本文探索揭示了針對macOS系統(tǒng)的惡意工具EvilOSX的內(nèi)部機制和流量特征。通過專業(yè)分析其加密通信和木馬活動的各個過程，說明了EvilOSX這類安全威脅的運行機制，旨在幫助組織的網(wǎng)絡安全專業(yè)人員充分識別和防范這類高級威脅。

01工具簡介

EvilOSX是一款開源的，由python編寫專門為macOS系統(tǒng)設計的C2工具，該工具可以利用自身釋放的木馬來實現(xiàn)一系列集成功能，如鍵盤記錄、文件捕獲、瀏覽器歷史記錄爬取、截屏等。EvilOSX主要使用HTTP協(xié)議進行通信，通信內(nèi)容為特定格式的數(shù)據(jù)經(jīng)由base64加密后傳輸。為了規(guī)避檢測，EvilOSX的通信響應信息均為404 Not Found頁面。

02衍生木馬分析

在/data/builds目錄下會生成指定腳本類型的文件，其中主要部分是一段base64編碼形式的payload。主要分析生成的python加載器--Launcher-238346.py

a、加載器中攜帶了一段base64加密的python腳本（Connectivity mode.txt），腳本通過python執(zhí)行這段加密數(shù)據(jù)后，又通過rm -rf  __file__來清除當前目錄下的所有py腳本

圖片

b、Connectivity mode.txt中定義了請求頭中User-Agent和cookie的形式，其中cookie由兩段關鍵數(shù)據(jù)組成：由受控端計算機用戶名和mac地址組成的16進制數(shù)作為session；而后通過“-”連接的一段base64數(shù)據(jù)，解密后是一些服務端和受控端的信息。并且該腳本還定義了當響應碼為404時，使用base64解密響應體中DEBUG: base64 =DEBUG--> 其中的base64數(shù)據(jù)。

圖片

c、將受控端與服務端連接時的流量捕獲，解密其中的DEBUG數(shù)據(jù)，可以獲取又一段python腳本（CONNECT.py），這段腳本會在macOS上注冊一個Launch Agent,并經(jīng)過base64編碼寫入本地。然后這段payload會在系統(tǒng)啟動時被Launch Agent執(zhí)行。其中payload的路徑默認為當前用戶主目錄，默認命名為arLPrVu，Launch Agent文件默認文件名為” com.apple.teuAwWo”

圖片

d、arLPrVu的內(nèi)容為一段openssl aes-256-cbc加密的密文，密鑰就是之前session中攜帶的16進制字符串，手動運行后，木馬會正式與服務端進行聯(lián)通。

圖片

03流量分析

EvilOSX從植入程序到數(shù)據(jù)交互可以通過如下流程圖來描述：

圖片

以下為過程流量分析和解讀：

連接時

圖片

客戶端向服務端發(fā)送get請求后，

請求頭cookie與原始木馬中base64密文解密后的形式一致。

圖片

圖片

服務端返回404并在http_server_body部分攜帶base64數(shù)據(jù)。

圖片

數(shù)據(jù)的開頭結(jié)尾是以DEBUG: base64形式 =DEBUG--> 存在

而404中攜帶的數(shù)據(jù)，解碼后含義是通過get_uid函數(shù)獲取當前計算機用戶名和唯一標識符拼接后轉(zhuǎn)化為16進制數(shù)據(jù)，用于下一段中使用openssl命令對一段加密的代碼進行解密，并通過exec()函數(shù)執(zhí)行。

命令執(zhí)行時

當靶機上的原始木馬文件執(zhí)行后會在同級目錄下留下一個arLPrVu命名的py腳本文件。回連服務器還需要在手動執(zhí)行它

測試全部module和部分常見shell命令（ifconfig、ls -l）

會發(fā)現(xiàn)存在明顯特征，以執(zhí)行CVE-2020-3950模塊時為例

圖片

圖片

在POST請求體中，username后接著base64數(shù)據(jù)

圖片

解密后，就是使用的模塊名，經(jīng)過測試除了shell命令執(zhí)行和模塊啟用失敗時，均可在流量中發(fā)現(xiàn)這一特征。并且響應碼一定是404。

這一段在木馬中也有體現(xiàn)

圖片

觀成瞰云（ENS）-加密威脅智能檢測系統(tǒng)能夠?qū)vilOSX工具產(chǎn)生的HTTP流量進行檢測。

圖片

04  總結(jié)

在利用EvilOSX-C2工具的過程中，會優(yōu)先上傳其釋放的木馬文件，該文件具有特殊格式，之后通信過程中會利用404頁面隱藏真實響應，但是基于人工智能、流行為特征和TLS限定域指紋檢測的加密威脅智能檢測系統(tǒng)能夠檢測此類加密通信行為。如今越來越多的攻擊者利用具體加密通信功能C2工具，以增強攻擊的隱蔽性。觀成科技安全研究團隊一直在持續(xù)追蹤這些C2工具的最新動態(tài)，并積極進行研究和更新，以提高對加密流量的檢測技術(shù)。