USDT自动充值

菜宝钱包(caibao.it)是使用TRC-20协议的Usdt第三方支付平台,Usdt收款平台、Usdt自动充提平台、usdt跑分平台。免费提供入金通道、Usdt钱包支付接口、Usdt自动充值接口、Usdt无需实名寄售回收。菜宝Usdt钱包一键生成Usdt钱包、一键调用API接口、一键无实名出售Usdt。

平安研究职员克日发现,一款名为XcodeSpy的全新恶意软件正对iOS开发职员举行供应链攻击,它行使编码平台的剧本功效在受影响的装备上安装macOS后门。

Xcode是苹果确立的免费应用程序开发环境,开发职员行使Xcode确立在macOS、iOS、tvOS和watchOS上运行的应用程序。

攻击者正在滥用苹果 Xcode IDE中的“运行剧本(Run Script)”功效,以通过共享的Xcode项目熏染毫无戒心的苹果开发职员。

XcodeSpy是一个恶意的Xcode项目,它在开发职员的macOS盘算机上安装了EggShell后门的自界说变体以及持久性机制。

该后门具有录制受害者的麦克风、摄像头和键盘的功效,以及上传和下载文件的功效。

XcodeSpy熏染前言可能会被其他攻击者使用,建议所有使用Xcode的苹果开发职员在接纳共享Xcode项目时要郑重行事。

SentinelOne奇异性可防止XcodeSpy。在本文中,研究职员还提供了一种简朴的方式,供开发职员用来扫描其Xcode存储库中的XcodeSpy。

今年,已经泛起了两个令人不安的 *** 攻击新趋势:针对开发职员和使用供应链攻击来熏染宽大客户。针对软件开发职员是乐成举行供应链攻击的第一步。一种方式是滥用执行这项事情所需的开发工具。 2021年1月,Google TAG宣布发现了朝鲜针对平安研究职员和开发职员的流动。其中一种熏染方式是共享用于加载恶意DLL的Visual Studio项目。在这篇文章中,研究职员将讨论一个类似的通过恶意Xcode项目针对苹果开发职员的攻击。

研究职员最近得知一个针对iOS开发职员的被木马化的Xcode项目,这要谢谢一位匿名研究员提供的新闻。该恶意项目是GitHub上一个正当开源项目的改动版本。该项目为iOS开发职员提供了几个高级功效,用于基于用户交互为iOS Tab Bar设置动画。在ios的程序中,Tab Bar的使用率很高,几个视图需要切换的时刻,就用到tab bar。

然而,XcodeSpy版本已经做了细微的改变,在开发职员的构建目的启动时执行一个模糊的运行剧本。该剧本与攻击者的C2联系,并在开发装备上设置一个自界说的EggShell后门。恶意软件安装一个用户LaunchAgent以保持持久性,并能够纪录来自受害者的麦克风、摄像头和键盘的信息。

研究职员已经发现了载荷的两个变种:自界说后门,其中包罗许多加密的C2 url和加密字符串的种种文件路径。其中一个加密字符串是在修悔改的Xcode项目和自界说后门之间共享的,将它们链接在一起,作为统一个“XcodeSpy”流动的一部门。

现在,研究职员注重到一家美国机构发生了一起ITW攻击。研究职员的剖析解释,该流动至少在2020年7月至10月时代就已经更先了,可能也针对亚洲开发商举行过攻击。

到现在为止,研究职员还没有发现其他被木马化的Xcode项目样本,也无法估量这种流动的影响水平。然而,从下面提到的已知样本和其他指标来看,XcodeSpy可能还存在其他项目。通太过享这个流动的细节,研究职员希望提高对这个攻击前言的熟悉,并强调开发职员是攻击者的高价值目的这一事实。

XcodeSpy使用的隐藏和启动恶意剧本的简朴手艺可以部署在任何共享的Xcode项目中。因此,所有苹果开发职员在使用第三方Xcode项目时都要小心检查是否存在恶意运行剧本。研究职员提供了一个简朴的方式,开发职员可以用它来扫描他们现有的内陆Xcode存储库。

滥用Xcode的运行剧本功效

XcodeSpy行使了苹果IDE的内置功效,该功效允许开发职员在启动目的应用实例时运行自界说shell剧本。只管可以轻松找到所需的手艺,然则由于不知道控制台或调试器中是否有执行恶意剧本的指示,因此不领会运行剧本功效的新手或履历不足的开发职员尤其面临风险。

研究职员剖析的样本使用了一个正当的开源项目的副本,这个项目可以在Github上找到,叫做TabBarInteraction。为了阻止任何疑问,Github项目中的代码没有受到XcodeSpy的熏染,开发职员potato04也没有与恶意软件操作有任何牵连。

