0
(Billede: Hugues Valentin/file foto)
Seks måneder efter det blev opdaget, at den første Mac-malware af året, er stadig vækker opsigt.
Den nyligt opdagede Fruitfly malware er en snigende, men meget-invasive malware til Mac, der blev opdaget for år. Styringen af den skadelige software har evnen til at via fjernadgang at tage fuldstændig kontrol af en inficeret computer-filer, webcam, skærm og tastatur og mus.
Men på trods af sin nylige opdagelse, lidt er kendt om malware.
I betragtning af hvor sjældent Mac-malware, især en med alle de kendetegn på, hvad der kunne være en stat angriber, Patrick Wardle, en tidligere NSA-hacker, der nu fungerer som chief security forsker ved Synack, nødt til at arbejde.
Kernen af malware er en uklar perl-script, der bruger en forældet kode, med indikatorer i den kode, der tyder på, malware kan gå tilbage næsten et halvt år eller mere, er den sikkerhed, virksomheden har sagt. Ikke desto mindre, den malware, der stadig fungerer godt på moderne versioner af macOS, herunder Yosemite. Fruitfly tilslutter og kommunikerer med en kommando og kontrol-server, hvor en angriber kan fjernstyre udspionere og kontrollere en inficeret Mac.
Men hvad betyder det, og hvorfor, er ikke kendt.
“Det er ikke den mest avancerede Mac-malware,” sagde Wardle i et Signal opkald i sidste uge, men han beskrev det som “funktionen færdig.” Ligesom andre, han var ikke sikker på, hvad malware gjorde præcis på første øjekast.
I stedet for reverse-engineering malware kode for at se, hvad det gjorde, han tog en ny tilgang for at skabe sin egen kommando og kontrol-server for at interagere direkte med en prøve af malware i hans laboratorium.
Et udvalg af computere, deres brugernavn, og computerens navn inficeret af Fruitfly malware. (Billede: Patrick Wardle/Twitter)
“Jeg var nødt til at finde ud af, hvordan du opretter en kommando og kontrol-server, der kan tale det ‘sprog’ af malware,” sagde han. At lade ham fuldt ud dekonstruere hvad malware gjorde blot ved at “spørge” malware de rigtige spørgsmål, at give ham en hidtil uset indblik i sine muligheder.
Han fandt, at han kunne tage fuldstændig kontrol af en inficeret Mac, herunder dens tastatur og mus, tage screenshots af skærmen, fjernbetjent switch på webcam, og ændre filer. Den malware kan også køre kommandoer i baggrunden, og selv dræbe malware er processen helt — sandsynligvis i et forsøg på at undgå afsløring.
“Den mest interessante funktion er, at malware kan sende en alarm, når brugeren er aktiv,” sagde Wardle, så hackeren kan derefter undgå at gribe ind med computeren for at forblive uset. “Jeg har ikke set det før,” sagde han. Han har endda fundet, at nogle kommandoer understøttes yderligere parametre. Hvad han kaldte den “anden byte” til hver kommando vil give dig flere detaljerede indstillinger. Han forklarede, at han kunne tage screenshots af skærmen er af svingende kvalitet-en nyttig funktion til lav båndbredde, eller forsøger at unddrage netværk opdagelse.
Han bemærkede, at malware var at kommunikere ud til primær servere, der var offline. Men nogle af de backup-servere, der var til rådighed.
Bevæbnet med sin Python-baseret kommando-og kontrol-scripts, han er registreret nogle domæner, og fyret op i sine servere. Og det er, når hans skærmen begyndte at fylde op med ofrenes computere tilslutning til sine servere, den ene efter den anden.
“Jeg troede, –” f**k!’ — Jeg er nødt til at være ansvarlig her,” sagde han. Når malware forbinder, får du den IP-adresse, navnet på brugeren, og den computer navn (som typisk er det fulde navn på brugeren). “Jeg har lige logget forbindelser og analyseres computeren navne, så lukkede forbindelsen,” sagde han.
Den tidlige analyse var, at så mange som 90 procent af ofrene var i USA, med nogen indlysende sammenhæng mellem de brugere, han sagde. “Det var bare en almindelig lille smule af brugere.”
Men spørgsmål er stadig over, hvor malware kom fra, og hvilket formål det udfører.
Wardle sagde, baseret på det mål ofre, malware, er det mindre sandsynligt, drives af en stat angriber, og det er mere sandsynligt, der drives af en enkelt hacker, “med det mål at udspionere folk for uhensigtsmæssige årsager.” Han ville ikke sige, hvor mange blev ramt af malware, men foreslog, at det ikke var udbredt, ligesom andre former for malware.
Han var heller ikke sikker på den nøjagtige leveringsform for malware, men foreslog, at det kunne inficere en computer via en skadelig e-mail attachment.
Wardle har siden informeret og arbejder nu med retshåndhævende myndigheder om sagen, at udlevere listen over ofre og command and control-servere.
“Du er nødt til at indse, at denne form for re-udsætter det faktum, at du kan være en almindelig person, og stadig være offer for en rigtig lumske angreb,” sagde han. “Dette er blot endnu et eksempel på, at Mac-computere er lige så sårbare som enhver anden computer.”
I en del af den grund, Wardle bruger sin fritid på at udvikle gratis at downloade Mac værktøjer til at beskytte mod denne form for angreb, herunder Tilsyn, som giver brugere besked, når deres mikrofon eller webcam, bliver den aktiv, hovedsageligt for at beskytte mod nogle af de funktioner i denne malware.
“Det er ikke overraskende, at denne malware ikke var registreret i fem år eller mere, fordi den nuværende Mac security software er ofte temmelig ineffektiv,” sagde han. “De fleste ser ikke selv for denne form for aktivitet.”
Wardle er indstillet til at tale om malware nærmere på Black Hat-konference i Las Vegas på onsdag.
Kontakt mig sikkert
Zack Whittaker kan nås sikkert på Signal og WhatsApp på 646-755-8849, og hans PGP fingeraftryk til e-mail er: 4D0E 92F2 E36A EC51 DAAE 5D97 CB8C 15FA EB6C EEA5.
Black Hat 2017
Dump slange olie og vis sikkerhed forskere lidt respekt
Du skal være sikker: RSA siger, du kan ikke tvinge private sektor til at bryde den kryptering
iCloud sikkerhedshul sætte iPhone, Mac adgangskoder i fare
0