新惡意軟件使用Tor在Mac OS X系統(tǒng)打開(kāi)“后門(mén)”

責(zé)任編輯:editor007

作者:E安全

2016-07-06 22:38:08

摘自:搜狐IT

羅馬尼亞的安全軟件廠商比特梵德(Bitdefender)的安全研究員發(fā)現(xiàn)了一組新的惡意軟件,可以通過(guò)Mac OS X系統(tǒng)打開(kāi)“后門(mén)”。

 羅馬尼亞的安全軟件廠商比特梵德的安全研究員發(fā)現(xiàn)了一組新的惡意軟件,可以通過(guò)Mac OS X系統(tǒng)打開(kāi)后門(mén)。

這款?lèi)阂廛浖募夹g(shù)名稱(chēng)為“Backdoor.MAC.Eleanor”。目前,該惡意軟件開(kāi)發(fā)人員開(kāi)始將其作為EasyDoc Converter向受害者散布。EasyDoc Converter是一個(gè)允許用戶通過(guò)在小窗口拖動(dòng)轉(zhuǎn)換文件的Mac應(yīng)用程序。

實(shí)際上,比特梵德表示,這個(gè)惡意EasyDoc Converter僅下載并運(yùn)行惡意腳本,這些腳本在啟動(dòng)時(shí)安裝并注冊(cè)三個(gè)新組件:Tor隱藏服務(wù)、PHP網(wǎng)絡(luò)服務(wù)以及Pastebin客戶端。

Backdoor.MAC.EleanorMac創(chuàng)建一個(gè).onion地址

Tor服務(wù)自動(dòng)將受感染的計(jì)算機(jī)連接至Tor網(wǎng)絡(luò),并生成一個(gè).onion域名,攻擊者可以通過(guò)這個(gè)域名只使用一種瀏覽器訪問(wèn)用戶系統(tǒng)。

PHP網(wǎng)絡(luò)服務(wù)是連接的接收端,負(fù)責(zé)將從攻擊者控制面板接收的命令解譯至本地Mac操作系統(tǒng)。

Pastebin代理干預(yù)作用體現(xiàn)在:通過(guò)RSA與算法使用公共密鑰對(duì)Pastebin URL加密后,Pastebin代理獲取本地生成的.onion域名并將其上傳至Pastebin URL。

“后門(mén)”提供大量遠(yuǎn)程管理選項(xiàng)

比特梵德的研究團(tuán)隊(duì)表示,Backdoor.MAC.Eleanor能讓罪犯操控并與本地文件系統(tǒng)交互、發(fā)起反向shell(Reverse shell)執(zhí)行root命令,并發(fā)起和執(zhí)行所有類(lèi)型的PHP、PERL、Python、Ruby、Java或C語(yǔ)言腳本。

此外,攻擊者還可以羅列在本地運(yùn)行的應(yīng)用程序,使用被感染的計(jì)算機(jī)發(fā)送電子郵件,并使用被感染計(jì)算機(jī)作為中介點(diǎn)連接并管理數(shù)據(jù)庫(kù),以及掃描開(kāi)放端口的遠(yuǎn)程防火墻。

被感染的計(jì)算機(jī)基本上就成了攻擊者“僵尸網(wǎng)絡(luò)”的僵尸主機(jī)(bot),攻擊者隨時(shí)可以利用僵尸主機(jī)發(fā)送大量垃圾郵件、竊取被感染系統(tǒng)的敏感數(shù)據(jù),將其作為DDoS攻擊的僵尸主機(jī)或安裝其它惡意軟件。

攻擊者訪問(wèn)Mac的Tor.onion鏈接如下圖所示:

鏈接已復(fù)制,快去分享吧

企業(yè)網(wǎng)版權(quán)所有?2010-2024 京ICP備09108050號(hào)-6京公網(wǎng)安備 11010502049343號(hào)