2023年MacOS惡意軟件威脅態勢觀察
日前,蘋果公司正式將XProtect升級至2173版本,并為Atomic Stealer和Adload添加了新的安全規則。總體來說,蘋果公司一直在加強對Mac系統的安全防御,更多行為規則原型(prototype behavioral rules)已經開始進行測試,對漏洞修復的關注程度也在不斷提升。
然而,隨著Apple的市場份額不斷增加,用戶基數不斷增長,針對macOS的惡意軟件威脅也變得越來越普遍和復雜。如果企業組織不采取額外的安全性防御措施,將難以有效應對各種新出現的macOS惡意軟件威脅。
為了幫助企業組織更安全地應用macOS系統,安全研究人員對最近發現的一些macOS惡意軟件發展態勢進行了研究分析,并介紹了攻擊者針對macOS系統的攻擊特點和演進過程。
1. 持久性不再是Mac信息竊取攻擊的優先級
研究人員發現,2023年macOS惡意軟件呈現出的一個主要變化就是避開了“持久性”。因為當前信息竊取程序(infostealers)的攻擊目標是盡可能多地竊取用戶的管理密碼、瀏覽數據、會話cookie和密鑰串(keychain),然后將這些信息非法傳送到遠程服務器上。有了這些信息,攻擊者就不再需要“持久性”駐留,因為他們現在可以輕松地訪問用戶在其本地設備上存儲的憑據和賬戶信息。
此外,很多macOS惡意軟件也開始采用定期運行的木馬軟件,目的是將用戶的訪問行為變成一種“持久性”的手段。以2023年3月爆發的3CX攻擊事件為例,針對3CX的攻擊活動始于不受支持的X_TRADER金融軟件的木馬化版本,用戶一旦安裝了帶有木馬動態鏈接庫(DLL)的X_TRADER軟件,它就會自動收集信息和竊取數據(包括來自多個瀏覽器的憑據),并使攻擊者能夠在被攻破的計算機上發布命令。由于不需要通過系統服務來調度惡意軟件的執行,現有的檢測措施往往難以發揮作用。
2. 利用社會工程技術發起攻擊
威脅行為者已經開始使用更復雜的社會工程技術來攻擊Mac用戶。盡管許多常見的惡意軟件是通過torrent共享網站和第三方軟件下載網站等渠道傳播的,但威脅行為者正在開發高度針對性的惡意軟件版本,以攻擊目標企業。
在2023年早些時候,研究人員就發現了RustBucket惡意軟件利用針對性的應用程序來攻擊目標組織。它會將自己偽裝成一個看似正常的PDF查看器,以商業交易的方式誘使用戶在不知情的情況下允許其訪問macOS系統。一旦進入到了系統,該惡意軟件就會處于休眠狀態,從而逃避安全軟件和系統的檢測。專家們強調,Rustbucket的技術非常復雜,能夠悄無聲息地收集用戶的敏感信息,并在不被發現的情況下進行惡意的攻擊活動。
【RustBucket第二階段通過curl下載下一階段的攻擊】
研究人員在2023年還發現了一些不復雜但具針對性的惡意軟件,目標是中小企業和遠程辦公人員。例如,macOS MetaStealer活動通常以“廣告條款”和“簡報任務概述”等社會工程誘餌瞄準受害者,這些文件實際上是包含偽裝成PDF文檔的infostealer惡意軟件的磁盤映像。與RustBucket一樣,其目的是誘導用戶突破macOS本身的安全機制。
圖片
3. 使用合法的安全性測試工具
長期以來,圍繞Windows環境下的安全性測試工具一直存在爭議,尤其是Cobalt Strike,它被廣泛破解和泄露,現已被各種攻擊者廣泛利用。同樣的情況現在也開始在macOS惡意軟件領域出現。
例如,Geacon項目就在基于go的有效載荷中封裝了Cobalt Strike功能。編譯后的Geacon二進制文件具有多種功能,可用于網絡通信、加密、解密、下載進一步有效載荷和泄露數據等任務。糟糕的是,這些功能已被大量嵌入到假冒的企業級應用程序中(比如SecureLink),針對各種目標實施攻擊。
