Palo Alto Networks 的威脅情報小組Unit 42 最近發現一款由OSX.DarthMiner發展出來,針對Mac 作業系統攻擊的惡意軟體。該惡意軟體能夠從受害者造訪過的主要加密貨幣交易平台及電子錢包網站中竊取相連結的瀏覽器cookies,以及儲存在Chrome中的密碼。最終,它會從內建在Mac裡的iTunes備份檔案中搜尋並竊取iPhone的SMS訊息。 從以往的攻擊事件來看,惡意使用者透過竊取登入帳號資料、網頁cookies和SMS資料,來避開這些網站的多重驗證。 若成功避開驗證,惡意使用者可以擁有受害者交易帳號及電子錢包的訪問權限,並且如同使用者一樣運用資金。 這個惡意軟體也在系統中下載貨幣採礦軟體。此軟體被製作得像是挖掘門羅幣(Monero)的XMRIG-type礦工。但事實上,它下載了一個開採Koto的礦工,Koto是一種與日本有關但鮮為人知的加密貨幣。 由於這個惡意軟體攻擊和交易平台相關的cookies,所以我們稱這個惡意軟體為“CookieMiner”。 接下來的部分,我們將簡單的介紹一些背景知識,然後進入到惡意軟體行為的技術細節。 背景知識 網頁cookies在身分驗證中很常被使用。當使用者登入網站時,使用者的cookies就被網頁伺服器紀錄登入狀態。若cookies被竊取,攻擊者將利用被害者的帳戶資訊成功登入網頁。竊取cookies對於避開異常登入偵測是很重要的一步。若使用者名稱以及密碼被竊取且被惡意使用者利用,網頁也許會對新的登入裝置發出通知或是要求提供額外的驗證方式,但若同時提供驗證cookies,網站很有可能會相信這次的登入和先前驗證的系統有關連,就不會發出通知或是要求提供額外的驗證方式。 加密貨幣交易平台,是使用加密貨幣與其他資產,例如數位(加密)貨幣或是一般法定貨幣,進行貿易的平台。多數的現代加密貨幣交易以及電子錢包服務都有多重驗證,而CookieMiner會透過竊取登入身份驗證資訊、簡訊以及網頁cookies來設法避開身分驗證。 若惡意使用者成功使用受害者的身分進入網頁,他們就可以進行提款等操作,這是比進行加密貨幣挖礦更有效率來獲得收益的方式,甚至,攻擊者可以大量買進或是賣出竊取到的資產來操作加密貨幣的價格,進而得到額外的收益。 技術細節 以下是CookieMiner的主要行為(下方會有更詳細的介紹) •從受害者裝置竊取Google Chrome和Safari瀏覽器cookies •竊取儲存在Chrome的使用者名稱與密碼 •竊取儲存在Chrome的信用卡資料 •竊取備份在Mac的iPhone簡訊 •竊取加密貨幣錢包資料與鑰匙 •使用EmPyre後門程式將受害者完全掌握 •在受害者的裝置上進行加密貨幣挖礦 竊取Cookies CookieMiner首先攻擊Mac作業系統的一個shell指令碼。如圖1所示,它將Safari瀏覽器的cookies複製到一個資料夾,並上傳到遠端伺服器(46.226.108[.]171:8000)。這個伺服器提供“curldrop”(https://github.com/kennell/curldrop)的服務,能讓使用者用curl上傳檔案。而攻擊目標鎖定連結到加密貨幣交易平台的cookies,包含幣安(Binance)、Coinbase、Poloniex、Bittrex、以太坊錢包(MyEtherWallet)與其他任何在網址含有“blockchain”的網頁,如www.blockchain.com等。 file:///C:/Users/SHANGS~1/AppData/Local/Temp/msohtmlclip1/01/clip_image002.png 圖1 竊取網頁cookies的程式碼 竊取信用卡、密碼、電子錢包及SMS簡訊 蘋果電腦的Safari並非唯一被鎖定的網頁瀏覽器。Google Chrome也因為其高普及率而吸引攻擊者的注意。CookieMiner下載一個叫“harmlesslittlecode.py”的Python指令碼後,會從Chrome的本地資料儲存中竊取被儲存的登入憑證與信用卡資料(如圖2)。 