重回視線：詳細分析macOS惡意軟體OSX.Dok

概述

OSX.Dok惡意軟體最初發現於2017年，這一惡意軟體比大多數針對macOS的惡意軟體都更為複雜，因此當我們看到它重新浮出水面時，也完全不會感到驚訝。在本文中，我們將詳細分析該惡意軟體的工作原理，並對當前惡意軟體的感染狀況進行描述。

故事要起源於聖誕節那天，在2018年12月25日12:48，OSX.Dok的一個新型變種經過有效的開發者ID簽名，並發布到網路。我們在1月9日首次發現這一惡意軟體，並通過非官方渠道通知了Apple。不久之後，惡意軟體開發者的簽名被Cupertino公司撤銷。儘管如此，該措施並沒有阻止攻擊者對Mac的持續破壞。

關於Dok

在OSX.Dok中，包含一個DMG，其文件名為DHL_Dokument.dmg或Strichkode DHL Express.dmg，並且使用名稱為Swisscom.Application的BundleID。

2017版本的OSX.Dok使用假冒的預覽圖標來偽裝應用程序包。該惡意軟體主要針對歐洲的Mac用戶，並通過電子郵件網路釣魚活動傳播，該惡意活動試圖使用戶相信他們的納稅申報存在問題。

在新版本中，使用了類似的技巧，Dukument具有虛假的Adobe PDF圖標，以此作為偽裝。當用戶安裝DMG時，將會顯示「點擊兩次圖標以查看文檔」的說明。儘管目前我們還沒有發現該惡意軟體是如何進行傳播的，但鑒於DMG文件的標題是DHL_Dokument（DHL是一家德國郵政服務以及國際快遞公司），並且其中包含德語文本，因此我們猜測它可能是針對相同的目標用戶，並採取與此前類似的電子郵件傳播技巧。

在視圖的底部，有一個幾乎無法看到的文件名，揭示了它的本質：「Dokument.app」。如果在Finder的列視圖或列表視圖中打開DMG，則會更加明顯：

不同類型的App Store

雙擊Dokument.app後，會啟動各種任務，並在後台安裝一些應用程序。從用戶的角度來看，首先用戶的桌面會被偽裝的「App Store」更新頁面所替代。該應用程序禁用了鍵盤，因此用戶無法取消或強制退出此視圖。儘管我們並沒有經常在macOS上看到這種技術，但實際上這並不是攻擊者想到的新型技術。遊戲開發人員通常使用此類Apple API，使用戶產生身臨其境的體驗，並且讓玩家進入特定的遊戲環境。攻擊者利用了與之相同的原理，編寫該惡意軟體。

在惡意軟體的場景下，之所以要禁用鍵盤，是為了在惡意軟體安裝其他各類軟體時，盡最大可能阻止用戶的干擾。事實上，如果用戶使用的是帶有散熱風扇的Mac，會發現在這些軟體的安裝過程中風扇不停轉動。整個安裝過程需要幾分鐘。

在此期間，惡意軟體可能會重新啟用鍵盤，以允許受害者在彈出的對話框中輸入憑據。用戶如果點擊「取消」，那麼該窗口將會再次彈出，因此「取消」按鈕並沒有實際意義。對於受害者來說，這時唯一可以進行的操作就是強制關機，然後以安全模式啟動操作系統，清除惡意軟體，並清除已經安裝的持久性代理。

如果受害者在誘導下提供了密碼，那麼OSX.Dok將繼續安裝隱藏版本的Tor，以及一些實現秘密通信的實用程序：Socat、Filan和Procan。Socat實用程序允許惡意軟體監聽5555和5588埠，直到有連接連入。連接本身是來自localhost的流量，由惡意軟體安裝的AutoProxy重定向到5555埠。

惡意軟體將多個Apple域名寫入到本地Host文件，以便將與這些域名的連接重定向到127.0.0.1。一旦惡意軟體開始捕獲用戶的流量，它就會連接到暗網上的伺服器ltro3fxssy7xsqgz.onion，並開始數據傳輸。

持久性和特權

與此同時，惡意安裝程序會寫入多個持久性代理。其中的3個安裝在用戶的Library LaunchAgents文件夾中，1個安裝在本地域名的LaunchDaemons文件夾中：

位於/usr/local/bin/JKHFJqTP中的LaunchDaemon程序參數是一個Shell腳本，可以確保在所有介面上設置AutoProxy。

與早期版本的OSX.Duk一樣，這一版本的惡意軟體在Keychain中安裝了一個信任證書。它還會寫入sudoers文件，從而確保可以持續擁有特權，而無需重複請求密碼。/etc/sudoers中顯示的最後一個條目表明任何用戶都可以運行任何sudo命令，而不會被提示進行身份驗證。

與歐洲的關聯

這一版本的OSX.Dok是對舊版本的複製，二者間具有以下差異：

·新開發者ID為Anton Ilin（48R325WWDB）；

·新App BundleID為Swisscom.Application；

·新圖標為：Adobe PDF（而不再是預覽PDF）；

·新暗網地址為：ltro3fxssy7xsqgz.onion。

通過SentinelOne代理，我們不僅能夠檢測OSX.Dok，還發現OSX.Dok的作者已經將FTP用戶名和密碼以硬編碼的方式寫入該惡意軟體中。

控制台的「可見性」功能表明，惡意軟體使用curl和FTP協議，將受害者計算機上的日誌文件上傳到以下地址（我們認為，該地址的所有者可能首先被攻擊，然後在不知情的情況下託管了這些文件）：

ftp://engel-*******:0*******88@ftp.k******a.com/logs/

使用硬編碼的用戶名和密碼，我們能夠訪問FTP伺服器。我們注意到，在撰寫本文時仍然在不斷發送日誌，並且在1天之內已經收集了43個日誌。下面是一些受害者日誌文件的部分列表：

總結

如本文所述，OSX.Dok重新回來了。由於該惡意軟體能夠完全攔截受害者的互聯網流量，因此這一惡意軟體對macOS用戶來說無疑是具有較高風險的。儘管安裝過程採用了非常明顯的界面，從而導致大部分用戶可能會覺得可疑，但考慮到Mac用戶普遍沒有使用第三方安全解決方案，以及Apple內置保護措施（例如XProtect和Gatekeeper）的弱點，這些用戶的安全性仍然無法得到保障。我們在分析過程中發現，近1天之內至少發生了43次成功攻陷事件。我們正在將調查結果發送給相關機構，有關該威脅的進一步分析結果將會同步公開發表。

喜歡這篇文章嗎？立刻分享出去讓更多人知道吧！