感染したMacのユーザーデータを盗み出すトロイの木馬「Proton.B」はLittle Snitchを監視し、Wiresharkなどを終了させる。

スポンサーリンク

 感染したMacのユーザーデータを盗み出すトロイの木馬「Proton.B」はLittle Snitchを監視し、Wiresharkなどをkillするそうです。詳細は以下から。

ネットワークプロセス管理アプリ「Little Snitch」のアイコン。

 2017年5月上旬からトランスコーダHandBrakeのサーバーがハッキングされ、トロイの木馬「Proton.B」が同梱された「HandBrake for Mac」が公開されたことが明らかになりましたが、検体のリバース・エンジニアリングを行ったObjective-Seeのpatrickさんや、CybereasonのAmit Serperによると、このマルウェアにはセキュリティ系アプリの有無や、セキュリティ研究者の邪魔をする機能を備えているそうです。

Proton, which targets macOS, does all kinds of nasty behavior, including stealing passwords, keylogging, exfiltrating files and enabling remote access log-in. For more information on Proton, check out this report from Sixgill.

Proton.B: The latest Mac malware reversed engineered – Cybereason

エンドユーザー向けアプリ対策

 Proton.Bがまず確認するのはMac用ネットワーク監視アプリとして有名な「Little Snitch」、「Radio Silence(関連記事)」、「Hands Off!」の3つで、もしこれらのアプリがインストールされた形跡があればProtonはすぐに活動を停止するため、Proton.Bを同梱したHandBrakeをインストールしたユーザーでも被害に遭わなかった方もいるようです。

ネットワーク監視アプリ「Little Snitch」のポップアップウィンドウ。

The first items from this list that the malware extracts and utilizes are the following paths:

  • /Library/Extensions/LittleSnitch.kext
  • /Library/Extensions/Radio Silence.kext
  • /Library/Extensions/HandsOff.kext

For each of these paths, it checks if they exist on disk, and if so, the malware immediately exits!

OSX/Proton.B – Objective-See

セキュリティ研究者対策

また、Proton.Bにはセキュリティ研究者対策機能も備わっており、キーチェーンや1Password, ブラウザのデータを集めたzipファイルをC&Cサーバーへ送る直前に、セキュリティ研究者らがマルウェア解析を行う際に利用するコンソールアプリやターミナル、ネットワーク・アナライザ「Wireshark」をkillallし、

Proton.Bはデータを転送する前にTerminalやWiresharkをkillallする

After all the zip files are created, the malware executes several killall commands and terminates these applications:

  • Console
  • Terminal
  • Wireshark

This step makes it hard for researchers to analyze this malware when it runs since all of these programs will be terminated unexpectedly. A simple workaround is to simplee tee the logs to another file, use iTerm instead of Terminal and tcpdump or Tshark instead of Wireshark ¯\_(ツ)_/¯.

Proton.B: The latest Mac malware reversed engineered – Cybereason

最後にログファイルを削除するように開発されているそうです。

And, of course, no malicious execution of malware is complete without the removal of logs. Proton.B does that by executing this command:

sudo -S rm -rf /var/log/* /Library/Logs/*

Proton.B: The latest Mac malware reversed engineered – Cybereason

 Appleは既にこのProtonを「OSX.Proton.B」としてブロックしていますが、近年のMac用マルウェアはProton.Bと同様にLittle Snitchの有無をチェックする「MacDownloader」や仮想環境上で実行させられているかをチェックする「MPlayerX」のインストーラーなど巧妙になってきているようです。

コメント

  1. 匿名 より:

    これからも亜種が出てくるだろうから、そのネットワーク監視ソフト3本のどれかを入れておくと予防にもなっていいな。

  2. 匿名 より:

    空の(偽の)カーネルエクステンションを作成して
    LittleSnitch.kext
    Radio Silence.kext
    HandsOff.kext
    って名前で偽装した場合でもOKなのかな?