我们针对SPI广告恶意软件进行了深入分析,发现该软件利用开源的mitmproxy拦截流量,并注入广告。
长期以来,恶意软件作者始终在寻找或创造新的方法,来避免检测,并产生收益。在上周,我们监测到macOS中出现了一种新型恶意软件,使用了此前没有见过的技术。由此,我们启动虚拟机,开始对这一恶意软件进行详细分析。
本文是我们针对这一恶意软件得出的分析结论。
老瓶装新酒
SearchPageInstaller(SPI)是自2017年以来持续活跃的广告恶意软件,但最近我们首次发现,该恶意软件的新变种使用到了mitmproxy。事实上,我们根据2017年12月在mac360.com上发表的一个帖子以及其下方的讨论中,就已经注意到了这种联系。并且,根据我们对一些代码组件的分析,我们认为这一恶意软件可能是在几个月前开发的,大概是在2017年8月左右。原因在于,我们发现该文件中包含日期(以美国的日期格式书写):
恶意软件采取了一种新颖的方法,以从广告中获得收入。SPI并没有简单地将浏览器重定向到用户没有实际访问的页面,而是将广告注入到用户搜索返回的HTML文档的顶部。为此,它首先在被感染的计算机上启用HTTP和HTTPS代理,我们可以在“系统偏好设置”(System Preferences)-“网络”(Network)的“代理”(Proxies)选项卡中看到证据:
在命令行中,输入system_profiler SPNetworkDataType | grep ‘Proxy Enabled’,可以看到:
我们查看已经被SearchPageInstaller拦截的网页,可以发现SPI将攻击者自定义的脚本添加到搜索结果页面的顶部,从而替换其他的任何广告:
该脚本来自chaumonttechnology.com,这个域名仅被VirusTotal上的两个反恶意引擎识别为恶意:
中间人攻击
至于Web代理,SPI使用了mitmproxy,这是一个开源的HTTPS代理。具体来说,它使用inject.py脚本,将脚本注入到网页主体中:
之所以能做到这一点,是因为mitmproxy本质上充当了服务器和客户端之间的“中间人”,创建了“动态的”虚拟证书,从而让服务器认为它是客户端,让客户端认为它是服务器。
借助SPI二进制文件,就能够实现这一点,一旦系统请求用户输入密码,它就会手动安装mitmproxy CA证书。我们能够在macOS 10.14 Mojave上检测到此类攻击:
如果获得授权,那么恶意软件会将启动“中间人”攻击所需的mitmproxy CA证书和其他凭据写入位于~/.mitmproxy中的隐藏文件夹:
检测
正如我们所看到的那样,当启动SearchPageInstaller时,它首先会尝试获取安装新证书的权限。然后,立即对网络代理设置进行更改,这一更改操作实际上也需要管理员的批准,因此会弹出另一个身份验证请求。SPI的行为会立即触发SentinelOne代理的响应,我们这次以macOS 10.12.6 Sierra的安装过程为例:
但是,由于我们正在进行恶意软件的分析,因此我们决定不阻止威胁,而是使用SentinelOne管理控制台独有的EDR功能来观察其行为。
在允许恶意软件继续执行后,我们就能够看到整个攻击的全貌,能清晰看到每个恶意软件进程的创建过程,以及所有生成的事件:
右侧面板中的视图,展示了当前选定的事件。在这种情况下,我们执行mitmdump binary,这是一个带有mitmproxy的命令行工具。
Mitmdump工具可以查看、记录和程序化转换HTTP流量。我们可以借此看到调用inject.py脚本和提供的参数的进程。在这里,mitmproxy在通过HTTPS连接时,会忽略正则表达式模式匹配的某些域名,其原因可能是为了避免在使用证书锁定(Certificate Pinning)保护流量过程中出现错误。
2668 篇文章