Backdoor dla Maków, który daje napastnikom niemal nieograniczony dostęp do systemu

9 lipca, 2016

Eksperci z firmy Bitdefender wykryli szkodliwe oprogramowanie dla Maków podszywające się pod konwerter aplikacji EasyDoc Converter. Program dostępny jest do pobrania na renomowanych witrynach internetowych.

Aplikacja imituje funkcjonalność “przeciągnij i upuść” — szybką i łatwą konwersję bez wskazywania pliku źródłowego i docelowego, jednak w rzeczywistości pobiera złośliwy skrypt, który uruchamia bez wiedzy użytkownika. Backdoor wykrywany przez antywirusa Bitdefender Antivirus for Mac identyfikowany jest jako Backdoor.MAC.Eleanor. Zainstalowany w systemie pozwala napastnikom na uzyskanie kontroli nad urządzeniem, w tym daje funkcjonalność menadżera plików (dodawania, usuwania, pobierania, modyfikowania), umożliwia wydawanie zdalnych poleceń za pośrednictwem powłoki shell oraz wykonywanie skryptów PHP, Perl, Python, Ruby, Java, C. Jeden z komponentów wirusa pozwala robić zdjęcia oraz nagrywać filmy z wbudowanej kamery. 

appDragandDrop
Niebezpieczna aplikacja EasyDoc Converter

Kiedy aplikacja zostanie zainstalowana w systemie backdoor adaptuje trzy złośliwe komponenty:

1. Tor Hidden Service: ustanawia połączenie ofiara-atakujący
2. Web Service(PHP): daje zdalny dostęp do zainfekowanego komputera za pośrednictwem sieci Tor
3. PasteBin Agent: tworzy unikalny adres, dzięki któremu napastnik uzyskuje m.in dostęp do powłoki shell. Zaszyfrowane adresy (RSA + base64) w domenie .onion to ID każdego zainfekowanego Maka, które zapisywane są na portalu pastebin.com 

Wirus po uruchomieniu sprawdza także, czy w systemie zainstalowane jest oprogramowywanie Little Snitch służące do kontrolowania prywatnych danych wysyłanych do sieci.

Każdy komponent odpowiada za inny aspekt wirusa:

Usługa Tor Hidden odpowiedzialna jest za uruchomienie ukrytej usługi HTTP w sieci Tor, dzięki której wirus może korzystać z drugiego komponentu — Web Service. “Cebulowy Internet” umożliwia napastnikom ukrywanie swojej lokalizacji i różnego rodzaju usług, które zostaną unieruchomione na komputerze ofiary (np. złośliwa strona WWW). Zarówno napastnicy, jak i zainfekowany komputer mogą łączyć się ze sobą nie znając własnej tożsamości sieciowej. 

Kiedy komponent Web Service jest uruchomiony generowana jest niepowtarzalna para kluczy (publiczny i prywatny), które zlokalizowane są w pliku “private_key”. Klucze niezbędne są do szyfrowania adresów URL z domeną .onion (RSA + base64), które pozwalają stworzyć listę unikalnych zainfekowanych komputerów. Adresy URL pozwalające kontrolować zainfekowane maszyny umieszczane są w serwisie pastebin.com. Tworzony jest także plik “hostname”, który zawiera podsumowanie informacji o urządzeniu ofiary oraz o kluczu publicznym. Atakujący wykorzystując te dane uzyskuje kontrolę nad urządzeniem z wykorzystaniem komponentu backdoora — Web Service (PHP), internetowego interfejsu który “wystawiony jest na zewnątrz” w sieci Tor z zainfekowanego komputera. 

controlpanel 1 1024x750 1
Panel internetowy atakującego
WebShell
Jednak do zalogowania się brakuje hasła

Napastnik po uwierzytelnieniu się (hasło zahardkodowane jest w pliku ego.php) uzyskuje dostęp do panelu, z którego ma możliwość: 

  • Przeglądania, edytowania, zmiany nazw, usuwania, przesyłania, pobierania plików i archiwów
  • Wykonywania zdalnych poleceń
  • Uruchamiania skryptów napisanych w PHP, Perl, Python, Ruby, Java, C
  • Czytania listy procesów i aplikacji działających w systemie
  • Wysyłania wiadomości e-mail z załącznikami
  • Administrowania bazami danych
  • Tworzenia reguł przychodzących — otwierania portów
  • Generowania pakietów
gallery
Jakby tego było mało, Backdoor.MAC.Eleanor wykorzystuje narzędzie o nazwie „wacaw” do robienia zdjęć i filmów wideo z wbudowanej kamery. 

Mam Maka, co robić? Jak się chronić?

Backdoor wykrywany przez firmę Bitdefender jest szczególnie niebezpieczny. Jest trudny do wykrycia i daje atakującemu pełną kontrolę nad zainfekowanym systemem. Oczywiście aplikacja nie jest podpisana cyfrowo przez firmę Apple. Nie znajduje się oficjalnym repozytorium, dlatego ze względów bezpieczeństwa radzimy, by korzystać z App Store. 

Wirusy na Maka nie istnieją? Po raz kolejny ta teoria nie ma potwierdzenia w praktyce. Z tego też powodu wszystkim czytelnikom polecamy test antywirusa Bitdefender Antivirus for Mac, który pokazuje skuteczność ochrony w starciu z najpopularniejszymi szkodnikami dla tego systemu.

Czy ten artykuł był pomocny?

Oceniono: 0 razy

Picture of Adrian Ścibor

Adrian Ścibor

W ramach działań związanych z cyberbezpieczeństwem odpowiada w AVLab za przeprowadzanie testów rozwiązań ochronnych przed zagrożeniami. Opracowuje strategie oraz narzędzia, które pomagają w ochronie danych i systemów przed cyberatakami. Współuczestnik międzynarodowej grupy non-profit AMTSO, która zrzesza ekspertów IT.
Picture of Adrian Ścibor

Adrian Ścibor

W ramach działań związanych z cyberbezpieczeństwem odpowiada w AVLab za przeprowadzanie testów rozwiązań ochronnych przed zagrożeniami. Opracowuje strategie oraz narzędzia, które pomagają w ochronie danych i systemów przed cyberatakami. Współuczestnik międzynarodowej grupy non-profit AMTSO, która zrzesza ekspertów IT.

PODZIEL SIĘ:

guest
1 Komentarz
najstarszy
najnowszy oceniany
Inline Feedbacks
View all comments

Zapisz się na newsletter

Informacje o cyberbezpieczeństwie prosto na skrzynkę pocztową!

Dodatkowo otrzymasz poradnik „Jak bezpiecznie funkcjonować w cyfrowym świecie”

Wyrażam zgodę na przesłanie oferty drogą telefoniczną przez IT Partners security sp. z o.o. z siedzibą Katowicach ul.Padereskiego 35 na podany przeze mnie adres e-mail zgodnie z ustawą z dnia 10 maja 2018 roku o ochronie danych osobowych (Dz. Ustaw z 2018, poz. 1000) oraz zgodnie z Rozporządzeniem Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (RODO).

Wyrażam zgodę na przesłanie oferty drogą mailową przez IT Partners security sp. z o.o. z siedzibą Katowicach ul.Padereskiego 35 na podany przeze mnie adres e-mail zgodnie z ustawą z dnia 10 maja 2018 roku o ochronie danych osobowych (Dz. Ustaw z 2018, poz. 1000) oraz zgodnie z Rozporządzeniem Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (RODO).

[ninja_tables id=”27481″]