Blog News

Jeden Tag frisch wichtige Nachrichten, wie wir uns schützen besser können

Komplexe Backdoor unter OS X entdeckt

Komplexe Backdoor unter OS X entdeckt

no-image

Kurzübersicht

  • Backdoor.OSX.Mokes.a ist eine erst kürzlich entdeckte Version einer plattformübergreifenden Backdoor für OS X, die auf allen gängigen Betriebssystemen läuft (Windows, Linux, OS X). Unsere Analyse der Windows- und Linux-Versionen der Backdoor wurde bereits veröffentlicht.
  • Diese Schädlingsfamilie ist in der Lage, verschiedene Datentypen von dem Computer des Opfers zu stehlen (sie kann zum Beispiel Screenshots erstellen, Audiodateien und Videos abfangen, Microsoft Office-Dokumente kopieren, die Tastaturbetätigungen aufzeichnen).
  • Die Backdoor kann zudem willkürliche Befehle auf dem Opfercomputer ausführen.
  • Für die Kommunikation verwendet die Backdoor den starken Verschlüsselungsalgorithmus AES-256-CBC.

Vorgeschichte

Im Januar dieses Jahres entdeckten wir bei Kaspersky Lab eine neue Familie von plattformübergreifenden Desktop-Backdoors. Zuerst wurden Schädlingssamples für Linux- und Windows-Systeme entdeckt und nun fanden wir schließlich auch die Version Mokes.A für OS X. Sie ist in C++ unter Verwendung von Qt programmiert, dem plattformübergreifenden Framework zur Entwicklung von Anwendungen, und statisch mit OpenSSL verbunden. Das führt zu einer Dateigröße von etwa 14 MB.

Werfen wir jetzt einmal einen Blick auf das Innere dieses frischen Samples.

„Entpackte“ Backdoor.OSX.Mokes.a

Der Dateiname war „ungepackt“, als er uns in die Hände fiel, doch wir nehmen trotzdem an, dass er in freier Wildbahn gepackt ist, so wie die Variante unter Linux.

Komplexe Backdoor unter OS X entdeckt

Start

Beim Erststart kopiert der Schädling sich in den ersten verfügbaren Ordner aus der folgenden Liste in der hier dargestellten Reihenfolge:

  • $HOME/Library/App Store/storeuserd
  • $HOME/Library/com.apple.spotlight/SpotlightHelper
  • $HOME/Library/Dock/com.apple.dock.cache
  • $HOME/Library/Skype/SkypeHelper
  • $HOME/Library/Dropbox/DropboxCache
  • $HOME/Library/Google/Chrome/nacld
  • $HOME/Library/Firefox/Profiles/profiled

In Übereinstimmung mit seinem Standort erstellt der Schädling eine Datei mit der Erweiterung PLIST, um sich im System nachhaltig festzusetzen:

Komplexe Backdoor unter OS X entdeckt

Daraufhin ist es an der Zeit, eine erste Verbindung mit dem Steuerungsserver des Schädlings unter Verwendung von HTTP über den TCP-Port 80 herzustellen:

Komplexe Backdoor unter OS X entdeckt

Der User-Agent-String ist in der Binärdatei hartcodiert und der Server sendet als Antwort auf diese Heartbeat-Anfrage Content im Format text/html mit einer Größe von 208 Byte. Daraufhin stellt der Schädling unter Verwendung des Chiffrierungsalgorithmus‘ AES-256-CBC eine verschlüsselte Verbindung über den TCP-Port 443 her.

Komplexe Backdoor unter OS X entdeckt

Backdoor-Funktionalität

Die nächste Aufgabe des Schädlings besteht darin, die Backdoor-Funktionalität bereitzustellen:

Komplexe Backdoor unter OS X entdeckt

  • Abfangen von Audio-Aufnahmen
  • Komplexe Backdoor unter OS X entdeckt

  • Überwachung der Wechseldatenträger
  • Komplexe Backdoor unter OS X entdeckt

  • Erstellen eines Screenshots (alle 30 Sek.)
  • Komplexe Backdoor unter OS X entdeckt

  • Scannen des Dateisystems auf der Suche nach Office-Dokumenten (.xls, .xlsx, .doc, .docx)

Komplexe Backdoor unter OS X entdeckt

Ein Cyberverbrecher, der den Steuerungsserver kontrolliert, kann auch eigene Dateifilter festlegen, um das Monitoring des Dateisystems effizienter zu gestalten, und er kann auch willkürliche Befehle auf einem infizierten System ausführen.

Wie auch auf anderen Plattformen erstellt der Schädling im Fall der Nicht-Erreichbarkeit des Steuerungsservers einige temporäre Dateien, die die von ihm gesammelten Daten enthalten.

  • $TMPDIR/ss0-DDMMyy-HHmmss-nnn.sst (Screenshots)
  • $TMPDIR/aa0-DDMMyy-HHmmss-nnn.aat (Audiodateien)
  • $TMPDIR/kk0-DDMMyy-HHmmss-nnn.kkt (Tastaturbetätigungen)
  • $TMPDIR/dd0-DDMMyy-HHmmss-nnn.ddt (willkürliche Daten)

DDMMyy = Datum: 070916 = 07.09.2016
HHmmss = Uhrzeit: 154411 = 15:44:11
nnn = Millisekunden.

Wenn die Umgebungsvariable $TMPDIR nicht definiert ist, so wird „/tmp/“ als Speicherstelle verwendet (http://doc.qt.io/qt-4.8/qdir.html#tempPath).

Hinweise des Autors

Wie schon beim letzten Mal hat der Autor des Schädlings Links auf die entsprechenden Quelldateien hinterlassen:

Komplexe Backdoor unter OS X entdeckt

Erkennung

Die Produkte von Kaspersky Lab detektieren Schädlinge dieses Typs als HEUR:Backdoor.OSX.Mokes.a.

IoCs

Hashs:
664e0a048f61a76145b55d1f1a5714606953d69edccec5228017eb546049dc8c

Dateinamen:
$HOME/LibraryApp Store/storeuserd
$HOME/Library/com.apple.spotlight/SpotlightHelper
$HOME/Library/Dock/com.apple.dock.cache
$HOME/Library/Skype/SkypeHelper
$HOME/Library/Dropbox/DropboxCache
$HOME/Library/Google/Chrome/nacld
$HOME/Library/Firefox/Profiles/profiled
$HOME/Library/LaunchAgents/$filename.plist
$TMPDIR/ss*-$date-$time-$ms.sst
$TMPDIR/aa*-$date-$time-$ms.aat
$TMPDIR/kk*-$date-$time-$ms.kkt
$TMPDIR/dd*-$date-$time-$ms.ddt

Hosts:
158.69.241[.]141
jikenick12and67[.]com
cameforcameand33212[.]com

User Agent:
Mozilla/5.0 (Macintosh; Intel Mac OS X 10_9_3) AppleWebKit/537.75.14 (KHTML, wie Gecko) Version/7.0.3 Safari/7046A194A


Source: DE Securelist info