研究人员发现了一个新的Mac后门程序,该程序旨在窃取存储在操作系统加密密钥链中的证书,让攻击者控制系统。
被称为OSX / Keydnap这是针对mac电脑的第二个后门程序被反病毒公司发现在过去的几天里
目前还不清楚Keydnap是如何分布的,但它以zip存档的形式出现在计算机上。在里面有一个可执行文件,它的扩展名很明显是良性的,比如.txt或.jpg,但实际上在末尾有一个空格字符。该文件还有一个表示图像或文本文件的图标。
在Finder中打开这个恶意文件实际上会在终端应用程序中执行它的代码。执行速度非常快,终端窗口只是闪烁了一会儿。好消息是,如果该文件是从互联网上下载的,并且在最新版本的OS X上开启了Gatekeeper安全功能,该文件将不会自动执行,用户将看到一个安全警告。
然而,如果代码被执行,它将下载并安装名为icloudsyncd的后门组件,该组件通过Tor匿名网络连接到一个命令和控制频道。如果它具有根访问权限,则该组件还将自己配置为每次重启Mac时都启动。
它试图获得根访问权限的方式也很有趣。它将等待,直到用户运行一个不同的应用程序,它将立即生成一个窗口,要求用户的凭据,这与windows OS X用户通常看到的应用程序需要管理权限的窗口一样。
后门可以从控制服务器接收命令来更新自身,下载并执行文件和脚本,执行shell命令并发送回输出。它还包括一个窃取OS X密钥链内容的组件。
这个组件似乎是基于GitHub上发布的开源概念验证代码。它读取securityd OS X服务的内存,该服务处理keychain访问,并搜索keychain解密密钥。一旦它有了这个密钥,它就可以窃取存储在里面的用户凭证。
尽管让mac电脑感染恶意软件比pc电脑要困难得多,尤其是在最新版本的OS X系统中,所有的安全功能都打开了,但keynap表明,攻击者仍然可以想出创造性的方法来欺骗用户,利用他们的习惯。