¡Ja, MaMi! Ny DNS-kapning av skadlig kod från Mac upptäcktes
UPPDATERING: Den 17 januari lade vi till ytterligare information om skadlig programvaras metod för uthållighet och en annan fil som skadades av skadlig programvara, liksom forumanvändarens rapporterade infektionskälla.
Mycket tidigt på morgonen fredagen den 12 januari publicerade Macs säkerhetsforskare Patrick Wardle en rapport om en helt ny Mac-skadlig kod, dubbad OSX / MaMi.
”2018 är knappt två veckor gammal och det verkar redan som om vi har det [a] ny del av macOS-skadlig kod! ” Wardle sa, när han introducerade sin analys av OSX / MaMi.
OMG har vi 1ˢᵗ macOS malware från 2018? och kan jag namnge det !? OSX / MaMi upptäcks inte av AV (src: VT) som infekterar Mac-datorer runt om i världen – installerar ständigt nya rootcertifikat och kapar DNS-inställningar: https://t.co/kkriVSPNC7 ??? ☠️ … mahalo till en bra vän för ping ?
– Objective-See (@objective_see) 12 januari 2018
På torsdag hade en användare av ett datasäkerhetsforum lagt upp en fråga om hjälp med att ta bort skadlig programvara från sin Mac som ett annat verktyg för borttagning av skadlig programvara inte upptäckte.
Det ursprungliga foruminlägget som startade MaMi-utredningen.
Eftersom varken forumvärdarna eller andra forumanvändare hade svarat offentligt bestämde Wardle sig för att utreda.
Intego började också analysera skadlig programvara tidigt på fredag morgon och uppdaterade sina VirusBarrier antivirusdefinitioner för att upptäcka denna nya skadliga programvara som OSX / MaMi.A.
Nedan följer en sammanställning av några intressanta resultat från Intego-forskare, Wardle, Noar (en annan forskare) och Thomas Reed.
Vad gör OSX / MaMi Malware?
Huvudsyftet med skadlig kod är att kapa en användares DNS.
DNS står för domännamnssystem, en teknik som används av nästan alla internetanslutna enheter för att lösa domännamn till deras faktiska IP-adress (Internet Protocol). Om du till exempel skriver “intego.com” i din webbläsare är DNS hur din dator vet var du hittar Integos webbplats.
OSX / MaMi-skadlig programvara försöker kapa offrets DNS-förfrågningar genom att injicera sina egna DNS-servrar i ett infekterat system. Det installerar också en skadlig rotcertifikatmyndighet (root CA) så att säkra HTTPS-förfrågningar också kan kapas av skadlig programvara utan att skrämmande varningar visas i offrets webbläsare.
Kombinationen av kapning av DNS och injicering av en root-CA gör det möjligt för skaparen av skadlig programvara att engagera sig i “man-i-mitten” (MitM) -attacker mot ett offer. En angripare kan eventuellt göra saker som att spionera på allt som ett offer gör online, se alla bitar av data som skrivs in i “säkra” webbformulär och injicera skadlig kod eller annonser på vilken webbsida som helst (även om sidan använder HTTPS).
Även om analysen av skadlig programvara hittills inte visat något utnyttjande av följande funktioner, verkar skadlig programvara också ha förmågan (eller åtminstone ofullständiga försök att lägga till kapaciteten) för att utföra AppleScript-kod, simulera musklick och ta skärmdumpar. Det verkar också innehålla kod för att installera en metod för uthållighet som kallas LaunchAgent (se vår senaste intervju med Amit Server om OSX / Pirrit för mer om LaunchAgents), men hittills har vi inte observerat att en LaunchAgent installerats av OSX / MaMi.
UPPDATERING: På forumanvändarens dator installerades skadlig programvara som en LaunchDaemon – liknar en LaunchAgent – med filvägen /Library/LaunchDaemons/Cyclonica.plist (notera att filnamnet kan skilja sig från andra infekterade system, men en unik sak om filnamn är att den inte följer standardkonventionen omvänd domännotering som diskuterades i ovannämnda intervju med Serper om Pirrit). Denna LaunchDaemon-plistfil refererar till en skadlig fil som laddas ner till användarens hemkatalog, i det här fallet ~ / Library / Application Support / Cyclonica / Cyclonica (igen, mapp- och filnamnen kan skilja sig åt på andra infekterade system, men kommer troligen att matcha namnet av LaunchDaemon-plistfilen). Tack till Thomas Reed för att samarbeta med forumanvändaren för att få denna information.
Varför “MaMi”?
Wardle, den första forskaren som skrev upp en rapport om skadlig kod, kallade den OSX / MaMi, så Intego har antagit namnet. Även om flera antivirusleverantörer kallar det ”OSX / DNSChanger”, håller vi med Wardle om att det är bra att skilja mellan MaMi (som är ny skadlig kod) och annan DNS-modifierande skadlig kod som redan har kallats DNSChanger tidigare.
