感染したMacのユーザーデータを盗み出すトロイの木馬「Proton.B」はLittle Snitchを監視し、Wiresharkなどをkillするそうです。詳細は以下から。
2017年5月上旬からトランスコーダHandBrakeのサーバーがハッキングされ、トロイの木馬「Proton.B」が同梱された「HandBrake for Mac」が公開されたことが明らかになりましたが、検体のリバース・エンジニアリングを行ったObjective-Seeのpatrickさんや、CybereasonのAmit Serperによると、このマルウェアにはセキュリティ系アプリの有無や、セキュリティ研究者の邪魔をする機能を備えているそうです。
If you have LittleSnitch installed, OSX/Proton just exits & doesn't persist 🔥👾👌🏽 details: https://t.co/HnQfacLKTv pic.twitter.com/TmNeG10unG
— patrick wardle (@patrickwardle) 2017年5月11日
My blog post about mac malware Proton.B (which covers *almost* everything I saw it doing) is up: #sharingIsCaring https://t.co/VaOnB7RUHu
— Amit Serper (@0xAmit) 2017年5月10日
Proton, which targets macOS, does all kinds of nasty behavior, including stealing passwords, keylogging, exfiltrating files and enabling remote access log-in. For more information on Proton, check out this report from Sixgill.
Proton.B: The latest Mac malware reversed engineered – Cybereason
エンドユーザー向けアプリ対策
Proton.Bがまず確認するのはMac用ネットワーク監視アプリとして有名な「Little Snitch」、「Radio Silence(関連記事)」、「Hands Off!」の3つで、もしこれらのアプリがインストールされた形跡があればProtonはすぐに活動を停止するため、Proton.Bを同梱したHandBrakeをインストールしたユーザーでも被害に遭わなかった方もいるようです。
The first items from this list that the malware extracts and utilizes are the following paths:
- /Library/Extensions/LittleSnitch.kext
- /Library/Extensions/Radio Silence.kext
- /Library/Extensions/HandsOff.kext
For each of these paths, it checks if they exist on disk, and if so, the malware immediately exits!
OSX/Proton.B – Objective-See
セキュリティ研究者対策
また、Proton.Bにはセキュリティ研究者対策機能も備わっており、キーチェーンや1Password, ブラウザのデータを集めたzipファイルをC&Cサーバーへ送る直前に、セキュリティ研究者らがマルウェア解析を行う際に利用するコンソールアプリやターミナル、ネットワーク・アナライザ「Wireshark」をkillallし、
After all the zip files are created, the malware executes several killall commands and terminates these applications:
- Console
- Terminal
- Wireshark
This step makes it hard for researchers to analyze this malware when it runs since all of these programs will be terminated unexpectedly. A simple workaround is to simplee tee the logs to another file, use iTerm instead of Terminal and tcpdump or Tshark instead of Wireshark ¯\_(ツ)_/¯.
Proton.B: The latest Mac malware reversed engineered – Cybereason
最後にログファイルを削除するように開発されているそうです。
And, of course, no malicious execution of malware is complete without the removal of logs. Proton.B does that by executing this command:
sudo -S rm -rf /var/log/* /Library/Logs/*Proton.B: The latest Mac malware reversed engineered – Cybereason
Appleは既にこのProtonを「OSX.Proton.B」としてブロックしていますが、近年のMac用マルウェアはProton.Bと同様にLittle Snitchの有無をチェックする「MacDownloader」や仮想環境上で実行させられているかをチェックする「MPlayerX」のインストーラーなど巧妙になってきているようです。
- OSX/Proton.B – Objective-See
- Proton.B: The latest Mac malware reversed engineered – Cybereason
コメント
これからも亜種が出てくるだろうから、そのネットワーク監視ソフト3本のどれかを入れておくと予防にもなっていいな。
空の(偽の)カーネルエクステンションを作成して
LittleSnitch.kext
Radio Silence.kext
HandsOff.kext
って名前で偽装した場合でもOKなのかな?