잃어버린 조각... 정교한 OS X 백도어 발견

잃어버린 조각... 정교한 OS X 백도어 발견

The Missing Piece – Sophisticated OS X Backdoor Discovered

올해 1월, 카스퍼스키랩이 데스크탑 환경의 크로스플랫폼 백도어를 발견했습니다. Linux와 윈도우 시스템용 바이너리가 발견된 후, Mokes.A의 OS X용 버전도 연이어 발견되었습니다. 이는 C++로 쓰여졌으며, 크로스플랫폼 어플리케이션 프레임워크인 Qt를 사용하고 OpenSSL에 정적으로 연결되어 있습니다. 이 때문에 파일의 크기가 약 14MB 정도입니다.

카스퍼스키랩이 발견한 파일의 이름은 “unpacked”입니다. 하지만 실제 공격에서는 리눅스 변종처럼 패킹된 상태로 발견될 것으로 추정되고 있습니다. 이를 처음 실행시켰을 때, 악성코드는 아래의 순서대로 가능한 위치를 찾아, 자기자신을 복사합니다.

• $HOME/Library/App Store/storeuserd

• $HOME/Library/com.apple.spotlight/SpotlightHelper

• $HOME/Library/Dock/com.apple.dock.cache

• $HOME/Library/Skype/SkypeHelper

• $HOME/Library/Dropbox/DropboxCache

• $HOME/Library/Google/Chrome/nacld

• $HOME/Library/Firefox/Profiles/profiled

악성코드는 시스템에서 유지되기 위해 plist 파일을 위치에 따라 생성합니다. 이후 TCP port 80에서 HTTP를 사용해 C&C 서버와의 첫번째 연결을 수립합니다.

 

User-Agent 스트링은 바이너리에 하드코딩되어 있으며, 서버는 이 “heartbeat” 요청을 208바이트 길이의 “text/html” 컨텐츠로 응답합니다. 이 바이너리는 TCP port 443에서 AES-256-CBC 알고리즘을 사용한 암호화연결을 수립합니다.

 

※ 백도어 기능

오디오 캡쳐

이동성 스토리지 모니터링

스크린 캡쳐 (매 30초 마다)

오피스 문서(xls, xlsx, doc, docx)를 찾기 위해 파일 시스템 스캐닝

C&C 서버를 제어하는 공격자는 자신만의 파일 필터를 정의해 파일 시스템 모니터링을 강화하고, 시스템에서 임의의 명령어를 실행시킵니다. 다른 플랫폼들과 같이, 악성코드는 C&C 서버가 가능한 상태가 아닐 경우, 수집한 데이터를 저장하는 임시 파일들을 생성합니다.

• $TMPDIR/ss0-DDMMyy-HHmmss-nnn.sst (Screenshots)

• $TMPDIR/aa0-DDMMyy-HHmmss-nnn.aat (Audiocaptures)

• $TMPDIR/kk0-DDMMyy-HHmmss-nnn.kkt (Keylogs)

• $TMPDIR/dd0-DDMMyy-HHmmss-nnn.ddt (Arbitrary Data)

※ 참고 :

DDMMyy = date: 070916 = 2016-09-07

HHmmss = time: 154411 = 15:44:11

nnn = milliseconds

만약 환경 변수 $TMPDIR이 정의되지 않았을 경우, 위치로 “/tmp/가 사용됩니다.

출처 :

https://securelist.com/blog/research/75990/the-missing-piece-sophisticated-os-x-backdoor-discovered/