0
(Afbeelding: Hugues Valentin/foto bestand)
Zes maanden nadat was ontdekt, de eerste Mac-malware van het jaar nog steeds veroorzaakt opschudding.
De onlangs ontdekte Drosophila malware is een onopvallende, maar zeer invasieve malware voor Macs die ging onopgemerkt jaar. De controller van de malware heeft de mogelijkheid om op afstand de volledige controle over een besmette computer, bestanden, webcam, het scherm en het toetsenbord en de muis.
Maar ondanks de recente ontdekking, is er weinig bekend over de malware.
Gezien het zeldzame Mac-malware is, vooral een met alle kenmerken van wat zou kunnen zijn een natie-staat-aanvaller Patrick Wardle, een voormalige NSA hacker die nu dient als chief security onderzoeker bij Synack, gingen aan het werk.
De kern van de malware is een obfuscated perl-script-het gebruik van verouderde code, met indicatoren in de code die suggereren dat de malware kan gaan terug tot bijna de helft van een decennium of meer, de security bedrijf gezegd. Toch, de malware nog steeds goed werkt op moderne versies van macOS, met inbegrip van Yosemite. Drosophila verbindt en communiceert met een command and control-server, waar een aanvaller op afstand kunnen bespioneren en controleren van een besmette Mac.
Maar wat het doet, en waarom, is niet algemeen bekend.
“Het is niet de meest geavanceerde Mac-malware,” zei Wardle in een Signaal gesprek vorige week, maar hij beschreef het als “zijn compleet.” Net als de anderen, hij was niet zeker wat de malware precies hetzelfde deed op het eerste gezicht.
In plaats van reverse-engineering van de malware code om te zien wat het deed, nam hij een nieuwe benadering van het creëren van een eigen commando-en controle-server om te communiceren rechtstreeks met een monster van de malware in zijn lab.
Een selectie van de computers, hun gebruikersnaam, en de computer de naam besmet door de Drosophila malware. (Beeld: Patrick Wardle/Twitter)
“Ik had om erachter te komen hoe te maken van een command and control-server die konden spreken de ‘taal’ van de malware,” zei hij. Dat laat hem volledig uit elkaar halen wat de malware deed gewoon door “vraagt” de malware van de juiste vragen, het geven van hem een ongekend uitzicht naar de mogelijkheden.
Hij vond dat hij kon overnemen van een besmette Mac, met inbegrip van het toetsenbord en de muis, nemen screenshots van het scherm, het op afstand schakelen op de webcam, en te bewerken. De malware kan ook opdrachten uitvoeren in de achtergrond, en zelfs tot de dood van de malware proces volledig — waarschijnlijk in een poging om detectie te voorkomen.
“De meest interessante feature is dat de malware kunt u een waarschuwing als de gebruiker actief is,” zei Wardle, zodat de aanvaller kan dan voorkomen dat interfereert met de computer te blijven stealthy. “Ik heb niet gezien dat voor,” zei hij. Hij vond zelfs dat sommige commando ‘ s ondersteund extra parameters. Wat hij noemde de “tweede byte” aan elke opdracht zou bieden meer gedetailleerde opties. Hij legde uit dat hij mee kon nemen screenshots van het scherm van wisselende kwaliteit-een handige functie voor verbinding met een lage bandbreedte of proberen te ontwijken netwerk detectie.
Hij merkte op dat de malware werd de communicatie naar de primaire servers offline. Maar sommige van de back-up servers zijn beschikbaar.
Gewapend met zijn Python-gebaseerde commando en controle scripts, hij geregistreerd sommige domeinen, en vuurde zijn servers. En dat is als zijn scherm begon te vullen met de slachtoffers computers die verbinding maken met de servers zijn, de een na de andere.
“Ik dacht – ‘f**k!’ — Ik heb om verantwoordelijk te zijn hier,” zei hij. Wanneer de malware verbinding maakt, krijgt u het IP-adres, naam van de gebruiker en de naam van de computer (dat is meestal de volledige naam van de gebruiker). “Ik heb zojuist ingelogt op de aansluitingen en geparseerd de computer namen, dan is de verbinding verbroken,” zei hij.
Het begin van de analyse was dat maar liefst 90 procent van de slachtoffers waren in de VS, met geen duidelijk verband tussen de gebruikers, zei hij. “Het was gewoon een algemene oppervlakkige kennis van de gebruikers.”
Maar de vragen blijven over waar de malware vandaan kwam, en wat het doel voert.
Wardle gezegd, gebaseerd op het doel, de slachtoffers, de malware is minder waarschijnlijk uitgevoerd door een natiestaat aanvaller, en meer waarschijnlijk wordt beheerd door een hacker, “met het doel om te spioneren op de mensen voor de verkeerde redenen.” Hij zou het niet zeggen hoeveel waren getroffen zijn door de malware, maar zou het niet wijdverspreid, net als andere vormen van malware.
Hij was ook niet zeker over de exacte methode van de levering van de malware, maar suggereerde dat het kon infecteren van een computer door middel van een kwaadaardige e-mailbijlagen.
Wardle heeft sinds hoogte en is nu bezig met de handhaving van de wet op de zaak, het overhandigen van de lijst van slachtoffers en command en control-servers.
“Je moet je realiseren dat dit soort van re-beschrijft het feit dat je kunt een gewone persoon en nog steeds slachtoffer van een echt verraderlijke aanval,” zei hij. “Dit is de zoveelste illustratie dat de Macs zijn net zo kwetsbaar als ieder ander computer.”
In deel om die reden, Wardle besteedt zijn vrije tijd met het ontwikkelen van gratis-te-downloaden Mac tools om u te beschermen tegen dit soort aanvallen, met inbegrip van Toezicht, die waarschuwt gebruikers wanneer hun microfoon of webcam wordt actief; in wezen beschermen tegen een aantal van de kenmerken van deze malware.
“Het is niet verwonderlijk dat deze malware was niet gedetecteerd gedurende vijf of meer jaren, omdat de huidige Mac-security-software is vaak niet effectief is,” zei hij. “De meeste niet eens voor dit soort activiteiten.”
Wardle is ingesteld om te praten over de malware in meer detail op de Black Hat-conferentie in Las Vegas op woensdag.
Neem Contact met mij goed
Zack Whittaker kan worden bereikt stevig Signaal en WhatsApp op 646-755-8849, en zijn PGP vingerafdruk voor e-mail is: 4D0E 92F2 E36A EC51 DAAE 5D97 CB8C 15FA EB6C EEA5.
Zwarte Hoed 2017
Dump de slang olie en beveiliging van de onderzoekers van respect
Gij zult veilig zijn: RSA zegt dat je niet kunt dwingen in de particuliere sector te breken encryptie
iCloud lek gestoken iPhone, Mac wachtwoorden in gevaar zijn
0