以下連結處下載由供應商發佈的正式修正程式:
https://support.apple.com/kb/ht5228
◎相關報導:
蘋果釋出軟體更新修補Java漏洞 但只支援OS X 10.6與10.7版本
Mac史上最大規模感染 蘋果官方承認數以千台Mac遭駭
美國逾半Mac遭Flashback殭屍網路感染
@延伸閱讀
趨勢科技的Smart Surfing for Mac可以封鎖惡意網址連結,並定期掃描Mac上的惡意軟體來偵測並清除病毒和間諜軟體。–>即刻下載試用
*中文版即將上市,敬請鎖定趨勢科技粉絲頁相關訊息公告。
◎相關報導:
蘋果釋出軟體更新修補Java漏洞 但只支援OS X 10.6與10.7版本
Mac史上最大規模感染 蘋果官方承認數以千台Mac遭駭
◎ 歡迎加入趨勢科技社群網站