macOS窃密木马分析,你还敢轻易下载mac破解软件吗?( 二 ) _木马

文章插图
获取完敏感信息后，调用ditto压缩成zip包

文章插图
调用sendlog函数向c2服务器185.106.93.154的80端口发送前面收集的敏感信息

文章插图
敏感数据外发完成后就把前面创建的文件夹及压缩包删除

文章插图
0x023 动态调试在sendlog函数前下个断点，跟进运行

文章插图
提示输入密码

文章插图
随便输入一个错误的密码会提示输入了错误的密码

文章插图
输入正确密码后,接着提示TCC权限请求窗口.

文章插图
下面就是恶意木马窃取用户的敏感信息.浏览器自动填充密码,Cookies,抓取的特定格式的文件,login-keychain,用户输入的密码,系统信息.

文章插图
0x024 行为检测简单列举几个基于可疑行为检测的告警.
1.可疑本地开机密码爆破行为

文章插图
2.可疑浏览器凭据访问行为

文章插图
3.可疑信息收集行为

文章插图
4.可疑凭据钓取行为

文章插图
5.可疑压缩包创建行为

文章插图
0x03 事件总结复盘这次macOS窃密木马事件可以发现这种安全事件的本质还是终端软件供应链管理的问题。如果企业员工能够在企业内网获取到所需要的软件，那么大概率不会再去外面下载安装第三方不可信源提供的破解软件，个人觉得可以从事前，事中，事后三个方面进行针对性的解决这种终端软件供应链投毒风险场景.
事前：建立办公终端安全基线，企业在内网为员工提供可信的正版软件下载渠道，定期对员工进行安全风险意识培训，不断提高办公终端的基础防御能力及员工的安全防范意识；
事中：基于ATT&CK框架，通过攻击模拟，数据分析，策略开发&调优，不断提高办公终端的威胁感知能力；
事后：建立应急响应快速止血SOP机制，复盘机制，奖惩通报制度，不断提高办公终端风险处置能力；
0x04 附录-IOCC2&Malicious Domains185.106.93.154:80
https://worldforcrack.com/
https://kingsoftz.com/
https://muzamilpc.com/
http://cleanmac-app.top/
SHA256997901477F7DA2060B1A3E087E866B2FE3E766662D208249614B74F74505534A
64CB30DF490AD9B4988A5A19C0E745CA9D0DFEF39B5522E61E3214AF7BB0815B

【macOS窃密木马分析,你还敢轻易下载mac破解软件吗?】