在修悔改的TabBarInteraction版本中,可以在“构建阶段”选项卡中找到混淆的恶意代码。默认情形下,运行剧本面板是不扩展的,这进一步辅助恶意软件阻止被有时检查发现的概率。

点击“揭破”按钮就会发现被混淆的剧本的存在。

可以看到,混淆相当简朴,通过将eval替换为echo并在单独的shell中运行剧本,可以平安地检查输出内容。

该剧本在/tmp目录下确立了一个名为.tag的隐藏文件,该文件包罗一条下令:mdbcmd。这又通过反向shell管道转达给攻击者C2。

停止发稿时,VirusTotal上的任何静态引擎均未检测到该样本。

把XcodeSpy和一个自界说的EggShell后门联系起来

当研究职员发现恶意的Xcode项目时,cralev[.]me的C2已经脱机了,以是不能能直接确定mdbcmd下令的效果。然而,幸运的是,在VirusTotal上有两个示例的EggShell后门包罗了XcodeSpy字符串/private/tmp/.tag。

6d93a714dd008746569c0fbd00fadccbd5f15eef06b200a4e831df0dc8f3d05b
cdad080d2caa5ca75b658ad102987338b15c7430c6f51792304ef06281a7e134

这些样本都是在日本通过 *** 界面上传到VirusTotal的,第一次是在8月5日,第二次是在10月13日。

另一份样本也于2020年终在美国一名受害者的Mac电脑中被发现。出于保密的缘故原由,研究职员无法提供关于ITW事宜的进一步细节。然而,这名受害者讲述称,他们多次成为朝鲜APT组织的攻击目的,这种熏染是他们定期举行威胁征采流动的一部门。

从日本上传到VirusTotal的样原本自于未登录到VirusTotal账户的用户,因此无法判断它们来自统一泉源照样两个差其余泉源。只管云云,它们都是通过包罗字符串P4CCeYZxhHU/hH2APz6EcXc=来和Xcode项目举行关联的,该字符串原来是在恶意Xcode项目中找到的/private/tmp/.tag字符串的加密版本。

,

Usdt第三方支付接口

菜宝钱包(www.caibao.it)是使用TRC-20协议的Usdt第三方支付平台,Usdt收款平台、Usdt自动充提平台、usdt跑分平台。免费提供入金通道、Usdt钱包支付接口、Usdt自动充值接口、Usdt无需实名寄售回收。菜宝Usdt钱包一键生成Usdt钱包、一键调用API接口、一键无实名出售Usdt。

,

EggShell后门使用简朴的字符串加密手艺,解密包罗将加密的字符勾转达给[StringUtil decode:]方式,该方式在base64中对加密的字符串举行编码,然后遍历每个字节,并向其添加0xf0。这将天生一个可打印的ASCII字符代码,然后将其毗邻起来天生完整的字符串。


基于上面的伪代码,研究职员可以在Objective-C中实现自己的解码器来解密Mach-O二进制文件中的字符串。

对这两种变体中的字符串举行进一步解码,就会发现许多用于从受害者的盘算机上传数据的硬编码url。

HTTPS://www.suppro.co/category/search.php?ts=%@ 
HTTPS://www.liveupdate.cc/preview/update.php?ts=%@ 
HTTPS://www.appmarket.co/种别/ search.php中TS =%@? 
HTTPS://www.recentnews.cc/latest/details.php?ts=%@ 
HTTPS://www.truckrental.cc/order/search.php?ts=%@ 
HTTPS://www.everestnote.com/sheet/list.php?ts=%@ 
HTTPS://www.alinbox.co/product/product_detail.php?ts=%@

在有数据存在的地方,所有这些来自后门二进制的域名在9月10日或11日被第一次看到或被第一次查询。

恶意Xcode项目中的域cralev[.]me也于9月10日首次被发现。

修改后的TabBarInteraction Xcode项目在一周前的9月4日首次泛起在VirusTotal上。

研究职员可以凭证这些数据推测出,攻击者自己可能已经将XcodeSpy项目文件上传到VirusTotal,以便在激活他们的c2之前举行检测。除suppro.co和cralevme域名外,其他域名似乎都处于非流动状态或未注册,可能正在守候未来被使用。有趣的是,VT提供的有关XcodeSpy上传者位置的国家/区域代码为“ZZ”(未知)。

与此同时,EggShell后门变种在约莫两个月后(8月5日和10月13日)首次泛起在VirusTotal上。若是后门是由受害者而不是攻击者上传的(这一假设绝不是平安的),这将解释第一个自界说的EggShell二进制文件可能是早期XcodeSpy样本的有用载荷。然而,研究职员不能对这些基于现有数据的推测给予很大的信心。研究职员所知道的是,第一个EggShell有用载荷是在已知的dropper前整整一个月上传的,第二个有用载荷是在10月13日在VirusTotal上看到的两个多月前上传的。

