工具簡介。
EvilOSX 是乙個開源的、由 Python 編寫的 C2 工具,專為 macOS 設計,可以使用其自行發布的特洛伊木馬來實現一系列整合功能,例如鍵盤記錄、檔案捕獲、瀏覽器歷史記錄抓取、螢幕捕獲等。 EvilOSX主要使用HTTP協議進行通訊,通訊內容通過特定格式的資料進行Base64加密傳輸。 為了規避檢測,EvilOSX 的通訊響應訊息都是 404 未找到的頁面。
衍生木馬分析。
在資料構建目錄下,會生成乙個指定指令碼型別的檔案,其主要部分是 base64 編碼的有效負載。 生成的python載入器的主要分析--launcher-238346py
乙個。載入器攜帶乙個 base64 加密的 python 指令碼(連線模式)。txt),指令碼通過 python 執行此加密資料後,再使用 rm -rf 檔案清除當前目錄下的所有 py 指令碼。
b、connectivity mode.請求頭中 user-agent 和 cookie 的形式在 txt 中定義,其中 cookie 由兩段關鍵資料組成:十六進製數,由作為會話的受控計算機的使用者名稱和 MAC 位址組成;然後,通過“-”連線的一段base64資料被解密為伺服器和受控端的一些資訊。 此外,指令碼還定義了當響應碼為 404 時,使用 base64 對響應體中的 base64 資料進行解密:base64 =debug-->。
c. 捕獲受控端連線到伺服器時的流量,解密其中的除錯資料,並獲取另乙個 python 指令碼(連線)。py),此指令碼在 macOS 上註冊啟動代理,並使用 base64 編碼在本地寫入它。然後,當系統啟動時,啟動代理將執行此有效負載。 payload 的路徑預設為當前使用者的主目錄,預設命名arlprvu時,啟動代理檔案的預設檔名為“.com.apple.teuawwo
d、arlprvu內容為openssl AES-256-CBC加密密文,金鑰為上一會話攜帶的十六進製字串。
流量分析。 EvilOSX從植入到資料互動的過程可以用以程圖來描述。
以下是工藝流程的分析和解釋:
連線時
客戶端向伺服器傳送GET請求後,請求頭cookie與原始木馬中解密的base64密文相同。
伺服器返回 404 並在 HTTP 伺服器正文中攜帶 base64 資料。
資料以 debug 開頭和結尾:base64 =debug-->。
404中攜帶的資料是指通過get uid函式獲取當前計算機使用者名和唯一識別符號,並串聯成十六進製資料,用於解密下一段使用openssl命令加密的**,並通過exec()函式執行。
執行命令時
當目標上的原始特洛伊木馬檔案被執行時,乙個名為 arlprvu 的 py 指令碼檔案將保留在同一目錄中。 反向連線伺服器也需要手動執行。
測試所有模組和一些常用的 shell 命令(ifconfig、ls -l)。
將觀察到不同的特徵,例如 CVE-2020-3950 模組的執行。
在 POST 請求正文中,username 後跟 base64 資料
解密後,它是所用模組的名稱,可以在流量中找到,除非執行 shell 命令且未啟用模組。 響應程式碼必須是 404
這段話也反映在特洛伊木馬中。
產品檢驗。 ENS 加密威脅檢測系統能夠檢測 EvilOSX 工具生成的 HTTP 流量。
總結。 在使用 EvilOSX-C2 工具的過程中,會先上傳其發布的木馬檔案,該檔案具有特殊的格式,然後會使用 404 頁面來隱藏通訊過程中的真實響應,但基於人工智慧、流行病特徵和 TLS 有限域指紋檢測的加密威脅智慧型檢測系統可以檢測到此類加密通訊行為。 如今,越來越多的攻擊者正在使用 C2 工具,即特定的加密通訊功能,以增強其攻擊的隱身性。 冠誠科技的安全研究團隊一直在持續跟蹤這些C2工具的最新發展,並正在積極研究和更新,以改進加密流量的檢測技術。