来自 资讯 2021-04-04 16:41 的文章

域名接入防ddos_无限防_海外cc防御

域名接入防ddos_无限防_海外cc防御

几周前,两个新的恶意软件即服务(MaaS)产品已经面世。这两款产品——一款名为MacSpy的后门软件和一款名为MacRansom的勒索软件——是5月25日由Bleeping Computer的Catalin Cimpanu发现的。显然,Cimpanu在获取样本方面遇到了一些困难,但周五,Fortinet发布了MacRansom的分析报告,AlienVault发布了MacSpy的分析报告。这两个恶意软件程序都是通过Tor网站发布广告的,声称它们是"史上最复杂的免费Mac间谍软件/勒索软件"。这两个程序都无法直接获得,但只能通过向protonmail[dot]com的电子邮件地址发电子邮件获得。行为尽管这些恶意软件程序声称很复杂,但并不是特别先进。提供给Fortinet和AlienSpy的程序都是简单的命令行可执行文件,在运行时,它们会将自己复制到用户的库文件夹中。MacSpy公司:~/Library/.DS_存储/更新MacRansom公司:~/Library/.FS_存储因为.DS_Stores文件夹和.FS_Store文件都有以句点开头的名称,因此除非用户做了显示不可见文件的操作,否则它们将被隐藏起来。作为安装的一部分,这些程序还为持久性创建LaunchAgent文件——这完全不是原始方法。MacSpy公司:~/库/启动代理/com.apple.webkit.plist公司MacRansom公司:~/库/启动代理/com.apple.finder网站.plist公司最近的一些恶意软件已经具备了定制安装位置和名称的能力,但是Fortinet和AlienVault的报告中没有任何迹象表明MacSpy或MacRansom中有这样的功能,这使得它们很容易被发现。MacRansom是用一个自定义的"触发日期"创建的,在此之后,恶意软件会引爆并加密用户主文件夹中的文件,以及任何连接的卷上的文件,例如外部硬盘驱动器。与KeRanger一样,加密前有3天的延迟,ddos防御在哪层,这种延迟可能意味着很少有人使用安全软件会受到影响,因为恶意软件可能会在加密任何东西之前被检测到。此外,ddos防御措施,加密使用对称密钥(也就是说,加密和解密都使用同一个密钥),长度只有8个字节,这使得它相当弱,而且相对容易解密。但是,密钥创建过程涉及一个随机数,并且生成的密钥显然不会保存到硬盘驱动器中,也不会以任何方式传回给作者,因此无法解密文件,除非通过暴力手段。加密后,恶意软件将显示一个弹出警报,通知用户必须做什么来解密文件,并且会继续出现,即使用户单击"销毁[sic]我的Mac"按钮。恶意软件不会将该信息的任何副本保存到硬盘上的文件中,这是大多数勒索软件的典型做法。MacSpy是相当简单的间谍软件,它将数据收集到临时文件中,ddos防御网,并通过未加密的http将这些文件定期发送回torcommand&control(C&C)服务器。它将过滤以下数据:截图(每30秒拍摄一次)通过麦克风捕捉音频按键*剪贴板内容iCloud照片数据浏览器在键盘记录的情况下,恶意软件需要管理员密码,可以在请求恶意软件副本的电子邮件中提供该密码。这要求攻击者事先知道目标Mac的密码。如果攻击者为恶意软件付费,他们将获得额外的功能,cc攻击防御高防服务器,例如更一般的文件过滤、访问社交媒体、帮助将可执行文件打包为特洛伊木马形式(如假图像文件)和代码签名。分析回避虽然这两个程序都不是特别复杂,但它们都包含一些合理有效的分析避免功能。这两种方法都包括三种方法来确定它们是否正在被研究人员分析,在这种情况下,它们会关闭并且不会显示它们的恶意行为。首先,它们将使用调用ptrace来检查是否由调试器运行。它们还将解析shell命令sysctl的输出硬件型号对于单词"Mac",如果找不到就终止。在虚拟机中,此命令不会返回硬件的模型标识符,而是返回特定于所使用的虚拟化软件的值。因此,如果输出不包含"Mac",则它很可能是在虚拟机中运行的,而最可能的原因是它正在由安全研究人员进行分析。执行的另一个虚拟机检查是检查逻辑和物理CPU的数量。由于CPU的数量是在虚拟机中模拟的,这是另一个相当可靠的指标,表明恶意软件正在分析中。如果这些检查失败,恶意软件就会终止。幸运的是,由于恶意软件没有签名,所以可以通过黑客攻击可执行文件来绕过这些反分析检查,然后在虚拟机中对其进行分析。关于作者恶意软件的网站包括"关于我们"部分,作者在其中提供了一些有关其动机的信息:我们是雅虎和Facebook的工程师。在我们作为安全研究人员的几年中,我们发现Mac用户缺乏复杂的恶意软件。根据我们的调查数据,随着苹果产品近年来越来越受欢迎,越来越多的人开始转向MacOS操作系统。我们相信人们在MacOS上需要这样的程序,所以我们免费提供这些工具。与黑暗中的大多数黑客不同,免费高防cdn有哪些,我们是专业的开发人员,在软件开发方面有着丰富的经验,对监视也有着浓厚的兴趣。您可以依赖我们的软件,正如全球数十亿用户依赖我们的clearnet产品一样。我怀疑很多这可能是不准确的。我非常怀疑他们是否真的会泄露他们前雇主的信息,这将提供一个线索,可以用来帮助追查他们,也可以作为审判的证据。此外,作为一个安全专家,一个安全研究人员能够为持久性做的最好的事情就是一个启动代理,这是相当可笑的。另外,勒索软件应用程序中没有任何解密文件的方法是非常业余的。这意味着曾经存在的Mac勒索软件中有2/3无法解密文件,因此付费用户将无法获得任何数据。希望这将使未来的Mac勒索软件的受害者不愿付费,这反过来又会使将来开发此类恶意软件无利可图。所有这些因素都意味着这些黑客毫无疑问不具备他们声称拥有的资质,实际上是有犯罪倾向的业余开发者。消毒出现以下任何一项都是感染的指标:~/库/启动代理/com.apple.webkit.plist公司~/库/启动代理/com.apple.finder网站.plist公司~/Library/.DS\u存储/~/Library/.FS_存储Malwarebytes for Mac将检测这些OSX.MacSpy以及OSX.MacRansom公司.如果您感染了MacSpy,在删除它之后,您应该确保更改所有密码,因为它们可能已被密钥记录、屏幕截图和/或剪贴板过滤所破坏。如果您的工作计算机已被泄露,请与您的IT部门联系以提醒他们该问题;否则,您的帐户或其他信息泄漏可能会让犯罪分子在内部访问您公司的服务器。如果你感染了MacRansom并且没有加密你的数据,那就认为你很幸运。开始定期备份你的电脑,如果你还没有,避免让备份驱动器一直保持连接。如果你有勒索软件加密的数据,它有可能被加密专家解密。虽然我们目前还没有关于解密这些文件的信息,但是如果确定了一种解密方法,我们将在将来更新本文。