Silver Sparrow macOS kötü amaçlı yazılım ve M1 uyumluluğu

0
24

Merhaba Dünya: seyirci ikili dosyaları

Silver Sparrow kötü amaçlı yazılımının analiz ettiğimiz ilk sürümü (updater.pkg MD5: 30c9bc7d40454e501c358f77449071aa) gereksiz bir Mach-O ikili dosyası içeriyordu (güncelleyici MD5: c668003c9c5b1689ba47a431512b03cc), Silver Spar yürütmesinde ek bir rol oynamadığı görülen Intel x86_64 için derlendi. Sonuçta bu ikili, PKG’ye JavaScript yürütmesinin dışında dağıtacak bir şey vermek için yer tutucu içerik olarak dahil edilmiş gibi görünüyor. Basitçe “Merhaba Dünya!” Diyor. (kelimenin tam anlamıyla!)

v1 Resim Kredisi: Erika Noerenberg

İkinci sürüm (update.pkg MD5: fdd6fb2b1dfe07b0e57d4cbfef9c8149) ayrıca, Intelx86_64 ve M1 ARM64 ile uyumlu olacak şekilde derlenmiş bir gereksiz Mach-O ikili dosyası (tasker MD5: b370191228fef82635e39a137be470af) içeriyordu. Daha önce olduğu gibi, bu ikili yer tutucu olarak eklenmiş görünüyor – bu sefer “Başardın!”

v2 İmaj Kredisi: Jimmy Astle

MacOS veya Linux sistemlerinde ikiliyi inceleyerek dosya komutunun çıktısını kontrol ederek, yabancı Mach-O ikili programının 2. sürümündeki ikili mimari desteğini gözlemleyebilirsiniz:

tasker: Mach-O 2 mimarili evrensel ikili: [x86_64:Mach-O 64-bit x86_64 executable, flags:] [arm64:Mach-O 64-bit arm64 executable, flags:]

Buna karşılık, 1. sürümdeki gereksiz Mach-O ikili dosyasından dosya komutunun çıktısı aşağıdaki gibi görünecektir:

güncelleyici: Mach-O 64-bit x86_64 çalıştırılabilir, bayraklar:

Zaman çizelgesi

Silver Sparrow’un ilk ne zaman ortaya çıktığına dair tam bir resme sahip değiliz, ancak aşağıdaki zaman çizelgesini açık kaynaklı istihbarat ve Red Canary telemetrisinin bir karışımıyla oluşturabildik:

18 Ağustos 2020: Kötü amaçlı yazılım sürüm 1 (M1 olmayan sürüm) geri arama etki alanı api.mobiletraits[.]com oluşturuldu (kaynak) 31 Ağustos 2020: VirusTotal’a gönderilen kötü amaçlı yazılım sürüm 1 (M1 olmayan sürüm) 2 Eylül 2020: VirusTotal’a gönderilen kötü amaçlı yazılım sürüm 2 yürütmesi sırasında görülen version.json dosyası (kaynak) 5 Aralık 2020 : Kötü amaçlı yazılım sürüm 2 (M1 sürümü) geri arama etki alanı oluşturulan api.specialattributes[.]com oluşturuldu (kaynak) 22 Ocak 2021: VirusTotal’a (kaynak) gönderilen PKG dosyası sürüm 2 (bir M1 ikili dosyası içerir) 26 Ocak 2021: Red Canary, Silver Sparrow kötü amaçlı yazılım sürümü 1’i tespit etti 9 Şubat 2021: Red Canary, Silver Sparrow kötü amaçlı yazılım sürümünü tespit etti 2 (M1 versiyonu)

İstihbarat boşlukları

Yayınlama sırasında, Silver Sparrow ile ilgili ya görünürlüğümüzün olmadığı ya da gözlemlemek için yeterli zamanın geçmediği birkaç bilinmeyen faktör belirledik. İlk olarak, PKG dosyaları için ilk dağıtım yönteminden emin değiliz. Kötü amaçlı arama motoru sonuçlarının kurbanları, indirmeden kısa bir süre önce kurbanın tarayıcısından ağ bağlantılarına dayalı olarak PKG’leri indirmeye yönlendirdiğinden şüpheleniyoruz. Bu durumda emin olamayız çünkü indirmeye tam olarak neyin sebep olduğunu belirleyecek görünürlüğe sahip değiliz.

