主页 > CC防护 > mac恶意软件使用rCC防御un-only AppleScripts绕过检测
完整技术分析报告参见:https://labs.sentinelone.com/fade-dead-adventures-in-reversing-malicious-run-only-applescripts/
父足本的要紧角色是将嵌入的AppleScript用"do shell script"命令写入到~/Library/k.plist 中,DDoS防御,并执行。此外,还会检查机器是否有脚够的空暇空间,假如空暇空间不脚就退出。
Sentinel One发觉,最近的OSAMiner攻击活动中使用了3个run-only AppleScript文件来在感染的macOS 机器上部署挖矿活动。
逆向run-only AppleScript
研究人员分析发觉主足本还会设置驻留代理,从公网页面URL处下载挖矿机的第一时期。
这是第三个run-only AppleScript,会下载到~/Library/11.PNG中。其目的是下载开源的门罗币XMR-Stak挖矿机,其能够运行在Linux、Windows和macOS平台上。
概述
本文翻译自:https://www.bleepingcomputer.com/news/security/mac-malware-uses-run-only-applescripts-to-evade-analysis/如若转载,请注明原文地址。
绕过行为
Sentinel One最后来证明了该技术还不够成熟,研究人员仍然能够对其举行分析,并提出对应的防护手段。
AppleScript 文件包括源码和编译的代码,然而启用了"run-only"后就惟独编译后的版本了,不再有人类可读的源代码,使得逆向分析几乎不会。
尽管AppleScript足本融入了很多强大的特征,OSAMiner的作者目前还没有利用这些特征。这大概算是为啥当前设置能够运行加密货币挖矿活动而没有被检测到的缘由。
近日,研究人员发觉一起攻击macOS用户的加密货币挖矿攻击活动,其中使用的恶意软件通过复杂的进化给研究人员的分析工作带来了特别大的艰难和挑战。该恶意软件名为OSAMiner,CC防御,最早浮上于2015年。因为payload被导出为run-only AppleScript文件了,使得反编译为源码很艰难,所以导致整个分析工作很难。近期,研究人员发觉的一具变种将run-only AppleScript文件嵌入到了另一具足本中,并使用公网的web页面URL来下载真实的门罗币挖矿机。
OSAMiner要紧经过游戏和软件的盗版版本举行传播,其中包括英雄联盟和office macOS版本。
设置足本包括矿池地址、密码和其他配置信息,然而不含钞票包地址。此外,恶意软件还使用"caffeinate"工具预防机器进入休眠模式。
第二个足本的作用是预防分析和绕过检测。支持kill Activity Monitor (活动监视器)的结论,活动监视器类似Windows中的任务治理器,DDoS防御,kill活动监视器的目的是预防用户检查系统的资源使用。
Sentinel One安全研究人员在2020年底发觉了一具新的OSAMiner样本,尽管分析过程很艰苦。然而研究人员利用AppleScript disassembler(https://github.com/Jinmo/applescript-disassembler)和内部开辟的反编译工具aevt_decompile对其恶意软件样本举行了逆向分析。
· 一具嵌入的足本;
绕过检测
此外,防DDoS,足本会kill掉系统一具硬编码列表上监控和清理的主流工具进程。
研究人员发觉其中一具页面还能够访咨询(https://www[.]emoneyspace[.]com/wodaywo),恶意软件会分析指向一具PNG图像的页面源码的链接。
其他任务包括收集设备的序列号、重启复杂加载和卸载daemon或代理、kill terminal应用。
· 挖矿机设置AppleScript
· 一具从木马化的应用执行的父足本;
- 2020-04-13疫情当下,更要守DDoS防御
- 2020-04-14定义2020年的防DDoS五种网络
- 2020-04-14攻击者利用过期安CC防御全
- 2020-04-14Gitee遭受DDoS攻击,官方C
- 2020-04-18掌握Linux防火墙经典DDoS防
- 2020-04-22专治各种套路,《App违法
- 2020-04-25NSA披露Web Shell漏洞列防D
- 2020-04-25Facebook因信息泄露遭集体
- 2020-04-26带你认识Python中黑客爱慕
- 2020-05-11规划BYOD安全策DDoS高防略的
- 2020-07-02自动化能否“杀DDoS防御死
- 2020-07-14警惕带有“adobe pdDDoS防御
- 2020-12-18医学不同方向夫妻一具月
- 2020-12-23Sierra Nevada公司加入洛克希
- 2020-12-23Mac广告软件常DDoS高防见咨
- 2021-01-14服务器加DDoS高防谨防价格
- 2021-01-14南京纸牌DDoS防御谨防
- 2021-01-14ddos能防DDoS防御止吗
- 2021-01-18服务器防流量攻击_简析
- 2021-01-18高级谨防cdn_如何谨防_怎么
- 2021-01-18美国高防_防止_网站被流量
- 2021-01-18服务器被攻击咋办_最好的
- 2021-01-18网站云安全防护_有效的
- 2021-01-18网站安全谨防系统_当_国外
- 2021-01-18攻击谨防_如何处理_网站被
- 2021-01-18游戏平台谨防_如何办_网站
- 2021-01-18游戏服务防cdn_排名靠前的
- 2021-01-19网络游戏高防_公司_东莞高
- 2021-01-19服务器防止ddos_如何防止
- 2021-01-19防cc策略_能不能_四川纸牌