EXE是在Windows的執行檔格式,這代表它們只在Windows平台上執行,這也是種安全的作法。在預設情況下,在 Mac或 Linux作業系統上執行 EXE檔只會顯示錯誤訊息。
但趨勢科技發現一個 EXE 檔會繞過 Mac的內建保護機制(如Gatekeeper)來進行惡意行為。能夠繞過 Gatekeeper是因為EXE不會檢查,可以繞過程式碼簽章檢查和驗證,因為 Gatekeeper 只檢查原生Mac檔案。雖然沒有看到特定的攻擊模式,但我們的監測資料顯示英國、澳洲、亞美尼亞、盧森堡、南非和美國的感染數量最多。
行為
我們所分析的樣本是Mac和Windows上常見的防火牆應用程式(Little Snitch)安裝檔,可以從各種 torrent 網站下載。用.NET編譯的 Windows執行檔名稱如下:
- Paragon_NTFS_for_Mac_OS_Sierra_Fully_Activated.zip
- Wondershare_Filmora_924_Patched_Mac_OSX_X.zip
- LennarDigital_Sylenth1_VSTi_AU_v3_203_MAC_OSX.zip
- Sylenth1_v331_Purple_Skin__Sound_Radix_32Lives_v109.zip
- TORRENTINSTANT.COM + – + Traktor_Pro_2_for_MAC_v321.zip
- Little_Snitch_583_MAC_OS_X.zip
解壓縮下載的.ZIP檔案後,裡面包含裝有Little Snitch安裝檔的.DMG檔案。
圖1、解壓縮Windows執行檔所得到的檔案樣本。
圖2、我們分析的.DMG樣本內包含Little Snitch安裝檔。
檢查安裝檔內容後,我們發現應用程式內有異常的.EXE檔案,檢查後發現是會進行惡意行為的Windows執行檔。
圖3、Mac應用程式安裝檔所帶的可疑.EXE檔。
當執行安裝程式時,主檔案會啟動這支執行擋(透過內含的Mono Framework啟動)。Mono Framework可以讓Microsoft .NET應用程式跨平台(如OSX)執行。
惡意軟體在執行後會收集以下系統資料:
- ModelName
- ModelIdentifier
- ProcessorSpeed
- ProcessorDetails
- NumberofProcessors
- NumberofCores
- Memory
- BootROMVersion
- SMCVersion
- SerialNumber
- UUID
惡意軟體還會掃描/Application目錄內所有的基本和已安裝應用程式,並將資料傳送到C&C伺服器:
- App Store.app
- Automator.app
- Calculator.app
- Calendar.app
- Chess.app
- Contacts.app
- DVD Player.app
- Dashboard.app
- FaceTime.app
- Font Book.app
- Image Capture.app
- iTunes.app
- Launchpad.app
- Mail.app
- Maps.app
- Messages.app
- Mission Control.app
- Notes.app
- Photo Booth.app
- Photos.app
- Preview.app
- QuickTime Player.app
- Reminders.app
- Safari.app
- Siri.app
- Stickies.app
- System Preferences.app
- TextEdit.app
- Time Machine.app
- UtilitiesiBooks.app
它會從網路下載下列檔案並儲存到目錄~/Library/X2441139MAC/Temp/:
- hxxp://install.osxappdownload.com/download/mcwnet
- hxxp://reiteration-a.akamaihd.net/INSREZBHAZUIKGLAASDZFAHUYDWNBYTRWMFSOGZQNJYCAP/FlashPlayer.dmg
- hxxp://cdn.macapproduct.com/installer/macsearch.dmg
圖4、儲存到目錄內的下載檔案。
這些.DMG檔案會在下載後安裝和執行,並在執行期間顯示授權協定。
圖5、被下載的廣告軟體冒充為常見的應用程式。
圖6、檔案執行時顯示的授權協定。
此惡意軟體針對的是Mac系統。在Windows上執行會顯示錯誤訊息。
圖7、Windows執行安裝程式時的錯誤訊息。
現在在其他平台執行EXE可能會對非Windows系統(如MacOS)造成更大的影響。一般來說,系統安裝Mono Framework需要編譯或載入執行檔和程式庫。但在此案例中,將檔案與此框架綁在一起成為繞過系統防護的作法,因為EXE不是MacOS安全功能會識別的二進位執行檔。至於Windows和MacOS間的原生程式庫差異,可以利用Mono Framework的DLL映射功能來對應Windows和MacOS上的程式庫。
結論
趨勢科技認為這隻惡意軟體會被其他攻擊或病毒作為躲避技術,用來繞過內建的安全措施(如數位簽章檢查),因為它是Mac系統不支援的二進位執行檔。同時網路犯罪分子會繼續研究開發此惡意軟體並且與應用程式結合來放到torrent網站上。我們會繼續地調查網路犯罪分子會如何使用這些資訊和惡意行為。使用者應該要避免從未經驗證的來源或網站下載檔案、程式和軟體,並在個人或企業系統上安裝多層次的防護措施。
趨勢科技解決方案
以下是可以偵測並封鎖此威脅的趨勢科技產品:
PC-cillin雲端版for Mac >免費下載試用
入侵指標
| 主要執行檔 | ||
| 檔案 | SHA256 | 偵測名稱 |
| setup.dmg | c87d858c476f8fa9ac5b5f68c48dff8efe3cee4d24ab11aebeec7066b55cbc53 | TrojanSpy.MacOS.Winplyer.A |
| Installer.exe | 932d6adbc6a2d8aa5ead5f7206511789276e24c37100283926bd2ce61e840045 | TrojanSpy.Win32.Winplyer.A |
| OSX64_MACSEARCH.MSGL517 | 58cba382d3e923e450321704eb9b09f4a6be008189a30c37eca8ed42f2fa77af | Adware.MacOS.MacSearch.A |
| chs2 | 3cbb3e61bf74726ec4c0d2b972dd063ff126b86d930f90f48f1308736cf4db3e | Adware.MacOS.GENIEO.AB |
| Installer (2) | e13c9ab5060061ad2e693f34279c1b1390e6977a404041178025373a7c7ed08a | Adware.MacOS.GENIEO.AB |
| macsearch | b31bf0da3ad7cbd92ec3e7cfe6501bea2508c3915827a70b27e9b47ffa89c52e | Adware.MacOS.MacSearch.B |
| C&C伺服器 | ||
| hxxp://54.164.144.252:10000/loadPE/getOffers.php |
@原文出處:Windows
App Runs on Mac, Downloads Info Stealer and Adware 作者: Don Ladores和Luis Magisa)
◎延伸閱讀: