新的Mac的后門程序竊取鑰匙鏈內(nèi)容 灰鴿子使用教程,灰鴿子下載

admin

新的Mac的后門程序竊取鑰匙鏈內(nèi)容 灰鴿子使用教程,灰鴿子下載

keydnap惡意軟件使用創(chuàng)造性的方式感染計(jì)算機(jī)和獲取root權(quán)限
研究人員已經(jīng)發(fā)現(xiàn)了一種新的Mac的后門程序，旨在竊取存儲(chǔ)在操作系統(tǒng)的加密鑰匙扣憑據(jù)，讓攻擊者控制系統(tǒng)。
被稱為OSX / keydnap通過(guò)從反病毒廠商ESET研究人員，這是第二個(gè)后門程序的定位在過(guò)去幾天里發(fā)現(xiàn)Mac殺毒廠商。
現(xiàn)在還不清楚如何keydnap是分布式的，但它的到來(lái)在一個(gè)zip文件形式的電腦。里面有一個(gè)明顯的良性擴(kuò)展，如可執(zhí)行文件。txt或jpg，實(shí)際上有一個(gè)空字符結(jié)尾。該文件也有一個(gè)圖標(biāo)，表示一個(gè)圖像或文本文件。
打開(kāi)此惡意文件在查找器實(shí)際上執(zhí)行其在終端應(yīng)用程序的代碼。執(zhí)行發(fā)生的真的很快，與終端窗口只是閃爍了一點(diǎn)。好消息是，如果文件是從互聯(lián)網(wǎng)上下載的，而“把關(guān)人”的安全功能是打開(kāi)的最新版本的操作系統(tǒng)X，該文件將不會(huì)自動(dòng)執(zhí)行，用戶將看到一個(gè)安全警告。
然而，如果代碼被執(zhí)行時(shí)，它會(huì)下載并安裝后門組件，稱為icloudsyncd，連接到Tor的匿名網(wǎng)絡(luò)的命令與控制信道。如果有root權(quán)限，該組件還配置本身開(kāi)始每次重新啟動(dòng)Mac。
它試圖獲得根訪問(wèn)的方式也很有趣。它將等待，直到用戶運(yùn)行一個(gè)不同的應(yīng)用程序，它會(huì)立即產(chǎn)生一個(gè)窗口，要求用戶的憑據(jù)，完全像窗口操作系統(tǒng)X用戶通常會(huì)看到當(dāng)一個(gè)應(yīng)用程序需要管理員權(quán)限。
后門程序可以接收來(lái)自控制服務(wù)器的命令來(lái)更新自己，下載和執(zhí)行文件和腳本，執(zhí)行命令和發(fā)送回輸出。它還包括一個(gè)組件，竊取了OS X的鑰匙鏈的內(nèi)容。
這部分是基于開(kāi)源的概念證明代碼發(fā)布在Github上。它讀取的securityd OS X服務(wù)的記憶，它處理的鑰匙串訪問(wèn)，和鑰匙串解密密鑰搜索。一旦有了這把鑰匙，它可以將用戶憑據(jù)存儲(chǔ)在。
而惡意軟件感染的Mac電腦比電腦更困難的是，尤其是在OS X的最新版本的所有安全功能開(kāi)啟，keydnap表明，攻擊者仍然可以想出創(chuàng)造性的辦法來(lái)欺騙用戶，利用他們的習(xí)慣。