Ereignisse

Der fehlende Part – Komplexe Backdoor unter OS X entdeckt

Übersicht

  • Backdoor.OSX.Mokes.a ist eine erst kürzlich entdeckte OS X Version einer Backdoor, die es für alle gängigen Desktop-Betriebssysteme gibt (Windows, Linux, OS X). Unsere Analyse der Windows- und Linux-Versionen wurde bereits im Januar veröffentlicht.
  • Diese Schädlingsfamilie ist in der Lage, verschiedene Datentypen von befallenen Rechnern zu stehlen (Screenshots, Abfangen von Audio- und Videodaten, Office-Dokumente, Tastatureingaben).
  • Die Backdoor kann zudem willkürliche Befehle auf dem Rechner des Opfers ausführen.
  • Zur Kommunikation verwendet die Backdoor AES-256-CBC, einen starken Verschlüsselungsalgorithmus.

Vorgeschichte

Im Januar 2016 entdeckten wir bei Kaspersky Lab eine neue Familie plattformübergreifender Backdoors für Desktop-Betriebssysteme. Zuerst wurden die Versionen für Linux und Windows entdeckt und nun fanden wir schließlich auch die entsprechende OS X Version von Mokes. Sie ist in C++ unter Verwendung von Qt programmiert, einem Framework zur platformübergreifenden Anwendungs-Entwicklung. Das Sample wurde ausserdem statisch mit OpenSLL gelinkt. Das führt zu einer Dateigröße von etwa 14 MB.

Werfen wir nun einen Blick auf bzw. in dieses sehr aktuelle Sample.

„Entpackte“ Backdoor.OSX.Mokes.a

Der Dateiname des Samples war „unpacked“, als es uns in die Hände fiel. Wir nehmen allerdings an, dass die Malware in freier Wildbahn gepackt zu finden ist – ebenso wie bereits die Linux-Variante.

Komplexe Backdoor unter OS X entdeckt

Start

Beim erstmaligen Start der Backdoor, kopiert sie sich in den ersten verfügbaren Ordner aus der folgenden Liste, in dieser Reihenfolge:

  • $HOME/Library/App Store/storeuserd
  • $HOME/Library/com.apple.spotlight/SpotlightHelper
  • $HOME/Library/Dock/com.apple.dock.cache
  • $HOME/Library/Skype/SkypeHelper
  • $HOME/Library/Dropbox/DropboxCache
  • $HOME/Library/Google/Chrome/nacld
  • $HOME/Library/Firefox/Profiles/profiled

Dementsprechend wird eine plist-Datei erstellt, um die Backdoor bei jedem Hochfahren des Systems zu starten.

Komplexe Backdoor unter OS X entdeckt

Nun ist es an der Zeit, unter Verwendung von HTTP an TCP-Port 80, eine erste Verbindung mit dem Steuerungsserver des Angreifers herzustellen:

Komplexe Backdoor unter OS X entdeckt

Der User-Agent-String ist im Sample hartcodiert. Der Server antwortet auf diese sog. Heartbeat-Anfrage mit 208 Byte „text/html“-Content. Nun wird eine mit AES-256-CBC verschlüsselte Verbindung über TCP-Port 443 hergestellt.

Komplexe Backdoor unter OS X entdeckt

Backdoor-Funktionalität

Die nächste Aufgabe des Schädlings besteht darin, die Backdoor-Funktionalität zu initialisieren:

Komplexe Backdoor unter OS X entdeckt

  • Abfangen von Audio-Daten
  • Komplexe Backdoor unter OS X entdeckt

  • Überwachung von Wechseldatenträgern
  • Komplexe Backdoor unter OS X entdeckt

  • Erstellen von Screenshots (alle 30 Sek.)
  • Komplexe Backdoor unter OS X entdeckt

  • Scannen des Dateisystems nach Office-Dokumenten (.xls, .xlsx, .doc, .docx)
  • Komplexe Backdoor unter OS X entdeckt

Der Angreifer ist auch in der Lage, weitere Dateifilter für die Überwachung des Dateisystems einzurichten. Ebenso können willkürliche Befehle auf einem infizierten System ausgeführt werden.

Wie auch unter anderen Betriebssystemen erstellt der Schädling im Fall der Nicht-Erreichbarkeit des Steuerungsservers einige temporäre Dateien, die die gesammelten Daten enthalten.

  • $TMPDIR/ss0-DDMMyy-HHmmss-nnn.sst (Screenshots)
  • $TMPDIR/aa0-DDMMyy-HHmmss-nnn.aat (Audiodateien)
  • $TMPDIR/kk0-DDMMyy-HHmmss-nnn.kkt (Tastaturlogs)
  • $TMPDIR/dd0-DDMMyy-HHmmss-nnn.ddt (Willkürliche Daten)

DDMMyy = Datum: 070916 = 07.09.2016
HHmmss = Uhrzeit: 154411 = 15:44:11
nnn = Millisekunden.

