概述近日，研究人员发现一起攻击 macOS 用户的加密货币挖矿攻击活动，其中使用的恶意软件经过复杂的进化给研究人员的分析工作带来了很大的困难和挑战。该恶意软件名为 OSAMiner，最早出现于 2015 年。因为 payload 被导出为 run-only …

嘶吼专业版区块链作者,团队,专栏,公众号,头条· 2021年1月13日 12:06

概述

近日，研究人员发现一起攻击 macOS 用户的加密货币挖矿攻击活动，其中使用的恶意软件经过复杂的进化给研究人员的分析工作带来了很大的困难和挑战。该恶意软件名为 OSAMiner，最早出现于 2015 年。因为 payload 被导出为 run-only AppleScript 文件了，使得反编译为源码非常困难，因此导致整个分析工作非常难。近期，研究人员发现的一个变种将 run-only AppleScript 文件嵌入到了另一个脚本中，并使用公网的 web 页面 URL 来下载真实的门罗币挖矿机。

逆向 run-only AppleScript

OSAMiner 主要通过游戏和软件的盗版版本进行传播，其中包括英雄联盟和 office macOS 版本。

AppleScript 文件包括源码和编译的代码，但是启用了 "run-only" 后就只有编译后的版本了，不再有人类可读的源代码，使得逆向分析几乎不可能。

Sentinel One 安全研究人员在 2020 年底发现了一个新的 OSAMiner 样本，虽然分析过程非常艰难。但是研究人员利用 AppleScript disassembler （https://github.com/Jinmo/applescript-disassembler）和内部开发的反编译工具 aevt_decompile 对其恶意软件样本进行了逆向分析。

绕过行为

Sentinel One 发现，最近的 OSAMiner 攻击活动中使用了 3 个 run-only AppleScript 文件来在感染的 macOS 机器上部署挖矿活动。

·一个从木马化的应用执行的父脚本；

·一个嵌入的脚本；

·挖矿机设置 AppleScript

父脚本的主要角色是将嵌入的 AppleScript 用 "do shell script" 命令写入到~/Library/k.plist 中，并执行。此外，还会检查机器是否有足够的空闲空间，如果空闲空间不足就退出。

其他任务包括收集设备的序列号、重启复杂加载和卸载 daemon 或代理、kill terminal 应用。

研究人员分析发现主脚本还会设置驻留代理，从公网页面 URL 处下载挖矿机的第一阶段。

研究人员发现其中一个页面还可以访问 (https://www[.]emoneyspace[.]com/wodaywo)，恶意软件会分析指向一个 PNG 图像的页面源码的链接。

这是第三个 run-only AppleScript，会下载到~/Library/11.PNG 中。其目的是下载开源的门罗币 XMR-Stak 挖矿机，其可以运行在 Linux、Windows 和 macOS 平台上。

设置脚本包括矿池地址、密码和其他配置信息，但是不含钱包地址。此外，恶意软件还使用 "caffeinate" 工具预防机器进入休眠模式。

绕过检测

第二个脚本的作用是预防分析和绕过检测。支持 kill Activity Monitor (活动监视器) 的结论，活动监视器类似 Windows 中的任务管理器，kill 活动监视器的目的是预防用户检查系统的资源使用。

此外，脚本会 kill 掉系统一个硬编码列表上监控和清理的主流工具进程。

虽然 AppleScript 脚本融入了许多强大的特征，OSAMiner 的作者目前还没有利用这些特征。这可能就是为什么当前设置可以运行加密货币挖矿活动而没有被检测到的原因。

Sentinel One 最终证明了该技术还不够成熟，研究人员仍然可以对其进行分析，并提出对应的防护手段。

完整技术分析报告参见：https://labs.sentinelone.com/fade-dead-adventures-in-reversing-malicious-run-only-applescripts/

参考及来源：https://www.bleepingcomputer.com/news/security/mac-malware-uses-run-only-applescripts-to-evade-analysis/

免责声明：作为区块链信息平台，本站所发布文章仅代表作者个人观点，与链闻 ChainNews 立场无关。文章内的信息、意见等均仅供参考，并非作为或被视为实际投资建议。