|
新的Mac的后门程序窃取钥匙链内容 灰鸽子使用教程,灰鸽子下载
keydnap恶意软件使用创造性的方式感染计算机和获取root权限
研究人员已经发现了一种新的Mac的后门程序,旨在窃取存储在操作系统的加密钥匙扣凭据,让攻击者控制系统。
被称为OSX / keydnap通过从反病毒厂商ESET研究人员,这是第二个后门程序的定位在过去几天里发现Mac杀毒厂商。
现在还不清楚如何keydnap是分布式的,但它的到来在一个zip文件形式的电脑。里面有一个明显的良性扩展,如可执行文件。txt或jpg,实际上有一个空字符结尾。该文件也有一个图标,表示一个图像或文本文件。
打开此恶意文件在查找器实际上执行其在终端应用程序的代码。执行发生的真的很快,与终端窗口只是闪烁了一点。好消息是,如果文件是从互联网上下载的,而“把关人”的安全功能是打开的最新版本的操作系统X,该文件将不会自动执行,用户将看到一个安全警告。
然而,如果代码被执行时,它会下载并安装后门组件,称为icloudsyncd,连接到Tor的匿名网络的命令与控制信道。如果有root权限,该组件还配置本身开始每次重新启动Mac。
它试图获得根访问的方式也很有趣。它将等待,直到用户运行一个不同的应用程序,它会立即产生一个窗口,要求用户的凭据,完全像窗口操作系统X用户通常会看到当一个应用程序需要管理员权限。
后门程序可以接收来自控制服务器的命令来更新自己,下载和执行文件和脚本,执行命令和发送回输出。它还包括一个组件,窃取了OS X的钥匙链的内容。
这部分是基于开源的概念证明代码发布在Github上。它读取的securityd OS X服务的记忆,它处理的钥匙串访问,和钥匙串解密密钥搜索。一旦有了这把钥匙,它可以将用户凭据存储在。
而恶意软件感染的Mac电脑比电脑更困难的是,尤其是在OS X的最新版本的所有安全功能开启,keydnap表明,攻击者仍然可以想出创造性的办法来欺骗用户,利用他们的习惯。 |
|