
Übersicht
- Backdoor.OSX.Mokes.a ist eine erst kürzlich entdeckte OS X Version einer Backdoor, die es für alle gängigen Desktop-Betriebssysteme gibt (Windows, Linux, OS X). Unsere Analyse der Windows- und Linux-Versionen wurde bereits im Januar veröffentlicht.
- Diese Schädlingsfamilie ist in der Lage, verschiedene Datentypen von befallenen Rechnern zu stehlen (Screenshots, Abfangen von Audio- und Videodaten, Office-Dokumente, Tastatureingaben).
- Die Backdoor kann zudem willkürliche Befehle auf dem Rechner des Opfers ausführen.
- Zur Kommunikation verwendet die Backdoor AES-256-CBC, einen starken Verschlüsselungsalgorithmus.
Vorgeschichte
Im Januar 2016 entdeckten wir bei Kaspersky Lab eine neue Familie plattformübergreifender Backdoors für Desktop-Betriebssysteme. Zuerst wurden die Versionen für Linux und Windows entdeckt und nun fanden wir schließlich auch die entsprechende OS X Version von Mokes. Sie ist in C++ unter Verwendung von Qt programmiert, einem Framework zur platformübergreifenden Anwendungs-Entwicklung. Das Sample wurde ausserdem statisch mit OpenSLL gelinkt. Das führt zu einer Dateigröße von etwa 14 MB.
Werfen wir nun einen Blick auf bzw. in dieses sehr aktuelle Sample.
„Entpackte“ Backdoor.OSX.Mokes.a
Der Dateiname des Samples war „unpacked“, als es uns in die Hände fiel. Wir nehmen allerdings an, dass die Malware in freier Wildbahn gepackt zu finden ist – ebenso wie bereits die Linux-Variante.
Start
Beim erstmaligen Start der Backdoor, kopiert sie sich in den ersten verfügbaren Ordner aus der folgenden Liste, in dieser Reihenfolge:
- $HOME/Library/App Store/storeuserd
- $HOME/Library/com.apple.spotlight/SpotlightHelper
- $HOME/Library/Dock/com.apple.dock.cache
- $HOME/Library/Skype/SkypeHelper
- $HOME/Library/Dropbox/DropboxCache
- $HOME/Library/Google/Chrome/nacld
- $HOME/Library/Firefox/Profiles/profiled
Dementsprechend wird eine plist-Datei erstellt, um die Backdoor bei jedem Hochfahren des Systems zu starten.
Nun ist es an der Zeit, unter Verwendung von HTTP an TCP-Port 80, eine erste Verbindung mit dem Steuerungsserver des Angreifers herzustellen:
Der User-Agent-String ist im Sample hartcodiert. Der Server antwortet auf diese sog. Heartbeat-Anfrage mit 208 Byte „text/html“-Content. Nun wird eine mit AES-256-CBC verschlüsselte Verbindung über TCP-Port 443 hergestellt.
Backdoor-Funktionalität
Die nächste Aufgabe des Schädlings besteht darin, die Backdoor-Funktionalität zu initialisieren:
- Abfangen von Audio-Daten
- Überwachung von Wechseldatenträgern
- Erstellen von Screenshots (alle 30 Sek.)
- Scannen des Dateisystems nach Office-Dokumenten (.xls, .xlsx, .doc, .docx)
Der Angreifer ist auch in der Lage, weitere Dateifilter für die Überwachung des Dateisystems einzurichten. Ebenso können willkürliche Befehle auf einem infizierten System ausgeführt werden.
Wie auch unter anderen Betriebssystemen erstellt der Schädling im Fall der Nicht-Erreichbarkeit des Steuerungsservers einige temporäre Dateien, die die gesammelten Daten enthalten.
- $TMPDIR/ss0-DDMMyy-HHmmss-nnn.sst (Screenshots)
- $TMPDIR/aa0-DDMMyy-HHmmss-nnn.aat (Audiodateien)
- $TMPDIR/kk0-DDMMyy-HHmmss-nnn.kkt (Tastaturlogs)
- $TMPDIR/dd0-DDMMyy-HHmmss-nnn.ddt (Willkürliche Daten)
DDMMyy = Datum: 070916 = 07.09.2016
HHmmss = Uhrzeit: 154411 = 15:44:11
nnn = Millisekunden.
Falls die Umgebungsvariable $TMPDIR nicht definiert ist, wird „/tmp/“ als Pfad verwendet (http://doc.qt.io/qt-4.8/qdir.html#tempPath).
Hinweise des Autors
Wie schon beim letzten Mal hat der Autor Referenzen auf die Quell-Dateien hinterlassen:
Erkennung
Die Produkte von Kaspersky Lab erkennen Schädlinge diesen Typs als HEUR:Backdoor.OSX.Mokes.a.
IoCs
Hash:
664e0a048f61a76145b55d1f1a5714606953d69edccec5228017eb546049dc8c
Dateinamen:
$HOME/LibraryApp Store/storeuserd
$HOME/Library/com.apple.spotlight/SpotlightHelper
$HOME/Library/Dock/com.apple.dock.cache
$HOME/Library/Skype/SkypeHelper
$HOME/Library/Dropbox/DropboxCache
$HOME/Library/Google/Chrome/nacld
$HOME/Library/Firefox/Profiles/profiled
$HOME/Library/LaunchAgents/$filename.plist
$TMPDIR/ss*-$date-$time-$ms.sst
$TMPDIR/aa*-$date-$time-$ms.aat
$TMPDIR/kk*-$date-$time-$ms.kkt
$TMPDIR/dd*-$date-$time-$ms.ddt
Hosts:
158.69.241[.]141
jikenick12and67[.]com
cameforcameand33212[.]com
User-Agent:
Mozilla/5.0 (Macintosh; Intel Mac OS X 10_9_3) AppleWebKit/537.75.14 (KHTML, wie Gecko) Version/7.0.3 Safari/7046A194A
Der fehlende Part – Komplexe Backdoor unter OS X entdeckt
Esser Jürgen
Es macht echt Sinn hier mal ab und rein zu schauen. Bin ich wirklich erstaunt was im Netz so alles getrixt wird. Eigendlich sind es ja strafbare Handlungen. Sie sollten, wenn möglich, genau so bestraft werden wie ein normales Delickt. Je nach schwere des angestellten Tatbestandes. Wie gesagt, es nehmen zu viele das Internet in lockerer Form hin. So nach dem Motto, mir passiert schon nicht`s. So ist aber nicht. Vorsicht ist angesagt. Darum habe ich schon seid Jahren immer Kaspersky auf meinem Rechner. Für eure Mühe im endwickeln von Gegenwehrprogrammen, recht herzlichen Dank. Weiter so, mein Vertrauen habt ihr auf jeden Fall. Viele Grüße Jürgen Esser