Bra: upptäckt för OSX / MaMi gick från 0/59 till 26/59 på VirusTotal: https://t.co/JXSs0iRngo Dåligt: flera AV-enheter som kallar det ‘OSX / DNSChanger’ … vilken IMHO är dum eftersom det finns en icke-relaterad Mac skadlig kod från 2012, * redan * kallade detta (har till och med en wikipedia: https://t.co/VHetpnH811)? pic.twitter.com/Aiq4EbiAy3
– Patrick Wardle (@patrickwardle) 15 januari 2018
Namnet “MaMi” visas i textsträngar i skadlig programvara (mami_activity, loadMaMiAtPath, unloadMaMiAtPath, removeMaMiAtPath, initMaMiSettings, SBMaMiSettings, SBMaMiManager, etc.).
Mami är en israelisk term för kärlek, vilket betyder något som liknar sötnos eller honung; till exempel kan en mamma kalla sitt barn med det namnet. Vi förklarar Israel-anslutningen nedan.
(För övrigt har “mami” flera betydelser i olika kulturer. I likhet med det israeliska ordet är det också ett spanskt ord som kan vara ett uttryck för kärlek i vissa sammanhang; det kan också betyda mamma, vacker kvinna eller ung flicka med vilken talaren är bekant. Mami är också ett kvinnligt förnamn på japanska som betyder “riktig skönhet” och det är också namnet på en nudelsoppa på Filippinerna.)
Hur skadlig programvara sprider sig
För närvarande är det inte känt exakt hur den ursprungliga forumanvändaren smittades. Men flera webbplatser är för närvarande värd för kopior av skadlig programvara, så en möjlighet är att OSX / MaMi kan vara en sekundär infektion installerad av annan skadlig kod som redan är installerad på ett offrets system.
UPPDATERING: Forumanvändaren rapporterade senare att hans kollegas dator blev infekterad efter att ha klickat i ett popup-fönster i webbläsaren: “… det här var en halt överföringsmetod. En popup dyker upp som hon klickade på och följde med. ” Tack till Thomas Reed för att samarbeta med forumanvändaren för att få denna information.
Hur man vet om din Mac är infekterad
VARNING: Försök inte ansluta till domännamnen eller IP-adresserna nedan. detta kan leda till infektion!
De mest uppenbara indikatorerna för kompromiss (IoCs) är att en infekterad dator kommer att ha följande IP-adresser som DNS-servrar: 82.163.143․135 och 82.163.142․137.
Det finns ett antal metoder för att kontrollera vilka DNS-servrar din Mac använder.
Om du använder en kabelansluten Ethernet-anslutning, klicka på Apple-menyn och välj Systeminställningar …, klicka sedan på Nätverk och klicka sedan på (om den inte redan är markerad) på Ethernet (eller Thunderbolt Ethernet) i den vänstra rutan. I den högra rutan ser du en “DNS-server:” -rad som kan innehålla en eller flera DNS-IP-adresser. Om du ser en eller båda IP-adresserna ovan börjar med “82.163.” då har din Mac infekterats.
MaMi DNS-servrar på Ethernet. Bildkredit: Wardle
Om du använder ett trådlöst nätverk kan du kopiera och klistra in följande i Terminal-appen på din Mac:
networksetup -getdnsservers Wi-Fi
Om du ser en av IP-adresserna ovan börjar med “82.163.” då har din Mac infekterats. (Oftast ser du meddelandet “Det finns inga DNS-servrar inställda på Wi-Fi”, eller om du tidigare har lagt till DNS-servrar ser du dem listade.)
En annan indikator på kompromiss är närvaron av en root-CA för domän cloudguard (.) Mig; Du kan söka efter ordet cloudguard i Keychain Access-appen på din Mac, och om det visas i resultaten har din Mac infekterats.
Root CA installerat av OSX / MaMi. Bildkredit: Wardle
Nyckelringåtkomst- och terminalapparna finns båda i / Program / Verktyg i din Macintosh HD.
Skadlig kod kan också släppa filer i / Library / LaunchDaemons och ~ / Library / Application Support, som tidigare nämnts.
Delanvisningar för manuell borttagning av DNS-servrar och root CA från en Mac finns i Wardles artikel; Det kan dock vara otillräckligt att försöka rengöra ett system manuellt, eftersom forumanvändaren som ursprungligen rapporterade skadlig programvara sa att efter manuell borttagning av DNS-servrarna blev de installerade igen.
Vi rekommenderar starkt att du skannar ditt system med Intego VirusBarrier för att leta efter bestående infektioner.
