新的Mac的后门程序窃取钥匙链内容 灰鸽子使用教程,灰鸽子下载

admin

新的Mac的后门程序窃取钥匙链内容 灰鸽子使用教程,灰鸽子下载

keydnap恶意软件使用创造性的方式感染计算机和获取root权限
研究人员已经发现了一种新的Mac的后门程序，旨在窃取存储在操作系统的加密钥匙扣凭据，让攻击者控制系统。
被称为OSX / keydnap通过从反病毒厂商ESET研究人员，这是第二个后门程序的定位在过去几天里发现Mac杀毒厂商。
现在还不清楚如何keydnap是分布式的，但它的到来在一个zip文件形式的电脑。里面有一个明显的良性扩展，如可执行文件。txt或jpg，实际上有一个空字符结尾。该文件也有一个图标，表示一个图像或文本文件。
打开此恶意文件在查找器实际上执行其在终端应用程序的代码。执行发生的真的很快，与终端窗口只是闪烁了一点。好消息是，如果文件是从互联网上下载的，而“把关人”的安全功能是打开的最新版本的操作系统X，该文件将不会自动执行，用户将看到一个安全警告。
然而，如果代码被执行时，它会下载并安装后门组件，称为icloudsyncd，连接到Tor的匿名网络的命令与控制信道。如果有root权限，该组件还配置本身开始每次重新启动Mac。
它试图获得根访问的方式也很有趣。它将等待，直到用户运行一个不同的应用程序，它会立即产生一个窗口，要求用户的凭据，完全像窗口操作系统X用户通常会看到当一个应用程序需要管理员权限。
后门程序可以接收来自控制服务器的命令来更新自己，下载和执行文件和脚本，执行命令和发送回输出。它还包括一个组件，窃取了OS X的钥匙链的内容。
这部分是基于开源的概念证明代码发布在Github上。它读取的securityd OS X服务的记忆，它处理的钥匙串访问，和钥匙串解密密钥搜索。一旦有了这把钥匙，它可以将用户凭据存储在。
而恶意软件感染的Mac电脑比电脑更困难的是，尤其是在OS X的最新版本的所有安全功能开启，keydnap表明，攻击者仍然可以想出创造性的办法来欺骗用户，利用他们的习惯。