Sonra, ~ / Library /._ insu’nun hangi koşullar altında göründüğünü bilmiyoruz. Bu dosya, düşmanın kaçınmak isteyeceği bir araç setinin parçası olabilir; bir hedefe ulaşıldıktan sonra bileşenleri kaldırmanın bir yolu olarak kötü amaçlı yazılımın yaşam döngüsünün bir parçası olabilir.

Ek olarak, bu kötü amaçlı yazılımın nihai amacı bir gizemdir. Kötü amaçlı yazılım tarafından hangi yükün dağıtılacağını, bir yük zaten teslim edilmiş ve kaldırılmışsa veya düşmanın dağıtım için gelecekte bir zaman çizelgesi olup olmadığını kesin olarak bilmemizin hiçbir yolu yok. Malwarebytes tarafından bizimle paylaşılan verilere göre, etkilenen yaklaşık 30.000 ana bilgisayar, sonraki veya son yükün ne olacağını indirmedi.

Son olarak, PKG dosyalarının içinde bulunan Mach-O ikilisinin amacı da bir muammadır. Komut dosyası yürütmeden elde edilen verilere dayanarak, ikili dosya yalnızca bir kurban kasıtlı olarak arayıp başlattığında çalışır. “Merhaba Dünya!” İçin gözlemlediğimiz mesajlar veya “Başardın!” tehdidin kavram kanıtı aşamasında geliştirilmekte olduğunu veya düşmanın paketi meşru görünmesi için sadece bir uygulama paketine ihtiyaç duyduğunu gösterebilir.

Tespit fırsatları

Aşağıdaki bölüm, Silver Sparrow indiricisini tespit etmemize yardımcı olan analizlerin açıklamalarını içerir. Bununla birlikte, bu analizleri özellikle Silver Sparrow’u tespit etmek amacıyla oluşturmadık, bu nedenle çok çeşitli macOS tehditlerini tespit etmek için faydalı olabilirler. Bu analizlerden biri sizi potansiyel olarak kötü niyetli faaliyet konusunda uyarırsa, bir Silver Sparrow enfeksiyonu veya başka bir şeyle uğraştığınızı doğrulamak için göstergelerin (aşağıda listelenmiştir) varlığını aramanızı öneririz.

Aşağıdakileri içeren bir komut satırıyla birlikte PlistBuddy yürütülüyor gibi görünen bir işlem arayın: LaunchAgents ve RunAtLoad ve true. Bu analitik, LaunchAgent kalıcılığını oluşturan birden fazla macOS kötü amaçlı yazılım ailesini bulmamıza yardımcı olur. Sqlite3 ile birlikte çalışan bir işlem arayın.
Şunları içeren komut satırı: LSQuarantine. Bu analitik, indirilen dosyalar için meta verileri manipüle eden veya arayan birden fazla macOS kötü amaçlı yazılım ailesi bulmamıza yardımcı olur. S3.amazonaws.com’u içeren bir komut satırı ile birlikte curl yürütülüyor gibi görünen bir işlem arayın. Bu analitik, dağıtım için S3 kovalarını kullanan birden çok macOS kötü amaçlı yazılım ailesini bulmamıza yardımcı olur.

Uzlaşma Göstergeleri

Versiyon 1 ve 2’de

~ / Library /._ insu (kötü amaçlı yazılımın kendisini silmesi için sinyal vermek için kullanılan boş dosya)
/tmp/agent.sh (kurulum geri çağrısı için çalıştırılan kabuk betiği)
/tmp/version.json (yürütme akışını belirlemek için S3’ten indirilen dosya)
/tmp/version.plist (version.json bir özellik listesine dönüştürülür)

Kötü Amaçlı Yazılım Sürümü 1

Dosya adı: updater.pkg (v1 için yükleyici paketi)
MD5: 30c9bc7d40454e501c358f77449071aa

Dosya adı: güncelleyici (v1 paketinde bystander Mach-O Intel ikili dosyası)
MD5: c668003c9c5b1689ba47a431512b03cc

mobiletraits.s3.amazonaws[.]com (v1 için S3 kova tutma version.json)
~ / Library / Application Support / agent_updater / agent.sh (her saat çalışan v1 betiği)
/ tmp / agent (dağıtılmışsa son v1 yükünü içeren dosya)
~ / Library / Launchagents / agent.plist (v1 kalıcılık mekanizması)
~ / Library / Launchagents / init_agent.plist (v1 kalıcılık mekanizması)
Geliştirici Kimliği Saotia Seay (5834W6MYX3) – v1 bystander ikili imzası Apple tarafından iptal edildi

Paket içeriği ve yapısı

CEVAP VER

Lütfen yorumunuzu giriniz!
Lütfen isminizi buraya giriniz