此外,備受推崇的開源紅隊工具Mythic及其各種有效載荷(特別是Poseidon)也出現在最近的macOS惡意軟件活動中,通過內置的混淆和加密通信,Poseidon為攻擊者提供了強大的工具包。盡管該工具的初衷是幫助安全供應商開發檢測功能,但由于其也被攻擊者廣泛使用,蘋果公司在目前最新版的惡意軟件攔截服務XProtect中,不再包含檢測Poseidon有效載荷的簽名。
【容易被混淆的Poseidon有效載荷】
由于這些安全測試工具的特殊性質,企業組織往往很難判斷這些負載是紅隊工具還是有威脅的惡意軟件活動,需要更加有效的檢測和保護。
4. “離地”技術應用增加
LOLBins或“離地”(Living-Off-the-Land)技術在傳統惡意軟件領域有著悠久的使用歷史。在macOS領域,越來越多的攻擊者也逐漸關注到這種技術。2023年,最常用的內置工具可能是用于收集本地安裝數據的system_profiler工具;用于收集操作系統版本和構建的sw_vers工具;以及用于下載和泄漏數據的curl工具。這些也都是最常見的macOS LOLBins。
圖片
值得一提的是,Adload是2023年和過去兩年左右最常見的惡意軟件家族之一,它使用chmod、xattr和ioreg等LOLBins組合來完成其任務。
【Adload對LOLBin的使用】
這些工具給防御者帶來了新的挑戰,因為它使惡意行為更容易與合法行為混淆,這正是攻擊者使用它們來實現攻擊目標的原因。當然,對執行鏈和流程樹的可見性可以幫助威脅獵人了解這些工具是否被濫用,而高級EDR工具也可以自動檢測包含LOLBins應用的惡意進程。
5. 濫用開源軟件進行初始妥協
2023年7月,多家安全供應商報告了一個名為“JokerSpy”的macOS惡意軟件,但其來源至今仍不確定。JokerSpy包含多個組件,其中包括兩個python后門、紅隊工具SwiftBelt和一個基于Swift的Mach-O,后者會試圖偽裝成蘋果自己的XProtect惡意軟件檢查服務。
對這些組件的分析表明,一些攻擊是通過木馬化QR碼生成器QRLog開始感染的。該惡意軟件隱藏在一個用Java編寫的正版QR碼生成器中,并將惡意文件QRCodeWriter.java插入到合法項目中。該文件首先確定主機操作系統,然后下載一個適當的有效負載來啟動逆向shell,以允許攻擊者訪問受害者的設備。
【QRLog惡意軟件木馬化一個合法的QR碼生成器】
雖然目前還不清楚攻擊者是如何將木馬化軟件傳遞給目標的,但在多起企業入侵事件中切實發現了JokerSpy,其中包括一家大型加密貨幣交易所。
確保開源軟件(OSS)根據已知的材料清單進行審查,并確保任何已知的漏洞都得到修補,這是CISA對所有聯邦機構的建議,私營企業也在效仿。OSS在包括macOS在內的所有平臺上都呈現出了巨大的攻擊面,威脅參與者將繼續尋找濫用它的方法來破壞有價值的目標。
6. 使用多層級模塊化惡意軟件
作為2023年最復雜的供應鏈攻擊之一,Smooth Operator活動通過惡意篡改3CX的呼叫路由軟件客戶端3CXDesktopApp嚴重損害了下游業務。
2023年3月,研究人員在感染鏈的macOS端發現了多種初始和中間階段的惡意軟件。攻擊者精心設計了多個收集受害者環境信息的階段,增加了研究人員的發現難度。這些惡意軟件依靠用戶啟動被木馬化的應用程序來收集有關主機3CX賬戶的數據,然后會再將這些信息發送給攻擊者后自行刪除。可以看出,攻擊者竭盡全力確保他們投入最后階段惡意軟件的資源不會被輕易摧毀。對于防御者來說,這是令人擔憂的,因為如此謹慎的一個原因是保護高價值的零日漏洞不被暴露。
類似的,發生于2023年7月的JumpCloud入侵活動,也使用了多級隱身技術來保護后期有效載荷。研究人員將這兩起攻擊歸咎于與朝鮮有關的威脅行為者,他們的重點是供應鏈攻擊,以竊取敏感的企業信息,并將其用于進一步、更具針對性的入侵。研究人員預計,后續出現進一步的macOS惡意軟件活動將是不可避免的。
