回顧2020年，我們看到了macOS攻擊者策略發(fā)生了許多改變。這些措施包括轉(zhuǎn)換為Shell腳本，使用Rust和Go等替代編程語(yǔ)言，在Electron應(yīng)用程序中打包惡意軟件，以及通過(guò)隱寫術(shù)擊敗Apple的公證安全檢查。這些技術(shù)中的許多已經(jīng)利用了新的或最近的變化或發(fā)展，但是我們卻在macOS 10.15及更高版本上觀察到的一種卻采取了相反的技術(shù)策略，并利用了Mac OS 9以來(lái)一直存在的舊技術(shù)，以隱藏用戶和文件掃描工具上的惡意軟件載荷。

在本文中，我們將研究一個(gè)看起來(lái)像Bundlore廣告軟件的新變體如何將其有效載荷隱藏在一個(gè)命名資源派生中。蘋果機(jī)系統(tǒng)使用一種叫做資源派生”(Resource Fork)的技術(shù)記錄文件的相關(guān)信息，比如文件圖標(biāo)等。

惡意軟件傳播

可以在提供流行軟件“免費(fèi)”版本的站點(diǎn)上隨意可見(jiàn)該惡意軟件，在本文的示例中，我們發(fā)現(xiàn)該惡意軟件由名為“mysoftwarefree”的網(wǎng)站傳播，它會(huì)向用戶保證免費(fèi)提供Office 365副本。

指示用戶刪除任何當(dāng)前安裝的Office，從Microsoft下載合法的免費(fèi)試用版，然后從惡意網(wǎng)站上的按鈕下載“所需文件”，以獲取“完整版Office 365 ProPlus，而無(wú)需限制”。

一旦用戶上鉤，一個(gè)名為“dmg”的文件就會(huì)下載到用戶的設(shè)備上。

命名資源派生的擴(kuò)展屬性

在安裝的磁盤映像中，事情遠(yuǎn)非惡意軟件站點(diǎn)承諾的那樣。沒(méi)有MS Office的副本，但看起來(lái)很像典型的“ Bundlore / Shlayer”滴管。

與這些磁盤圖像一樣，圖形化的說(shuō)明可以幫助用戶繞過(guò)Gatekeeper和Notarization提供的內(nèi)置macOS安全檢查。在macOS Catalina上，此繞過(guò)操作不會(huì)阻止XProtect在執(zhí)行時(shí)掃描代碼，但是XProtect目前不知道此特定代碼。

如果我們?nèi)ソK端查看一下磁盤映像上的內(nèi)容，令人驚訝的是看起來(lái)好像不多。

但是請(qǐng)注意，權(quán)限列表上的@是微小的203字節(jié)Install.command文件的權(quán)限。這表示該文件具有一些擴(kuò)展屬性，這就是使事情變得有趣的地方。

我們可以使用xattr -l列出擴(kuò)展屬性，似乎有一個(gè)com.apple.ResourceFork屬性，至少在開(kāi)始時(shí)看起來(lái)像一個(gè)圖標(biāo)文件，這并不罕見(jiàn)，像這樣的資源派生在歷史上曾經(jīng)被用來(lái)存儲(chǔ)諸如縮略圖之類的東西。

但是，此資源派生很大。如果我們向下滾動(dòng)到底部，我們將看到大約141744字節(jié)的添加數(shù)據(jù)。

更具說(shuō)服力的是，如果我們檢查Install.command文件本身，我們將看到它是一個(gè)簡(jiǎn)單的shell腳本，它暴露了資源派生中真正包含的內(nèi)容。

從偏移量9092開(kāi)始，腳本通過(guò)密碼為“oZwb”的funzip實(shí)用程序?qū)ε缮械臄?shù)據(jù)進(jìn)行管道傳輸，以解密數(shù)據(jù)，并將其放入帶有前綴為“Installer”的隨機(jī)名稱的Darwin用戶TMPDIR中。

該文件原來(lái)是具有43b9157a4ad42da1692cfb5b571598fcde775c7d1f9c7d56e6d6c13da5b35537的SHA256的Mach-O。

快速查看VirusTotal可以發(fā)現(xiàn)SentinelOne的靜態(tài)AI (DFI)引擎將其識(shí)別為惡意文件，并被某些供應(yīng)商標(biāo)記為Bundlore變體。

那么什么是資源派生，攻擊者為什么要使用它呢?

資源派生是一種命名派生，一種用于存儲(chǔ)結(jié)構(gòu)化數(shù)據(jù)(如圖像縮略圖，窗口數(shù)據(jù)甚至代碼)的舊文件系統(tǒng)技術(shù)。資源派生不是將信息存儲(chǔ)在特定偏移量的一系列字節(jié)中，而是將數(shù)據(jù)保留在結(jié)構(gòu)化記錄中，類似于數(shù)據(jù)庫(kù)。有趣的是，資源派生的大小限制沒(méi)有超出文件系統(tǒng)本身的大小，正如我們?cè)诒疚乃吹降?，派生不可?jiàn)直接在Finder或終端，除非我們列表文件的擴(kuò)展屬性通過(guò)ls -l@或xattr - l。

使用資源派生來(lái)隱藏惡意軟件是我們以前從未見(jiàn)過(guò)的一種非常新奇的技術(shù)，但對(duì)它的研究還不是很深入，即參與者使用這種技術(shù)的目的是什么。盡管通過(guò)這種方式壓縮二進(jìn)制文件對(duì)查找器和終端都是隱藏的，但正如我們所看到的，只要閱讀Install.command shell腳本，任何人都可以很容易地找到它。

然而，許多傳統(tǒng)的文件掃描器不會(huì)采用這種技術(shù)。其他Bundlore變體在磁盤映像容器和應(yīng)用程序包中使用了加密文本文件，但掃描器可以很快學(xué)會(huì)找到這些文件。使此類文件泄漏的原因之一是混淆或加密的代碼(通常為base64)的長(zhǎng)度過(guò)長(zhǎng)，這對(duì)于合法軟件而言是異常的。

通過(guò)將加密和壓縮的文件隱藏在命名的資源派生中，攻擊者很顯然是希望避開(kāi)某些類型的掃描引擎。盡管此示例沒(méi)有經(jīng)過(guò)代碼簽名，因此也沒(méi)有經(jīng)過(guò)Apple的公證檢查，但鑒于最近Bundlore變體使用的隱匿術(shù)竅門確實(shí)繞過(guò)了Apple的自動(dòng)檢查，這仍然是一個(gè)公開(kāi)漏洞。

總結(jié)

將惡意軟件隱藏在文件的資源派生中只是macOS惡意軟件開(kāi)發(fā)者用來(lái)嘗試逃避防御工具的最新技巧。盡管它不是特別復(fù)雜且易于手動(dòng)發(fā)現(xiàn)，但它是逃避動(dòng)態(tài)和靜態(tài)AI檢測(cè)引擎不支持的某些工具，也確實(shí)是一個(gè)很隱蔽的方法。

樣本哈希

本文翻譯自：https://labs.sentinelone.com/resourceful-macos-malware-hides-in-named-fork/