MacOS 上习见的七种混淆技术

发布时间：2023-02-27 10:36:58 所属栏目：安全来源：

导读：现在 MacOS平台的威胁已经逐渐增加，攻击者也越来越重视针对该平台用户的攻击，本文将会介绍七种 macOS 上常见的混淆技术。

在安装镜像文件时，会看到教育用户打开恶意软件并绕过内置的 Gatekeeper 安全机制。

现在 MacOS平台的威胁已经逐渐增加，攻击者也越来越重视针对该平台用户的攻击，本文将会介绍七种 macOS 上常见的混淆技术。

在安装镜像文件时，会看到教育用户打开恶意软件并绕过内置的 Gatekeeper 安全机制。

要求用户点击的安装 PKG 图标其实是一个隐藏目录中的 Shell 脚本的别名，名称为 .hidden。该脚本经过轻微混淆，在 /tmp 目录下使用随机 12 个字符创建一个目录后，会完成去混淆执行并删除从同一目录中的数据文件中提取的可执行文件：

复制
/bin/bash -c eval '$(echo'openssl enc -aes-256-cbc -d -A -base64 -k \ '$archive\'
- in \ '$appDir/$archive\'-out\ '$ tmpDir/$binFile\' xattr -c \ '$tmpDir/\' * chmod 777
\ '$tmpDir/$binFile\' \ '$tmpDir/$binFile\' && rm -rf $tmpDir ')'

混淆的 SHC
Shell Script Compiler 是将 Bash 脚本编译生成可执行文件的技术，尽管用于这些用途的可执行文件并不能做到完全相互独立，仍然需要执行环境中包含指定的 Shell。

SHC 被 SCSSET 恶意软件大量使用，在野能够持续发现相关样本。从攻击者的角度来看，使得编写无法通过静态分析读取的恶意脚本变得非常简单。而且，通过 -e 参数还能够无限生成不同哈希值的样本文件。

发现 SHC 编译的二进制文件，唯一的方法就是通过沙盒执行观察其行为。静态检测发现 SHC 编译的二进制文件时可以将其认为是可疑的，编译器生成的独特字符串也利于检测，但实际上只有通过执行才能准确区分是否恶意。

将 Python 脚本打包 .pyc 编译好的 Mach-O 文件仍然是存在的攻击媒介，更常见的则是将框架如 Meterpreter 经过多次 base64 编码混淆处理，这就足以绕过许多检测引擎。

2021 年 9 月，OSX.Zuru 发起了供应链攻击，针对使用 iTerm2、Mac 版 MS 远程桌面、SecureCRT 和 Navicat 14 进行投毒。恶意软件使用 UPX 加壳，解压后是一个使用 C 语言编写的 Mach-O 文件。该可执行文件经过混淆，包含超过 4 万个垃圾函数。相同的混淆方式，后来也出现在针对 PyPI 的 pymafka 供应链攻击中。

AppleScript 一直是被低估的攻击向量，其在 macOS 系统中的存在时间甚至比 Python 都要长。最近几年苹果公司不再给予其过多的关注，但仍然通过 TCC 等其他机制来对其进行限制。

AppleScript 能够通过 run-only 选项来生成几乎不可逆向恢复的编译后代码。在野发现的恶意软件中，有使用四字节十六进制字符编码将一个 run-only 的脚本嵌入到另一个脚本中。

Poseidon 恶意软件
Poseidon 是攻击框架 Mythic 的 Golang 版本，可以使攻击者操纵失陷主机。最近一次高调的攻击，是针对 Rust 开发社区的 CreateDepression 供应链攻击。

Sliver 二进制文件多达 10MB 甚至更多，尽管 Sliver 本身不支持混淆或加壳，但在野发现了原始与定制的 UPX 加壳方案。

近期发现的 macOS 恶意软件，伪装成 Apple 软件更新二进制文件并在用户的 Library LaunchAgents 文件夹中进行持久化。该攻击避免使用任何 Apple 专有软件，并使用各种免费的工具（UPX、MacDriver 与 Platypus）。

（编辑：汽车网）

【声明】本站内容均来自网络，其相关言论仅代表作者个人观点，不代表本站立场。若无意侵犯到您的权利，请及时与联系站长删除相关内容!