Ereignisse

Der fehlende Part – Komplexe Backdoor unter OS X entdeckt

Übersicht

  • Backdoor.OSX.Mokes.a ist eine erst kürzlich entdeckte OS X Version einer Backdoor, die es für alle gängigen Desktop-Betriebssysteme gibt (Windows, Linux, OS X). Unsere Analyse der Windows- und Linux-Versionen wurde bereits im Januar veröffentlicht.
  • Diese Schädlingsfamilie ist in der Lage, verschiedene Datentypen von befallenen Rechnern zu stehlen (Screenshots, Abfangen von Audio- und Videodaten, Office-Dokumente, Tastatureingaben).
  • Die Backdoor kann zudem willkürliche Befehle auf dem Rechner des Opfers ausführen.
  • Zur Kommunikation verwendet die Backdoor AES-256-CBC, einen starken Verschlüsselungsalgorithmus.

Vorgeschichte

Im Januar 2016 entdeckten wir bei Kaspersky Lab eine neue Familie plattformübergreifender Backdoors für Desktop-Betriebssysteme. Zuerst wurden die Versionen für Linux und Windows entdeckt und nun fanden wir schließlich auch die entsprechende OS X Version von Mokes. Sie ist in C++ unter Verwendung von Qt programmiert, einem Framework zur platformübergreifenden Anwendungs-Entwicklung. Das Sample wurde ausserdem statisch mit OpenSLL gelinkt. Das führt zu einer Dateigröße von etwa 14 MB.

Werfen wir nun einen Blick auf bzw. in dieses sehr aktuelle Sample.

„Entpackte“ Backdoor.OSX.Mokes.a

Der Dateiname des Samples war „unpacked“, als es uns in die Hände fiel. Wir nehmen allerdings an, dass die Malware in freier Wildbahn gepackt zu finden ist – ebenso wie bereits die Linux-Variante.

Komplexe Backdoor unter OS X entdeckt

Start

Beim erstmaligen Start der Backdoor, kopiert sie sich in den ersten verfügbaren Ordner aus der folgenden Liste, in dieser Reihenfolge:

  • $HOME/Library/App Store/storeuserd
  • $HOME/Library/com.apple.spotlight/SpotlightHelper
  • $HOME/Library/Dock/com.apple.dock.cache
  • $HOME/Library/Skype/SkypeHelper
  • $HOME/Library/Dropbox/DropboxCache
  • $HOME/Library/Google/Chrome/nacld
  • $HOME/Library/Firefox/Profiles/profiled

Dementsprechend wird eine plist-Datei erstellt, um die Backdoor bei jedem Hochfahren des Systems zu starten.

Komplexe Backdoor unter OS X entdeckt

Nun ist es an der Zeit, unter Verwendung von HTTP an TCP-Port 80, eine erste Verbindung mit dem Steuerungsserver des Angreifers herzustellen:

Komplexe Backdoor unter OS X entdeckt

Der User-Agent-String ist im Sample hartcodiert. Der Server antwortet auf diese sog. Heartbeat-Anfrage mit 208 Byte „text/html“-Content. Nun wird eine mit AES-256-CBC verschlüsselte Verbindung über TCP-Port 443 hergestellt.

Komplexe Backdoor unter OS X entdeckt

Backdoor-Funktionalität

Die nächste Aufgabe des Schädlings besteht darin, die Backdoor-Funktionalität zu initialisieren:

Komplexe Backdoor unter OS X entdeckt

  • Abfangen von Audio-Daten

    • Komplexe Backdoor unter OS X entdeckt

  • Überwachung von Wechseldatenträgern

    • Komplexe Backdoor unter OS X entdeckt

  • Erstellen von Screenshots (alle 30 Sek.)

    • Komplexe Backdoor unter OS X entdeckt

  • Scannen des Dateisystems nach Office-Dokumenten (.xls, .xlsx, .doc, .docx)

    • Komplexe Backdoor unter OS X entdeckt

Der Angreifer ist auch in der Lage, weitere Dateifilter für die Überwachung des Dateisystems einzurichten. Ebenso können willkürliche Befehle auf einem infizierten System ausgeführt werden.

Wie auch unter anderen Betriebssystemen erstellt der Schädling im Fall der Nicht-Erreichbarkeit des Steuerungsservers einige temporäre Dateien, die die gesammelten Daten enthalten.

  • $TMPDIR/ss0-DDMMyy-HHmmss-nnn.sst (Screenshots)
  • $TMPDIR/aa0-DDMMyy-HHmmss-nnn.aat (Audiodateien)
  • $TMPDIR/kk0-DDMMyy-HHmmss-nnn.kkt (Tastaturlogs)
  • $TMPDIR/dd0-DDMMyy-HHmmss-nnn.ddt (Willkürliche Daten)

DDMMyy = Datum: 070916 = 07.09.2016
HHmmss = Uhrzeit: 154411 = 15:44:11
nnn = Millisekunden.

Falls die Umgebungsvariable $TMPDIR nicht definiert ist, wird „/tmp/“ als Pfad verwendet (http://doc.qt.io/qt-4.8/qdir.html#tempPath).

Hinweise des Autors

Wie schon beim letzten Mal hat der Autor Referenzen auf die Quell-Dateien hinterlassen:

Komplexe Backdoor unter OS X entdeckt

Erkennung

Die Produkte von Kaspersky Lab erkennen Schädlinge diesen Typs als HEUR:Backdoor.OSX.Mokes.a.

IoCs

Hash:
664e0a048f61a76145b55d1f1a5714606953d69edccec5228017eb546049dc8c

Dateinamen:
$HOME/LibraryApp Store/storeuserd
$HOME/Library/com.apple.spotlight/SpotlightHelper
$HOME/Library/Dock/com.apple.dock.cache
$HOME/Library/Skype/SkypeHelper
$HOME/Library/Dropbox/DropboxCache
$HOME/Library/Google/Chrome/nacld
$HOME/Library/Firefox/Profiles/profiled
$HOME/Library/LaunchAgents/$filename.plist
$TMPDIR/ss*-$date-$time-$ms.sst
$TMPDIR/aa*-$date-$time-$ms.aat
$TMPDIR/kk*-$date-$time-$ms.kkt
$TMPDIR/dd*-$date-$time-$ms.ddt

Hosts:
158.69.241[.]141
jikenick12and67[.]com
cameforcameand33212[.]com

User-Agent:
Mozilla/5.0 (Macintosh; Intel Mac OS X 10_9_3) AppleWebKit/537.75.14 (KHTML, wie Gecko) Version/7.0.3 Safari/7046A194A

Share post on:

Ähnliche Beiträge

Es gibt 1 Kommentar

  1. Esser Jürgen

    Veröffentlicht am

    Es macht echt Sinn hier mal ab und rein zu schauen. Bin ich wirklich erstaunt was im Netz so alles getrixt wird. Eigendlich sind es ja strafbare Handlungen. Sie sollten, wenn möglich, genau so bestraft werden wie ein normales Delickt. Je nach schwere des angestellten Tatbestandes. Wie gesagt, es nehmen zu viele das Internet in lockerer Form hin. So nach dem Motto, mir passiert schon nicht`s. So ist aber nicht. Vorsicht ist angesagt. Darum habe ich schon seid Jahren immer Kaspersky auf meinem Rechner. Für eure Mühe im endwickeln von Gegenwehrprogrammen, recht herzlichen Dank. Weiter so, mein Vertrauen habt ihr auf jeden Fall. Viele Grüße Jürgen Esser

    Antworten

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.