如何隐藏在资源派生中的?
|
020年,我们看到了macOS攻击者策略发生了许多改变。这些措施包括转换为Shell脚本,使用Rust和Go等替代编程语言,在Electron应用程序中打包恶意软件,以及通过隐写术击败Apple的公证安全检查。这些技术中的许多已经利用了新的或最近的变化或发展,但是我们却在macOS 10.15及更高版本上观察到的一种却采取了相反的技术策略,并利用了Mac OS 9以来一直存在的旧技术,以隐藏用户和文件扫描工具上的恶意软件载荷。 在本文中,我们将研究一个看起来像Bundlore广告软件的新变体如何将其有效载荷隐藏在一个命名资源派生中。苹果机系统使用一种叫做资源派生”(Resource Fork)的技术记录文件的相关信息,比如文件图标等。 恶意软件传播 可以在提供流行软件“免费”版本的站点上随意可见该恶意软件,在本文的示例中,我们发现该恶意软件由名为“mysoftwarefree”的网站传播,它会向用户保证免费提供Office 365副本。用资源派生来隐藏恶意软件是我们以前从未见过的一种非常新奇的技术,但对它的研究还不是很深入,即参与者使用这种技术的目的是什么。尽管通过这种方式压缩二进制文件对查找器和终端都是隐藏的,但正如我们所看到的,只要阅读Install.command shell脚本,任何人都可以很容易地找到它。 然而,许多传统的文件扫描器不会采用这种技术。其他Bundlore变体在磁盘映像容器和应用程序包中使用了加密文本文件,但扫描器可以很快学会找到这些文件。使此类文件泄漏的原因之一是混淆或加密的代码(通常为base64)的长度过长,这对于合法软件而言是异常的。 通过将加密和压缩的文件隐藏在命名的资源派生中,攻击者很显然是希望避开某些类型的扫描引擎。尽管此示例没有经过代码签名,因此也没有经过Apple的公证检查,但鉴于最近Bundlore变体使用的隐匿术窍门确实绕过了Apple的自动检查,这仍然是一个公开漏洞。 总结
将恶意软件隐藏在文件的资源派生中只是macOS恶意软件开发者用来尝试逃避防御工具的最新技巧。尽管它不是特别复杂且易于手动发现,但它是逃避动态和静态AI检测引擎不支持的某些工具,也确实是一个很隐蔽的方法。 (编辑:东莞站长网) 【声明】本站内容均来自网络,其相关言论仅代表作者个人观点,不代表本站立场。若无意侵犯到您的权利,请及时与联系站长删除相关内容! |
