近期，由CheckPoint發(fā)現(xiàn)了一款針對(duì)macOS的惡意木馬--OSX/Dok，該惡意木馬主要通過(guò)誘使受害者下載后強(qiáng)制性要求“系統(tǒng)升級(jí)”，從而騙取你的管理員口令，再通過(guò)一些手段監(jiān)控受害者的http/https流量，竊取到有價(jià)值的數(shù)據(jù)。
 
0x0 感染方式
該木馬主要活躍于歐洲，打著稅務(wù)局賬單的旗號(hào)發(fā)送釣魚(yú)郵件，誘使中招者下載一個(gè)名為“Dokument”的軟件，這個(gè)軟件還偽造成了“預(yù)覽”的樣子，但是當(dāng)你打開(kāi)它后，會(huì)顯示一個(gè)提示框提示文件可能損壞不能打開(kāi)，但是你以為這就完了？？恰好相反，當(dāng)你點(diǎn)擊“OK”的時(shí)候，恰好中招~


 
0x1 OSX/Dok
OSX/Dok的主要功能比較明確: 
1. 強(qiáng)制性“更新”，要求輸入管理員密碼
2. 下載berw，tor，socket等工具
3. 使用下載的這些工具，重定向中招者的http/https流量進(jìn)行監(jiān)控
 
0x2 詳細(xì)分析
我們先本地看看目標(biāo)binary的一些簽名信息

看得出來(lái)這簽名還是有些正規(guī)的~~~不過(guò)Apple已經(jīng)把這個(gè)給撤銷了 在運(yùn)行程序之前，惡意程序會(huì)被復(fù)制到`/Users/Share`中

當(dāng)這個(gè)惡意程序運(yùn)行時(shí)，會(huì)彈出警告框，點(diǎn)擊OK之后，等到5s之后就會(huì)開(kāi)始運(yùn)行，并刪除應(yīng)用程序，然后會(huì)出現(xiàn)一個(gè)覆蓋全屏幕的窗口，提示要更新系統(tǒng)


然后彈出一個(gè)彈框要求輸入密碼，等等，你沒(méi)看錯(cuò)，它的binary名稱就叫做“AppStore”，而正常的應(yīng)該是“App Store”


而惡意程序還把自己添加在了`系統(tǒng)偏好設(shè)置->用戶與群組->登錄項(xiàng)`中，以便于當(dāng)沒(méi)安裝完成就關(guān)機(jī)，重啟后繼續(xù)安裝

但是等程序安裝完成后，登錄項(xiàng)中的“AppStore”就會(huì)被刪掉


在“更新”的過(guò)程中，會(huì)彈出幾次要求你輸入管理員密碼，猜想應(yīng)該是在安裝一些命令行工具或者進(jìn)行一些系統(tǒng)操作時(shí)需要管理員身份，但之后為什么不需要了呢？

我們?cè)赻/etc/sudoers`文件中可以看到最底下多了一條`ALL=(ALL) NOPASSWD: ALL`命令，這條命令主要作用就是在之后的操作中免輸入密碼

我們來(lái)看看，這些就是攻擊者通過(guò)brew下載的一些工具


然后惡意程序會(huì)偷偷更改用戶的的網(wǎng)絡(luò)配置

 
其中的`paoyu7gub72lykuk.onion`一看就是暗網(wǎng)的網(wǎng)址，tor就是暗網(wǎng)搜索引擎
以上命令大概說(shuō)的就是通過(guò)TCP ipv4協(xié)議，本地監(jiān)聽(tīng)5555端口，來(lái)自這個(gè)端口的請(qǐng)求通過(guò)本地的9050端口轉(zhuǎn)到目標(biāo)`paoyu7gub72lykuk.onion`的80端口(第二個(gè)同樣的說(shuō)法)打開(kāi)`系統(tǒng)設(shè)置->網(wǎng)絡(luò)->高級(jí)`,可以看到自動(dòng)代理已經(jīng)被偷偷改了

攻擊者還在用戶的Mac中安裝了一個(gè)證書(shū)，用于對(duì)用戶進(jìn)行MiTM，攔截用戶流量

 

 
0x3 總結(jié)
據(jù)統(tǒng)計(jì)，惡意木馬占所有惡意軟件的75%，他們大多數(shù)都很隱蔽，有時(shí)甚至幾個(gè)月都一聲不吭，這次這個(gè)也算比較特殊，其實(shí)明眼人看到這個(gè)更新基本上就知道出問(wèn)題了，但是不排除有很多對(duì)Mac不熟悉的人，他們以為是正常的更新，然后勒索軟件運(yùn)行完之后又會(huì)被刪除，不容易發(fā)現(xiàn)，所以就會(huì)中招。 防患于未然，平時(shí)收到陌生郵件的時(shí)候，如果有附件或者鏈接，最好不要打開(kāi)，把這種事情扼殺在搖籃中最好不過(guò)了，也免去了不少不必要的麻煩。