我们在博客上OSX.后门.埃莉诺上周刚不久发觉的恶意软件。翌日，ESET宣布了一具新的、无关的恶意软件，这在Mac世界中是罕见的：OSX.Keydnap.有味的是，那个恶意软件大概在某种程度上与一些闻名的Windows银行恶意软件有关。Keydnap恶意软件安装经过一具新的扭曲旧主题。"dropper"（安装恶意软件的程序）以无害文档的形式浮上。人们发觉了很多不同的形式，伪装成microsoftword文件、JPEG图像和纯文本文件。恶意软件有特别多种不同的方式来实现这一点，然而Keydnap使用了一种新的技巧：它在文件名的扩展名后面加一具空格。例如，一具名为"的图像文件"徽标.jpg"实际命名为"徽标.jpg"，结尾有空格。原来空间特别重要。它阻挠macosx将".jpg"视为文件扩展名，所以它以为该文件实际上不是JPEG。由于文件实际上是一具Mach-O可执行文件，双击它将在终端中运行它，而不是像用户期望的那么打开一具JPEG文件。一旦执行，dropper将安装一具启动代理，DDoS防御，以使名为icloudsyncd的恶意进程始终运行。它还将下载并打开某种诱饵文件，该文件旨在匹配dropper文件所伪装的内容。最终，它会退出终端来掩盖它曾经打开过。这种事情发生得很快，并且诱饵正在被打开，CC防御，所以用户甚至大概没有注意到终端是打开的。接着，icloudsyncd进程经过洋葱地址。它能够接收各种指令，DDoS高防，就像任何后门一样，但有一具有味的例外：它将尝试从keychain猎取密码，使用概念验证Keychaindump，并将其传输回服务器。这意味着受感染的机器大概会将存储在钥匙链中的所有密码泄露给恶意软件背后的罪犯。幸运的是，那个恶意软件有一具特别重要的障碍，即网守。默认事情下，MacOSX将不允许这些恶意的dropper应用程序运行，因为它们没有使用有效的Apple开辟者ID证书举行签名。此外，即使用户真的关闭了网关守卫，他们也会看到一条警告，指出该文件是从internet下载的应用程序。当你试图打开一具JPEG文件时，看到那个应该是一具要紧的惊险信号。固然，特别多人不大概读到如此的警告，只需点击"打开"按钮就能够让它消逝。总之，这与过去浮上的其他Mac恶意软件并没有啥不同，不过密钥链数据被盗。与Windows恶意软件的连接如前所述，Keydnap此刻的要紧目的也许是从受感染主机猎取凭据。有味的是，在我们分析Keydnap的一具变体时，我们观看到恶意软件从一具服务器下载了它的有效负载，该服务器往常与流行的Windows恶意软件Fareit/Pony有关。类似OSX.Keydnap，Fareit的要紧功能之一是从受损主机猎取凭据。OSX.Keydnap有效载荷下载主持人：[点]comIP地址：208.109.181.53利用VirusTotal查看与上述IP地址通信的已知恶意软件会产生多种Windows恶意软件，包括Fareit的几个变体：Fareit的那个特殊变体于2016年2月初公布，它与一具类似名称的域通信OSX.Keydnap服务器和托管在同一IP地址：虽然这样，dnap和keyap之间的关系也许并不相同。尽管人们常常以为Mac恶意软件与Windows恶意软件彻底分离，但这并不总是正确的。像Keydnap如此的Mac恶意软件在实现上大概相当简单，防DDoS，但必须记住，此类恶意软件背后的人员和基础设施大概并不这么简单。（谢谢Malwarebytes的亚当·托马斯的分析。）

当前位置：主页 > CC防护 > 服务器的DDoS高防安全防护