【BlackHat 2017】議題分享：一款潛伏了多年的Mac惡意程序，為何迄今仍「逍遙法外」？

今年的 Black Hat USA 2017 美國黑帽大會，準確地說是從7月22日開始，延續到本周周四結束的。和往常一樣，前四天進行的是技術培訓，后兩天就是眾所期待的主要會議分享，還有兵器庫、Business Hall 之類的內容了。值得一提的是，因為美國和存在時差，身處國內的各位關注 Black Hat USA 2017 的時間應在北京時間本周四和周五。針對這兩天的大會內容，FreeBuf 會進行相應的報道。

在此之前，我們照例分享一些預先已知的內容，在 Black Hat 現場的同學可以留意。當地時間周三（7月26日）5:05pm – 5:30pm 之間（地址在 Laggon DEFJKL ），前 NSA 分析師，現在是 Synack 公司首席安全研究員的 Patrick Wardle 將會分享議題 《Offensive Malware Analysis: Dissecting OSX/Fruitfly via A Custom C&C Server （主動惡意程序分析：通過一台 C&C 伺服器來解剖 OSX/Fruitfly）》。

這裡的 Fruitfly 實際上是 macOS 或者說 OS X 平台的一款惡意程序，所以這個議題是相關惡意程序和逆向工程的技術分享。這款惡意程序已知感染的設備量大約是 400 台，而且所用技術其實並不算高超，理論上也很容易檢測到。那麼 Fruitfly 有什麼特別值得一說的呢？

研究人員註冊 C&C 伺服器

這個議題的主要方向之一是通過自己註冊的 C&C 伺服器來對這款惡意程序進行剖析。Fruitfly 並不是很新的一款 Mac 惡意程序，而且其存在時間可能長達 10 年之久，即便到目前為止，從 VirusTotal 服務來看，超過一半的反惡意程序引擎都無法將其新變種檢測出來。

早在今年 1 月份的時候，Malwarebytes 曾經撰寫過一份有關 Fruitfly 的惡意程序報告。Malwarebytes 的研究人員認為，Fruitfly 存在時間至少有 2 年。這份報告掛出后，蘋果對 macOS 進行升級后，系統就能自動檢測到這款惡意程序了。不過 Wardle 這次發現的是個變種，系統和很多反病毒產品還不能發現。

前 NSA 分析師，現在是 Synack 公司首席安全研究員的 Patrick Wardle 對該惡意程序進行分析后發現，C&C 通訊的主伺服器已經不能訪問，但有多個備用域名硬編碼到了程序中。而且這些備用的 C&C 伺服器域名還沒有人註冊。所以他就註冊了一個。不知是何種原因，攻擊者自己並沒有註冊這些域名。

主伺服器下線后，理論上感染了 Fruitfly 的用戶就不存在原有的威脅了。不過在 Wardle 註冊備用域名后，立刻就有 400 個被感染的 Mac 用戶開始連接這台伺服器。這樣一來 Wardle 就能夠看到 Fruitfly 受害者的 IP ，他發現有 90% 的受害者都位於美國。

Fruitfly 的惡意行為包括遠程控制攝像頭、截屏，進行滑鼠、鍵盤操作，執行 shell 命令、結束進程、獲取系統的正常運行時間等。實際上 400 台設備感染只是個最小數字，感染 Fruitfly 的人數可能還有很多。Wardle 自己也並不清楚 Fruitfly 具體是如何感染 Mac 設備的，他推測應該不是通過漏洞，可能是吸引受害人點擊惡意鏈接，或者釣魚郵件等。

這是個並不高明的惡意程序

Wardle 解釋說，現在並不清楚 Fruitfly 變種攻擊者背後的意圖是什麼，因為這款惡意程序無法竊取信用卡數據，也沒有感染勒索程序之類可以讓攻擊變現的方式。而且這款惡意程序以家庭用戶為主，所以基本可以排除是國家攻擊。

「我不知道是否是某個無聊的人，有什麼不正當的目的。如果是某個無聊的年輕人想要進行單純的監視，這其實也挺傷人的。比如他能打開攝像頭…」不過實際上也可能是惡意程序作者拋棄了這款惡意程序。不管怎麼說，如果有人像 Wardle 一樣去註冊了硬編碼的域名，那麼也可以監控那些已經被感染的人。

從國外媒體現有的報道暫時還不清楚 Fruitfly 的具體運作方式。不過我們去查閱了 Malwarebytes 今年 1 月份發布的文章，發現 Fruitfly 的原版程序的確有些有趣且並不 「sophisticated」 的地方。

