执行摘要
AdLoad 恶意软件在 2017 年首次出现多年后,仍在感染 Mac 系统。AdLoad 是一个软件包捆绑器,据观察,它在其存在期间提供了广泛的有效负载。AT&T Alien Labs 在对其最新有效负载进行调查期间发现,AdLoad 在过去一年中删除的最常见组件是代理应用程序,该代理应用程序将 MacOS AdLoad 受害者变成一个巨大的住宅代理僵尸网络。
要点:
1.AdLoad 恶意软件仍然存在并利用之前未报告的有效负载感染系统。
2.去年在野外至少观察到了 150 个样本。
3.AT&T Alien Labs 观察到数千个 IP 以类似于 AdLoad 受感染系统的方式充当代理出口节点。此行为可能表明数千个 Mac 系统已被劫持以充当代理出口节点。
4.本博客中分析的样本是 MacOS 所独有的,但 Windows 样本也已在野外观察到。
分析
AdLoad 是目前影响 macOS 的几种广泛传播的广告软件和捆绑软件加载器之一。OSX 恶意软件自 2017 年以来一直存在,过去两年发生了大规模活动,SentinelOne于2021 年报告,微软于 2022 年报告。通过广告软件运营商的服务器的流量,通过中间人 (PiTM) 攻击将广告和促销信息注入网页和搜索结果中。
这两个先前的活动以及本博客中描述的活动都支持 AdLoad 可能在受感染系统中运行按安装付费活动的理论。
1.该恶意软件的主要目的始终是充当后续有效负载的下载程序。
2.据发现,它每隔几个月到一年就会传送各种有效负载(广告软件、捆绑软件、PiTM、后门、代理应用程序等),有时会根据系统设置(例如地理位置、设备品牌和型号)传送不同的有效负载,操作系统版本或语言设置,如SentinelOne所报告。
3.在所有观察到的样本中,无论有效负载如何,它们都会在受害者系统上执行期间报告 Adload 服务器。
4.该信标(稍后在图 3 和图 4 中进行分析)包括用户代理和正文中的系统信息,除了 200 HTTP 响应代码之外没有任何相关响应。
5.此活动可能代表了 AdLoad 计算受感染系统数量的方法,支持按安装付费方案。
去年,AT&T Alien Labs™ 在我们的威胁分析系统中观察到了类似的活动,AdLoad 恶意软件被安装在受感染的系统中。然而,外星人实验室现在正在观察到先前未报告的有效负载正在传递给受害者。有效负载对应于代理应用程序,在感染后将其目标转换为代理出口节点。如图 1 所示,自 2022 年初以来,该活动背后的威胁行为者一直非常活跃。
图 1. Alien Labs 识别的 AdLoad 样本的直方图
因此,大量的野外样本导致许多设备被感染。Alien Labs 每周都会识别出超过 10,000 个连接到代理服务器的 IP,这些 IP 有可能成为代理出口节点。目前尚不清楚所有这些系统是否都已被感染或自愿提供其系统作为代理,但这可能表明全球范围内出现了更严重的感染。
该僵尸网络用于住宅代理系统的用户背后的意图尚不清楚,但到目前为止,它已被发现正在传播垃圾邮件活动。伊利诺伊大学遭到了一场运动的影响,该大学不得不发布内部警报以通知其学生该帖子。
图 2. 伊利诺伊大学警报:https://answers.uillinois.edu/illinois/page.php?id=120871
本博客将重点介绍 AT&T Alien Labs 在 6 月份在野外观察到的 AdLoad 示例:6587e61a8a7edb312da5798ffccf4a5ef227d3834389993b4df3ef0b173443dc。该示例被命名为“app_assistant”。与“main_helper”或“mh”一起是该恶意软件最常见的文件名。
该示例使用系统分析器启动执行。系统分析器会提取集中于 UUID(通用唯一标识符)的系统信息,稍后可使用该信息通过代理服务器上的命令和控制 (C&C) 来识别系统。
然后它会联系 AdLoad 服务器来报告感染情况。URL 在示例中是硬编码的。迄今为止,外星人实验室观察到了两种不同的模式:
模式 1 包括:
1.POST 请求到路径为“/l”的 URL。
2.主机有api。子域。
3.内容类型是“application/x-www-form-urlencoded”。
4.正文以“cs=”开头,后跟大约 300 个 base64 字符。
这种行为已经在野外观察到,并被 ET(新兴威胁)检测到,并通过公共规则将该活动归因于 OSX/SHLAYER(附录中的规则)。
图 3:来自 Alien Labs 的示例 54efc69cb6ee7fde00c0320202371dcdad127d0e7c8babce4659be8230d81a81 的网络流量示例
