完整技术分析报告参见：https://labs.sentinelone.com/fade-dead-adventures-in-reversing-malicious-run-only-applescripts/

父足本的要紧角色是将嵌入的AppleScript用"do shell script"命令写入到~/Library/k.plist 中，DDoS防御，并执行。此外，还会检查机器是否有脚够的空暇空间，假如空暇空间不脚就退出。

Sentinel One发觉，最近的OSAMiner攻击活动中使用了3个run-only AppleScript文件来在感染的macOS 机器上部署挖矿活动。

逆向run-only AppleScript

研究人员分析发觉主足本还会设置驻留代理，从公网页面URL处下载挖矿机的第一时期。

这是第三个run-only AppleScript，会下载到~/Library/11.PNG中。其目的是下载开源的门罗币XMR-Stak挖矿机，其能够运行在Linux、Windows和macOS平台上。

概述

本文翻译自：https://www.bleepingcomputer.com/news/security/mac-malware-uses-run-only-applescripts-to-evade-analysis/如若转载，请注明原文地址。

绕过行为

Sentinel One最后来证明了该技术还不够成熟，研究人员仍然能够对其举行分析，并提出对应的防护手段。

AppleScript 文件包括源码和编译的代码，然而启用了"run-only"后就惟独编译后的版本了，不再有人类可读的源代码，使得逆向分析几乎不会。

尽管AppleScript足本融入了很多强大的特征，OSAMiner的作者目前还没有利用这些特征。这大概算是为啥当前设置能够运行加密货币挖矿活动而没有被检测到的缘由。

近日，研究人员发觉一起攻击macOS用户的加密货币挖矿攻击活动，其中使用的恶意软件通过复杂的进化给研究人员的分析工作带来了特别大的艰难和挑战。该恶意软件名为OSAMiner，CC防御，最早浮上于2015年。因为payload被导出为run-only AppleScript文件了，使得反编译为源码很艰难，所以导致整个分析工作很难。近期，研究人员发觉的一具变种将run-only AppleScript文件嵌入到了另一具足本中，并使用公网的web页面URL来下载真实的门罗币挖矿机。

OSAMiner要紧经过游戏和软件的盗版版本举行传播，其中包括英雄联盟和office macOS版本。

设置足本包括矿池地址、密码和其他配置信息，然而不含钞票包地址。此外，恶意软件还使用"caffeinate"工具预防机器进入休眠模式。

第二个足本的作用是预防分析和绕过检测。支持kill Activity Monitor (活动监视器)的结论，活动监视器类似Windows中的任务治理器，DDoS防御，kill活动监视器的目的是预防用户检查系统的资源使用。

Sentinel One安全研究人员在2020年底发觉了一具新的OSAMiner样本，尽管分析过程很艰苦。然而研究人员利用AppleScript disassembler(https://github.com/Jinmo/applescript-disassembler)和内部开辟的反编译工具aevt_decompile对其恶意软件样本举行了逆向分析。

· 一具嵌入的足本;

绕过检测

此外，防DDoS，足本会kill掉系统一具硬编码列表上监控和清理的主流工具进程。

研究人员发觉其中一具页面还能够访咨询(https://www[.]emoneyspace[.]com/wodaywo)，恶意软件会分析指向一具PNG图像的页面源码的链接。

其他任务包括收集设备的序列号、重启复杂加载和卸载daemon或代理、kill terminal应用。

· 挖矿机设置AppleScript

· 一具从木马化的应用执行的父足本;

当前位置：主页 > CC防护 > mac恶意软件使用rCC防御un-only AppleScripts绕过检测