Nätverksadministratörer kan hitta potentiellt infekterade system i sitt nätverk genom att leta efter försök att kontakta följande domäner på port 80:
- squartera (.) info
- gorensin (.) info
- hon Council (.) info
- sincentre (.) info
- respectens (.) info
- angeing (.) info
- slutlig (.) info
- humps (.) info
- lilovakia (.) info
- åtkomlig (.) info – inte känd för att användas av malwarevarianter som vi har sett, men tydligen registrerade av en av samma personer samma datum
Hur länge har skadlig programvara funnits?
Det tidigast kända urvalet av OSX / MaMi som vi hittills hittat laddades först upp till VirusTotal den 15 november 2017. Ett annat prov laddades ursprungligen upp till VirusTotal den 18 december 2017. Provet analyserades av Wardle, som fortfarande distribueras via många domäner, laddades ursprungligen upp till VirusTotal den 8 januari 2018, och det verkar vara en nyare version.
Även om denna Mac-malware inte verkar ha varit i naturen så länge har Windows-versioner av malware observerats i naturen ända tillbaka till 2015, som beskrivs nedan.
Relaterad Windows Malware
En annan Mac-forskare, Noar (@noarfromspace), upprättade en anslutning mellan OSX / MaMi och DNSUnlocker – mycket liknande skadlig kod som hittades på Windows-system i augusti 2015.
@noarfromspace grävde upp: https://t.co/AK33MDzv16 Diskuterar Windows malware ‘DNSUnlocker’ som kapar DNS-inställningar och installerar samma cert som OSX / MaMi. Gissa att OSX / MaMi är en (helt omskriven?)? -Version, med extra macOS-specifik ondska … Observera också: CloudGuard ?? pic.twitter.com/rGjQn5L0ir
– Objective-See (@objective_see) 12 januari 2018
Både OSX / MaMi och DNSUnlocker skickar DNS-förfrågningar till IP-adresser som ägs av GreenTeam Internet, ett företag baserat i Tel Aviv, Israel som hävdar att de erbjuder internetsäkerhetstjänster, ”från säkert internet för barn och familjer, till skadlig kod och nätfiske för företag. ”
Det är tillräckligt intressant, men ännu mer talande är att OSX / MaMi och DNSUnlocker installerar exakt samma root CA (som utfärdas till GreenTeam Internet). Certifikatet genererades i juli 2014 och har ett utgångsdatum i juli 2044.
Vem ligger bakom skadlig programvara?
Flera domäner som det hänvisas till inom skadlig programvara är registrerade hos en Anton Vodonaev, som förment ligger i Ukraina och vars e-postadresser innehåller namnet ”prolone” (möjligen en hänvisning till steroidläkemedlet med det namnet).
Flera domäner som är värd för det binära skadeprogrammet är registrerade på en Vladislav Kakoshin på en annan postadress och postnummer i Ukraina.
Naturligtvis är det helt möjligt att dessa namn kan vara pseudonymer och att individen eller individerna kanske inte är i Ukraina.
Alla domäner som registrerats för dessa namn registrerades den 30 maj 2017 genom samma domännamnsregistrator.
Det är oklart vilken, om någon, direkt koppling de påstådda ukrainska individerna kan ha med GreenTeam Internet i Israel.
Intego VirusBarrier X9-användare skyddas
Intego VirusBarrier med uppdaterade virusdefinitioner kommer att upptäcka detta skadliga program som OSX / MaMi.A.
Vi rekommenderar Mac Premium Bundle X9, som inkluderar VirusBarrier, för det mest omfattande kommersiella skyddet mot skadlig kod och verktyget som finns tillgängligt för Mac.
Prenumerera på fler Mac-säkerhetsnyheter
Vi kommer att prata om OSX / MaMi i veckans upplaga av Intego Mac Podcast; prenumerera i iTunes / Podcasts för att se till att du får det senaste avsnittet på onsdag.
Var noga med att prenumerera på Mac-säkerhetsbloggen, den Intego Mac Podcastoch Integos YouTube-kanal för att se till att du inte saknar några viktiga nyheter!
Mannen i mitten diagram bild kredit: Nasanbuyn och Apple; modifierad av Joshua Long.
Om Joshua Long
Joshua Long (@theJoshMeister), Integos Chief Security Analyst, är en känd säkerhetsforskare, författare och talare. Josh har en magisterexamen i IT-koncentration inom Internetsäkerhet och har tagit doktorsexamen i informationssäkerhet. Apple har offentligt erkänt Josh för att ha upptäckt en sårbarhet för Apple ID-autentisering. Josh har genomfört cybersäkerhetsforskning i mer än 20 år, som ofta har presenterats av stora nyhetsbutiker världen över. Leta efter fler av Joshs artiklar på security.thejoshmeister.com och följ honom på Twitter. Visa alla inlägg av Joshua Long → Det här inlägget postades i Malware och taggades DNSChanger, malware, OSX / MaMi. Bokmärk permalänken.