攻击者针对企业传播macOS恶意软件的7种方式(3)
时间:2023-03-09 16:07 来源:网络整理 作者:默认发布 点击:次
就在不久前,Rust 储存库 Crates.io 也被攻击者盯上了,他们用恶意的 "rustdecimal" 包来拼写合法的 "rust_decimal" 包。后者使用 GitLab Continuous Integration(CI)管道环境,并释放了一个 Go 编写的 macOS 编译的 Poseidon 负载。 2022 年末,一名自称为 " 研究员 " 的攻击者对 PyPI 上的 PyTorch 包进行了依赖混淆攻击。 依赖混淆攻击利用了某些包具有托管在私有服务器上的依赖项这一事实。默认情况下,包管理器首先通过搜索公共存储库来处理客户端对依赖项的请求。如果依赖包的名称在公共回收中不存在,攻击者可以将自己的恶意包上传到公共回收中,并拦截来自客户端的请求。 恶意软件在攻击 PyTorch 时收集并窃取了攻击设备上的各种敏感数据,以传输到远程 URL,包括 ~/.gitconfig/ 和 ~/.ssh/ 的内容。 PyTorch 是一个流行的 Python 开源机器学习库,估计已经有大约 1.8 亿次下载。在圣诞节到元旦期间的 5 天里,恶意软件包托管在 PyPI 上,下载量达到了 2300 次。 针对通过此载体分发的攻击的缓解措施包括许多与防范恶意共享开发人员项目相同的建议。此外,安全团队还可以采纳以下建议 : 使用私有存储库并将包管理器配置为不默认为公共存储库; 通过代码签名验证包的真实性; 外部源代码的定期审计和验证; 5. 木马程序 对包存储库的攻击可能具有毁灭性和深远的影响,它们将不可避免地被发现并引起大量关注。相比之下,那些希望更隐蔽地向特定目标发送恶意软件的攻击者可能更倾向于对流行应用程序进行木马攻击。 2021 年,百度搜索引擎中的赞助链接被用来通过流行的终端应用程序 iTerm2 的木马版传播恶意软件。进一步调查 OSX.Zuru,,该活动还使用了微软 Mac 远程桌面、Navicat 和 SecureCRT 的木马版本。 这些应用程序在共同设计时使用了不同于合法签名的开发者签名,主要是为了确保它们不会被 Gatekeeper 屏蔽。除了替换原来的代码签名外,攻击者还在 .app/Contents/Frameworks/ 文件夹中使用名为 libcrypt .2.dylib 的恶意 dylib 修改了应用程序包。对该文件的分析揭示了监视本地环境、连接到 C2 服务器和通过后门执行远程命令的功能。 对木马应用程序的选择很有意思,这表明攻击者针对的是用于远程连接和业务数据库管理的工具的后端用户。 最近,有关的攻击者被发现传播木马化的 EAAClient 和 SecureLink,这些版本提供了一个 silver 有效载荷。这些木马在没有代码签名的情况下传播,攻击者使用上述技术方法诱导受害者通过终端重置本地安全设置。
研究人员最近还发现了一种恶意版本的开源工具,旨在窃取受害者的密码和钥匙链,这样攻击者就可以完全访问 macOS 中所有用户的密码。在此示例中,攻击者使用 Resign tool 并将其打包到 ipa 文件中,以便在 iOS 设备上安装,这表明攻击者显然有意发起攻击。 验证所有代码是否已签名,以及代码签名是否与适当的已知开发人员签名相对应; 使用终端保护软件防止和检测可疑或恶意代码执行。 6. 漏洞和水坑攻击 一种不太常见的攻击载体,需要一些技巧才能实现,就是利用浏览器漏洞攻击被攻击网站的访问者。浏览器中的零日漏洞攻击是黑客经常关注的领域,即使在修补后,这些漏洞仍然可以被用于攻击未能保持浏览器更新的组织或用户。 在 2022 年 12 月 13 日发布的 macOS Ventura 和 Safari 的最新安全更新中,修补了 30 多个漏洞,包括以下浏览器相关漏洞: CVE-2022-42856:处理恶意制作的 web 内容可能导致任意代码执行。 CVE-2022-42867:处理恶意制作的 web 内容可能导致任意代码执行。 CVE-2022-46691:处理恶意制作的 web 内容可能导致任意代码执行。 CVE-2022-46695:访问包含恶意内容的网站可能会导致 UI 欺骗。 CVE-2022-46696:处理恶意制作的 web 内容可能导致任意代码执行。 CVE-2022-46705:访问恶意网站可能导致地址栏欺骗。 7. 供应链攻击 上述一些攻击载体已经可以并且已经被用于试图进行的供应链攻击,特别是那些涉及木马应用程序、共享开发人员代码和包存储库的攻击。然而,这些攻击都涉及到合法代码、软件包和应用程序的假冒或模仿版本。 在供应链攻击中,攻击者会破坏供应商发送给其他客户端的合法代码,这种情况比较少见。早在 2016 年,流行的 macOS torrent 客户端传输就攻击了一个罕见的 macOS 勒索软件。攻击者侵入了开发人员的服务器,并将 KeRanger 恶意软件添加到包含该软件的磁盘映像中。 (责任编辑:admin) |