file:///C:/Users/SHANGS~1/AppData/Local/Temp/msohtmlclip1/01/clip_image004.png 圖2 惡意軟體竊取的Chrome秘密資料 CookieMiner採用從GoogleChromium project程式碼的技術來解密、提取操作並進行濫用。Google Chromium是Google Chrome瀏覽器的開放式版本。CookieMiner透過濫用這些技術,試圖竊取主要國際信用卡,如Visa卡、萬事達卡、美國運通卡及發現卡(如圖3)的資訊。使用者儲存的登入憑證包含使用者名稱、密碼及對應的網址也都會被竊取(如圖4)。 file:///C:/Users/SHANGS~1/AppData/Local/Temp/msohtmlclip1/01/clip_image006.png 圖3 CookieMiner竊取的信用卡資料 file:///C:/Users/SHANGS~1/AppData/Local/Temp/msohtmlclip1/01/clip_image008.png 圖4 CookieMiner竊取的登入憑證 CookieMiner將所有與電子錢包相關的檔案路徑連接到它的遠端伺服器,讓它後續可以根據C2指令上傳檔案。這些檔案通常包含加密貨幣錢包的私密金鑰。若受害者用iTunes將檔案從iPhone備份到Mac(可透過Wi-Fi),他們iPhone中的簡訊也會被這些攻擊者取得(如圖5)。 file:///C:/Users/SHANGS~1/AppData/Local/Temp/msohtmlclip1/01/clip_image010.png 圖5 惡意軟體竊取錢包、cookies、密碼及SMS簡訊 加密貨幣挖礦 CookieMiner發出一系列的指令來設定受害者的裝置以挖掘加密貨幣並維持其持久性(圖6)。這個xmrig2程式是一個用來執行挖礦加密貨幣的Mach-O。如圖7所見,“k1GqvkK7QYEfMj3JPHieBo1m7FUkTowdq6H”這個位址擁有可觀的挖礦成果。它也在Maruru 礦池(kotopool.work)中被列為頂尖的礦工。挖礦的加密貨幣叫Koto,是一個以Zcash為基礎的匿名加密貨幣。在圖8中運用的“Yescrypt”演算法適合中央處理器礦工,但不適合圖形處理器礦工。這對惡意軟體來說是很理想的狀況,因為受害者無法保證有安裝獨立圖形處理器,但能保證有中央處理器。但是,資料夾名稱xmrig2通常被門羅幣礦工使用。我們認為惡意軟體的作者故意用這個檔案名來造成混淆,因為實際上礦工正在挖掘Koto加密貨幣。 file:///C:/Users/SHANGS~1/AppData/Local/Temp/msohtmlclip1/01/clip_image012.png 圖6 CookieMiner進行加密貨幣挖礦 file:///C:/Users/SHANGS~1/AppData/Local/Temp/msohtmlclip1/01/clip_image014.png 圖7 工人的挖礦成果 遠端遙控 為了持續及進行遠端遙控,指令碼會從hxxps://ptpb[.]pw/OAZG下載另一種base64編碼的Python指令碼。經過一些反混淆的步驟,我們發現攻擊者利用EmPyre進行開發後控制。EmPyre是一個建立在密碼安全通訊及彈性架構的Python開發後代理程式。攻擊者能夠發送指令到受害者的裝置進行遠端操控。此外,代理程式會檢查Little Snitch(應用防火牆)是否有在受害者的主機上運行。如果有,它將會停止運行並退出。 結論 惡意軟體“CookieMiner”是幫助攻擊者收集驗證資料及加密貨幣資料來產生收益。若攻擊者擁有驗證過程所需的所有資訊,則多重驗證可能會失效。加密貨幣的擁有者需要隨時注意他們的安全性設定與數位資產,以預防被渗透與洩漏。Palo Alto Networks客戶皆受WildFire的保護而會自動偵測惡意軟體。AutoFocus使用者可以利用標記StealCookie來追蹤這個活動。
|