Falls die Umgebungsvariable $TMPDIR nicht definiert ist, wird „/tmp/“ als Pfad verwendet (http://doc.qt.io/qt-4.8/qdir.html#tempPath).

Hinweise des Autors

Wie schon beim letzten Mal hat der Autor Referenzen auf die Quell-Dateien hinterlassen:

Komplexe Backdoor unter OS X entdeckt

Erkennung

Die Produkte von Kaspersky Lab erkennen Schädlinge diesen Typs als HEUR:Backdoor.OSX.Mokes.a.

IoCs

Hash:
664e0a048f61a76145b55d1f1a5714606953d69edccec5228017eb546049dc8c

Dateinamen:
$HOME/LibraryApp Store/storeuserd
$HOME/Library/com.apple.spotlight/SpotlightHelper
$HOME/Library/Dock/com.apple.dock.cache
$HOME/Library/Skype/SkypeHelper
$HOME/Library/Dropbox/DropboxCache
$HOME/Library/Google/Chrome/nacld
$HOME/Library/Firefox/Profiles/profiled
$HOME/Library/LaunchAgents/$filename.plist
$TMPDIR/ss*-$date-$time-$ms.sst
$TMPDIR/aa*-$date-$time-$ms.aat
$TMPDIR/kk*-$date-$time-$ms.kkt
$TMPDIR/dd*-$date-$time-$ms.ddt

Hosts:
158.69.241[.]141
jikenick12and67[.]com
cameforcameand33212[.]com

User-Agent:
Mozilla/5.0 (Macintosh; Intel Mac OS X 10_9_3) AppleWebKit/537.75.14 (KHTML, wie Gecko) Version/7.0.3 Safari/7046A194A

Der fehlende Part – Komplexe Backdoor unter OS X entdeckt

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

 

  1. Esser Jürgen

    Es macht echt Sinn hier mal ab und rein zu schauen. Bin ich wirklich erstaunt was im Netz so alles getrixt wird. Eigendlich sind es ja strafbare Handlungen. Sie sollten, wenn möglich, genau so bestraft werden wie ein normales Delickt. Je nach schwere des angestellten Tatbestandes. Wie gesagt, es nehmen zu viele das Internet in lockerer Form hin. So nach dem Motto, mir passiert schon nicht`s. So ist aber nicht. Vorsicht ist angesagt. Darum habe ich schon seid Jahren immer Kaspersky auf meinem Rechner. Für eure Mühe im endwickeln von Gegenwehrprogrammen, recht herzlichen Dank. Weiter so, mein Vertrauen habt ihr auf jeden Fall. Viele Grüße Jürgen Esser

Berichte

Virologie mobiler Geräte 2016

Im Jahr 2016 stieg die Zahl der Werbe-Trojaner, die in der Lage sind, Superuser-Rechte zu nutzen, weiterhin an. Im Verlauf des gesamten Jahres war das die Bedrohung Nummer eins und wir können bisher keinerlei Anzeichen für eine Trendwende in diesem Bereich erkennen.

Spam im Jahr 2016

Im Jahr 2016 haben sich in den Spam-Strömen verschiedene Veränderungen vollzogen. Die bedeutsamste Veränderung ist dabei sicherlich die Zunahme von Versendungen mit schädlichen Erpresser-Programmen. Wenn man berücksichtigt, wie relativ einfach diese Programme auf dem Schwarzmarkt zu haben sind, so wird sich diese Tendenz aller Wahrscheinlichkeit fortsetzen.

Kaspersky Security Bulletin 2016/2017. Jahresrückblick. Statistik für 2016

2016 war ein angespanntes und turbulentes Jahr im Cyberspace – von riesigen IoT-Botnets über Ransomware bis hin zu zielgerichteten Cyberspionage-Attacken, Finanzdiebstählen und Hacktivismus war alles vertreten – und sogar noch vieles mehr. Der Jahresrückblick und die Statistik für 2016 von Kaspersky Lab liefern einen detaillierten Überblick über diese Ereignisse. Die Kurzzusammenfassung finden Sie hier.

Kaspersky Security Bulletin 2016/2017. Die Ransomware-Revolution

Zwischen Januar und September 2016 hat sich die Zahl der Ransomware-Attacken auf Unternehmen verdreifacht, das ist gleichbedeutend mit einem Angriff alle 40 Sekunden. Der Markt für Ransomware-as-a-Service boomt, das Projekt NoMoreRansom wurde ins Leben gerufen: Für Kaspersky Lab ist Ransomware DAS Thema des Jahres 2016.

Abonnieren Sie unsere wöchentlichen E-Mails

Brandaktuelle Themen direkt in Ihr Postfach