羅馬尼亞的安全軟件廠商比特梵德的安全研究員發(fā)現(xiàn)了一組新的惡意軟件,可以通過(guò)Mac OS X系統(tǒng)打開(kāi)“后門(mén)”。
這款?lèi)阂廛浖募夹g(shù)名稱(chēng)為“Backdoor.MAC.Eleanor”。目前,該惡意軟件開(kāi)發(fā)人員開(kāi)始將其作為EasyDoc Converter向受害者散布。EasyDoc Converter是一個(gè)允許用戶通過(guò)在小窗口拖動(dòng)轉(zhuǎn)換文件的Mac應(yīng)用程序。
實(shí)際上,比特梵德表示,這個(gè)惡意EasyDoc Converter僅下載并運(yùn)行惡意腳本,這些腳本在啟動(dòng)時(shí)安裝并注冊(cè)三個(gè)新組件:Tor隱藏服務(wù)、PHP網(wǎng)絡(luò)服務(wù)以及Pastebin客戶端。
Backdoor.MAC.Eleanor為Mac創(chuàng)建一個(gè).onion地址
Tor服務(wù)自動(dòng)將受感染的計(jì)算機(jī)連接至Tor網(wǎng)絡(luò),并生成一個(gè).onion域名,攻擊者可以通過(guò)這個(gè)域名只使用一種瀏覽器訪問(wèn)用戶系統(tǒng)。
PHP網(wǎng)絡(luò)服務(wù)是連接的接收端,負(fù)責(zé)將從攻擊者控制面板接收的命令解譯至本地Mac操作系統(tǒng)。
Pastebin代理干預(yù)作用體現(xiàn)在:通過(guò)RSA與算法使用公共密鑰對(duì)Pastebin URL加密后,Pastebin代理獲取本地生成的.onion域名并將其上傳至Pastebin URL。
“后門(mén)”提供大量遠(yuǎn)程管理選項(xiàng)
比特梵德的研究團(tuán)隊(duì)表示,Backdoor.MAC.Eleanor能讓罪犯操控并與本地文件系統(tǒng)交互、發(fā)起反向shell(Reverse shell)執(zhí)行root命令,并發(fā)起和執(zhí)行所有類(lèi)型的PHP、PERL、Python、Ruby、Java或C語(yǔ)言腳本。
此外,攻擊者還可以羅列在本地運(yùn)行的應(yīng)用程序,使用被感染的計(jì)算機(jī)發(fā)送電子郵件,并使用被感染計(jì)算機(jī)作為中介點(diǎn)連接并管理數(shù)據(jù)庫(kù),以及掃描開(kāi)放端口的遠(yuǎn)程防火墻。
被感染的計(jì)算機(jī)基本上就成了攻擊者“僵尸網(wǎng)絡(luò)”的僵尸主機(jī)(bot),攻擊者隨時(shí)可以利用僵尸主機(jī)發(fā)送大量垃圾郵件、竊取被感染系統(tǒng)的敏感數(shù)據(jù),將其作為DDoS攻擊的僵尸主機(jī)或安裝其它惡意軟件。
攻擊者訪問(wèn)Mac的Tor.onion鏈接如下圖所示: