研究者在HackingTeam上发现了新开发的Mac恶意软件,这项发现促使了投机活动。自从去年七月以来,这款臭名昭著的恶意软件造成了数Gbytes集团私人邮件和源代码的流出,如今这款软件作者再次出现在公众视野中。
大量泄漏的资料揭露了Hacking Team在混乱中最私人的时刻。公司的CEO上个月开玩笑道:想象一下,解释地球上最邪恶的技术。
二月四日,样品上传到了谷歌所属的VirusTotal扫描服务器,而此时它并没有受任何主要反病毒程序检测。在本周星期一的报告中,检测到了56个中的10个音视频服务。SentinelOne安全研究员Pedro Vilaça在周一早上发布了技术分析,安装程序最后在十月或是十一月更新,嵌入式加密密钥在十一月十六日更新,也就是HackingTeam入侵的三个月之后。样品安装了一份HackingTeam的签名远程代码系统入侵平台,这使得Vilaça得到一种结论,尽管集团承诺在七月份回归新代码,设备配置的复原大部分依赖于一般的源代码。
Vilaça 写到:HackingTeam依旧十分活跃,正如电子邮件泄露事件,我们依然无济于事。如果你对OS X恶意软件反向工程不了解,那它是一个很好的练习样品。我最关心的问题已有了答案,其他的事情我便不再感兴趣。泄露事件之后我不会再记得这些人了。
Synack的Mac安全专家Patrick Wardle 测试样本 后表明,安装一个新版 HackingTeam,需要一些先进技术躲避检测分析。举例来说,用苹果本地加密计划保护二进制文件的目录,让其成为Wardle曾经做过的恶意植入安装程序。然而Wardle不能破解加密,因为苹果使用了一种静态硬编码密钥——通过这些文字防御努力守护,请不要窃取AppleC——这是逆向工程专家长久以来众所周知的事。即便如此,他还是发现安装程序被数字包封束缚。这也限制了他想进行的不同种逆向工程以及分析。
样品仍然遗留许多未解决的问题。例如,恶意软件的安装仍不明确。有一种可能是欺骗目标安装良性应用程序文件。另一种可能是执行安装时被秘密捆绑。想知道Mac是否被感染的人们会检查~/Library/Preferences/8pHbqThW/目录中名为 Bs-V7qIU.cYL的文档。
Vilaça说他不能确凿地肯定新样品是HackingTeam的成果。自从七月,包括Remote Code Systems源代码在内的400G数据被攻破以来,其他人或者集团也有可能重新编译代码并发布到新型安装程序中。然而Vilaça 说 Shodan调查中心的证据 和 VirusTotal的IP地址扫描 表明,样品中提到的指令和控制服务器在一月份又活跃起来。也就是说新型恶意软件不仅仅是单纯的骗局。
*参考来源: arstechnica ,FB小编极客小默编译,转载请注明来自FreeBuf黑客与极客(FreeBuf.COM)