Fruitfly 的原始版本在面上就只包含 2 個文件，分別是

其中的 .plist 非常簡單，是為了保持 .client 始終運行的。.client 以 perl 腳本的形式存在，它會與 C&C 伺服器通訊。腳本中還包含一些通過 shell 命令截屏的代碼。有趣的是，其中既用到了 Mac 的 「screencapture」 命令，也用上了 Linux 的「xwd」命令。

另外它也負責獲取系統的正常運行時間，也就是所謂的 uptime —— 獲取命令也是既有 Mac 版，也有 Linux 版。

另外腳本最後還有個 _DATA_ 部分，裡面有個 Mach-O 二進位、Perl 腳本和一個 Java 類。腳本釋放寫入到 /tmp/ 文件夾並執行。Java 類文件將 apple.awt.UIElement 設為 true，也就是說它不會在 Dock 欄顯示。

二進位文件對於截屏和攝像頭訪問比較情有獨鍾，不過有意思的是其中用上了一些非常古老的系統調用，比如說：

這可能是 Malwarebytes 和 Wardle 認為這款惡意程序年代久遠的一個原因。這些函數其實的確非常古老，可以追溯到前 OS X 的歲月。其中包含的開源 libjpeg 代碼上次更新是在1998年。

編寫的代碼比較古老，其實不能很明確地表示這款惡意程序早在十多年之前就存在。如 Malwarebytes 所說，這可能表明攻擊者對 Mac 了解得不夠，或者他一直在用比較老的開發指導文檔。也可能是攻擊者故意用這種較老的系統調用，避免觸發現代各種形式的行為檢測。

另外 Wardle 事先透露說，Fruitfly 具備「移動滑鼠，點擊，並與操作系統 UI 元素進行交互」的能力。這個應該是出自於其中的 Java 類能夠獲取命令執行各種任務，其中就包括了獲取屏幕尺寸、滑鼠指針位置、改變滑鼠位置、模擬滑鼠點擊、模擬鍵擊。這些可以提供一些簡單的遠程控制功能。

Malwarebytes 嘗試將原版 Fruitfly 在 Linux 設備上運行，發現除了 Mach-O 二進位部分，一切都運行正常。也就是說，這款惡意程序理應有 Linux 版本。此外，VirusTotal 平台發現，有 Windows 可執行文件與同一個 C&C 伺服器通訊，也用 1998 年的 libjpeg 庫。這些樣本早在 2013 年就提交到了 VirusTotal 。

值得一提的是，上面提到的 .plist 啟動代理文件創建時間是 2015 年 1 月。但這個時間其實不一定是真實的文件創建時間；不過惡意程序從 C&C 伺服器獲取的 macsve 文件有個註釋提到，這是為 Yosemite ，也就是 Mac OS X 10.10 編寫的——這款系統發佈於 2014 年10月，這可能意味著 Fruitfly 至少在 Yosemite 系統出現之前就已經存在了。

過半數反惡意程序系統無法檢測出 Fruitfly

其實很難想象這麼多年過去了，從 VirusTotal 來看，到截稿前為止，57 款主流反惡意程序產品，也只有 25 款能夠將 Fruitfly 變種檢測出來。Wardle 還提到，Fruitfly 採用比較簡單粗暴的方式來達到存在的持久性，相較其它 Mac 惡意程序應該更容易檢測出來。

「它採用比較早期，而且並不複雜的技術維持其持久性，許多 Mac 惡意程序都是這麼做的：一個隱藏的文件，加一個啟動代理。這令其很容易被抓到，要檢測和移除也很容易。」

今年 1 月份發現 Fruitfly 變種的時候，Malwarebytes 表示這款惡意程序主要針對生物醫療研究中心 ，研究人員猜測可能因為其目標非常明確，所以能潛伏這麼多年時間，但其實沒有明確證據表明它以某個特定組織為目標，而這次的新版目標是不明的。

在明天的 Black Hat USA 2017 大會上，Fruitfly 還會今次作更為明確的闡述，在現場且對惡意程序分析感興趣的同學不要錯過。預計 Wardle會從分析這款惡意程序的 dropper 開始，也就是上面提到的 Perl 腳本，隨後還會探討一些 Debug 技術，並對腳本作完全拆解。當然重點還是要談構建自己的 C&C 伺服器來挾持惡意程序，揭露其完整的能力。

此外 Wardle 還會討論 macOS 工具實現各種事件的監控，比如「mouse sniffer」可本地觀察和解碼從惡意程序發往系統控制滑鼠的命令。雖然這個議題是圍繞 Fruitfly 展開的，不過實際上對於其它惡意程序也具有適用性。

* 參考來源：BlackHat, Malwarebytes, TheHackerNews, Forbes, SecurityAffairs，歐陽洋蔥編譯整理，轉載請註明來自FreeBuf.COM