模式 2 包括:
1.POST 请求到路径为“/a/rep”的 URL
2.主机与m。子域
3.内容类型为
4.正文以“smc”开头,后面是加密数据。
截至本博客发布时,尚未确定针对此行为的公共规则,但 Alien Labs 在附录中提供了规则。
在这两种情况下,用户代理均由执行文件的文件名后跟“(未知版本)CFNetwork/$version”加上 Darwin 版本号组成。
图 4:来自 Alien Labs 的示例:样本 6587e61a8a7edb312da5798ffccf4a5ef227d3834389993b4df3ef0b173443dc 的网络流量
在向 AdLoad 服务器发送信标后,样本会访问不同的域,通常是 vpnservices[.]live 或upgrader[.]live,看起来像是代理服务器的 C&C。该请求携带受感染机器的 UUID 作为参数以及其他编码参数。此请求以要下载的文件链接进行响应,通常位于 digitaloceanspaces[.]com 中。它还包括要使用的环境和有效负载的版本号。
图 5 总结了截至本文发布时 Alien Labs 观察到的不同连接(步骤 1-5),以及我们接下来将描述的活动(步骤 5-8)。
图 5:Alien Labs 分析的感染过程
攻击链,步骤 5-8:
1.一旦恶意软件下载了代理应用程序,就会使用密码对其进行解压缩,并对文件执行 xattr -rd 以删除其中的隔离属性。这绕过了 Gatekeeper 的安全性。
2.现有文件将复制到“/Users/$user/Library/Application Support/$randomstring”。系统、/tmp 目录和原始 zip 文件中放置的任何不必要的文件都将被删除。
3.此时,Application Support 下新生成的文件夹有两个文件:第一个是名为“pcyx.ver”的版本控制,第二个包含代理应用程序,通常名为“helper”或“main”。如果代理应用程序已经在运行,恶意软件就会杀死它,然后在后台执行它。在执行期间,AdLoad 通过将自身安装为启动代理来获得持久性,其组织名称通常由 org.[随机长字符串].plist 组成,该组织名称指向应用程序支持文件夹中的代理应用程序可执行文件。
4.应用程序已在运行,并且主机开始作为代理服务器运行。它的初始配置通常是硬编码的(图6),但可以通过之前对代理C&C的请求进行修改,修改使用的域、端口、环境等。与代理服务器的通信通常发生在端口7001上,但它有也可以在端口 7000 和 7002 上看到,如果使用 7001,可能有替代方案。
图 6:据 Alien Labs 观察:恶意软件配置包括 C&C 地址、证书、恶意软件版本等
5.当应用程序运行时,它的第一个操作是将系统信息和状态发送给代理服务器。它在收集机器信息后向其 C&C 发送注册消息。这些数据包括 macOS 版本、CPU、内存和电池状态等硬件统计信息。此外,它还提取机器的 UUID,标记为“peer_id”,用作 C&C 机器的标识符(图 7)。
6.在向其 C&C 注册后,恶意软件会接收代理管理器服务器,并将代理请求转发到该代理管理器服务器。
图 7:在注册为新对等方之前收集系统信息。
许多在感染后立即发出的代理请求似乎是在测试查询,即 iplookups 或从特定位置访问 Netflix、HBO 或 Disney 等流媒体服务。图 8 显示了信标和服务器的响应,以及 IP 查找请求,该请求通过端口 7001 到达受感染的系统。
图 9 更清楚地显示了 IP 查找如何转发到其实际目的地以及如何将收到的响应发送回代理服务器。
图 8:Alien Labs 观察到的 Beacon 和 IPlookup,d94f62ec4b6ffcec35d5e639d02a52ce226629a5eb3e2a7190174ea8d3b40b5b
图 9:Alien Labs 观察到的代理流,d94f62ec4b6ffcec35d5e639d02a52ce226629a5eb3e2a7190174ea8d3b40b5b
图 8 中所示的信标消息每隔几秒发送一次,以从 C&C 获取进一步的指令。这包括更新硬件信息的请求,以检查计算机是否可能很快就会遇到问题,并且不应作为代理加载(电池电量低或 CPU 使用率高)(图 10)。
图 10:由 Alien Labs 观察到,通过 Ping C&C 获取进一步指示。