EggShell执行行为

在执行时,自界说的EggShell二进制文件会在~/Library/LaunchAgents/com.apple.usagestatistics.plist或~/Library/LaunchAgents/com.apple.appstore.checkupdate.plist上下载LaunchAgent 。这个plist检查原始的可执行文件是否正在运行;若是没有,它会在 ~/Library/Application Support/com.apple.AppStore/.update 上确立一个“主”版本的可执行文件的副本,然后执行它。


EggShell还会在/private/tmp/wt0217.lck处放置一个零字节文件,并在~/Library/Application Scripts/com.apple.Preview.stors处放置一个数据文件。二进制文件中还加密了许多其他文件路径(有关完整列表,请参见本文末尾处的IoC)。险些所有这些路径都是攻击者自界说的。然则,一个加密的字符串解密为/tmp/.avatmp,这是在公共EggShell存储库中找到的默认路径,用于存储AV捕捉的内容。

公然的EggShell repo的源代码包罗了种种功效,包罗持久化、屏幕捕捉和AV录制等。

对在野外和在VirusTotal上发现的编译过的XcodeSpy变体的剖析实现了这些以及它们自己的自界说数据编码和键盘纪录方式。

检测缓和解

这篇文章的末尾提供了已知的IoC的完整列表。由于所有C2,路径名和加密字符串都是高度可自界说的,而且易于更改,因此它们仅可用作对这些特定样本已往攻击的指标。因此,需要一种行为检测解决方案来完全检测XcodeSpy有用载荷的存在。

平安治理职员和开发职员若是忧郁自己是否无意中下载了包罗XcodeSpy的项目,可以通过以下下令行手动搜索:

find . -name "project.pbxproj" -print0 | xargs -0 awk '/shellScript/ && /eval/{print "\033[37m" $0 "\033[31m" FILENAME}'

这将在同时包罗字符串shellScript和eval的Xcode项目(位于project.pbxproj文件中)的“构建阶段”部门中搜索“运行剧本”。若是找到任何内容,它将打印出该剧本的副本以举行检查,以及找到该剧本的文件名。

下面的示例在说明文件夹及其所有子文件夹中搜索XcodeSpy。

用户应在运行下令之前切换到保留Xcode项目的响应父文件夹。

固然,可以通过Xcode项目导航器中的“构建阶段”选项卡检查各个项目中是否存在恶意的运行剧本。

总结

这已经不是攻击者第一次行使Xcode作为攻击苹果平台开发职员的前言了。早在2015年,XcodeGhost为中国的iOS开发职员提供了一个Xcode版本,从内陆镜像下载的速率比从苹果服务器下载的速率更快。收件人不知道的是,他们收到的Xcode版本已被修改,将恶意代码注入任何用它编译的应用程序。使用XcodeGhost编译的应用程序可以被攻击者用来读取和写入装备剪贴板,打开特定的url(如WhatsApp、Facebook),并将数据窃取到c2。现实上,XcodeGhost是一种供应链攻击,通过第三方软件攻击下游受害者。

相反,XcodeSpy接纳木马化的Xcode项目的形式,与完整版本的Xcode IDE相比,它更轻盈,更易于流传。只管XcodeSpy似乎直接针对开发职员自己,而不是针对开发职员的产物或客户,但从窃取开发职员的事情环境到向该开发职员软件的用户发送恶意软件,仅是一步之遥。

XcodeSpy完全有可能是针对某个特定的开发职员或开发团队的,但也有其他潜在的高价值受害者。攻击者可能只是在征采有趣的目的,为未来的流动 *** 数据,或者他们可能试图 *** AppleID证书,以便在其他使用带有有用苹果开发职员代码署名的恶意软件的流动中使用。这些建议并没有穷尽所有的可能性,它们也不是相互排挤的。

本文翻译自:https://labs.sentinelone.com/new-macos-malware-xcodespy-targets-xcode-developers-with-eggshell-backdoor/: Allbet Gaming声明:该文看法仅代表作者自己,与www.allbetgame.us无关。转载请注明:usdt官网(www.caibao.it):新型macOS恶意软件XcodeSpy可通过EggShell后门对Xcode开发职员提议攻击
发布评论

分享到:

usdt官网接口(www.caibao.it):关晓彤出席流动旧照引热议,被指气质太成熟,24小时流量快要万万
你是第一个吃螃蟹的人
发表评论

◎欢迎参与讨论,请在这里发表您的看法、交流您的观点。