Alien Labs 已将多个域识别为代理服务器节点,这些节点将代理请求中继到受感染的系统。这些域都有通用的随机生成名称,例如 bapp.pictureworld[.]co,并且托管在通常可靠的云服务中,例如 Amazon 或 Oracle。然而,它们似乎仅用作 DNS 解析器,因为这些 IP 在感染时恰好全部解析为私人公司域。该公司名称也出现在其中一些通用域的证书中。
根据上述信息,代理活动的幕后黑手似乎是一家销售代理服务的小企业。该私人公司网页上发布的价格清单确实包括住宅 IP 代理作为所提供的服务。
除了本博客中分析的 Mac 样本之外,Alien Labs 还发现了其他复制了刚才解释的行为的 Windows 样本。这些 Windows 示例最终还通过已知端口 7000、7001 和 7002 充当代理,流量来自相同的域。AT&T 外星人实验室将在未来几周内发布一个新博客,其中包含该分析。
建议采取的行动
要从系统中删除 AdLoad 示例:
1. AdLoad 示例可以使用附录中包含的 Yara 规则进行识别,该规则最初由 SentinelOne 在之前的 AdLoad 报告中创建。
2. 分析与 Suricata 规则 4002758 和 2038612 匹配的任何系统。
要从系统中删除代理应用程序:
1. 查看“/Users/X/Library/Application Support/”并查找以超过 20 个随机生成的字符组成的字符串命名的文件夹,其中包含以下文件:main、helper、pcyx.ver;当前正在您的系统后台运行。
2. 了解 /Library/LaunchAgents/ 中所有现有启动代理 plist 的需求。特别是寻找另一长串随机字符,并识别现有的代理,删除不需要的代理。
3. 分析通过端口 7000、7001 或 7002 与可疑 IP(或匹配 Suricata 规则 4002756 和 4002757)进行通信的任何系统。
结论
AdLoad 的普遍性可能会感染全球数千台设备,这表明 MacOS 设备的用户是该恶意软件背后的攻击者的有利可图的目标,并且被诱骗下载和安装不需要的应用程序。对基于 MacOS 的威胁的漏报可能会导致用户产生错误的安全感,并强调任何流行的操作系统都可能成为熟练对手的目标。
AT&T Alien Labs 不知道转发代理请求的私人公司是否正在主动感染系统,或者他们正在购买他们认为是合法的系统。然而,他们的代理服务器正在访问这些系统并向其客户出售类似的服务。买家正在利用住宅代理僵尸网络的优势:匿名性、广泛的地理位置可用性和高 IP 轮换性;去年开展垃圾邮件活动。
检测方法
Alien Labs 使用以下相关检测方法。读者可以使用它们在自己的环境中调整或部署检测或帮助其他研究。
YARA规则:
private rule Macho
{
meta:
description = "private rule to match Mach-O binaries"
condition:
uint32(0) == 0xfeedface or uint32(0) == 0xcefaedfe or uint32(0) == 0xfeedfacf or uint32(0) == 0xcffaedfe or uint32(0) == 0xcafebabe or uint32(0) == 0xbebafeca
}
rule adload_2021_system_service
{
meta:
description = "rule to catch Adload .system .service variant"
author = "Phil Stokes, SentinelLabs"
version = "1.0"
last_modified = "2021-08-10"
reference = "https://s1.ai/adload"
strings:
$a = { 48 8D 35 ?? ?? 00 00 48 8D 5D B8 BA B8 00 00 00 48 89 DF E8 ?? ?? FB FF 48 8B 43 08 48 2B 03 66 48 0F 6E C0 66 0F 62 05 ?? ?? 00 00 66 0F 5C 05 ?? ?? 00 00 0F 57 C9 66 0F 7C C0 48 8D 7D A0 0F 29 0F F2 0F 59 05 }
condition:
Macho and all of them
}相关指标 (IOC)
以下技术指标与报告的情报相关。
转载来源:https://cybersecurity.att.com/blogs/labs-research/mac-systems-turned-into-proxy-exit-nodes-by-adload
图片来源网络侵权可联系删除
