99在线视频免费观看_欧美老妇变态按摩_国产 首页 综合_一本加勒比HEZYO熟女_亞洲成av人片在線觀看無_国产av无码专区亚洲版综合_伊人久久大线蕉色首页_91尤物在线精品无码中文_青青草大伊人大_最好看的2018中文字幕高清

相信在多數(shù)用戶的印象里，macOS系統(tǒng)幾乎不會(huì)受到病毒的影響。一方面，由于Windows市場(chǎng)占有率大，吸引了絕大部分的黑客和病毒攻擊，從而顯得針對(duì)macOS系統(tǒng)的攻擊較少；另一方面，得益于蘋果商店對(duì)軟件嚴(yán)格的審核機(jī)制，也極大地降低了病毒入侵macOS系統(tǒng)的可能性，有效保證了用戶安全。

但是，相較于費(fèi)用高昂的正版軟件，灰色破解類軟件成為多數(shù)macOS終端用戶的下載剛需。而下載這類破解軟件，則需要繞過(guò)蘋果應(yīng)用商店，前往軟件官網(wǎng)甚至第三方平臺(tái)下載，如下載站、論壇等地。由于第三方平臺(tái)缺乏嚴(yán)格的審核機(jī)制，很容易成為風(fēng)險(xiǎn)聚集地。

此外，隨著macOS系統(tǒng)用戶數(shù)量日益增長(zhǎng)，對(duì)破解軟件的需求也越來(lái)越大，導(dǎo)致分發(fā)的渠道變得更加多樣和不可控，這同時(shí)也給黑客投放針對(duì)macOS系統(tǒng)的病毒提供了誘因和便利。目前而言，macOS系統(tǒng)用戶同樣面臨大量病毒攻擊的威脅。

火絨安全實(shí)驗(yàn)室通過(guò)溯源分析近兩年影響到macOS系統(tǒng)較為嚴(yán)重的病毒威脅事件發(fā)現(xiàn)，目前macOS系統(tǒng)上病毒傳播途徑主要有兩種：

• 一是通過(guò)仿冒軟件官方網(wǎng)站散播惡意代碼的軟件包；
• 二是利用第三方下載渠道進(jìn)行定點(diǎn)投毒。

一、仿冒軟件官網(wǎng)傳播病毒

黑客通過(guò)偽造知名的軟件官網(wǎng)，如NavicatPremium、iTerm2等軟件，然后利用購(gòu)買搜索引擎的排名，引誘用戶下載帶有惡意代碼的軟件安裝包，從而達(dá)到傳播病毒的目的。

假冒軟件官網(wǎng)通過(guò)搜索引擎購(gòu)買排名

假冒軟件官網(wǎng)截圖（網(wǎng)址已被查封，圖片來(lái)自知乎用戶）

正常軟件官網(wǎng)截圖

以火絨安全實(shí)驗(yàn)室監(jiān)測(cè)到的針對(duì)macOS系統(tǒng)的蠕蟲病毒ZuRu為例，該病毒被發(fā)現(xiàn)于2021年9月份，通過(guò)假冒官網(wǎng)上的惡意軟件進(jìn)行傳播，近期被發(fā)現(xiàn)同樣也在利用第三方下載渠道進(jìn)行大范圍擴(kuò)散。該病毒會(huì)收集用戶各類隱私信息，黑客可以隨時(shí)通過(guò)遠(yuǎn)控服務(wù)器對(duì)病毒下發(fā)后門指令，執(zhí)行各類惡意行為，嚴(yán)重威脅廣大macOS終端用戶安全。

二、通過(guò)第三方下載平臺(tái)傳播病毒

第三方下載平臺(tái)同樣是針對(duì)macOS系統(tǒng)病毒的聚集地?；鸾q安全實(shí)驗(yàn)室分析發(fā)現(xiàn)，黑客攻擊、供應(yīng)鏈污染（軟件開發(fā)者的開發(fā)環(huán)境被病毒感染，導(dǎo)致開發(fā)的軟件也攜帶病毒程序），甚至是下載平臺(tái)的管理人員審核不嚴(yán)，導(dǎo)致惡意軟件被上傳至站內(nèi)，都是下載平臺(tái)內(nèi)病毒傳播的主要原由。

作為威脅macOS平臺(tái)的勒索病毒EvilQuest，正是利用第三方下載平臺(tái)進(jìn)行廣泛傳播。該病毒啟動(dòng)后，會(huì)立即加密用戶的數(shù)據(jù)文件，并安裝鍵盤記錄器、反向shell后門，搜索用戶文件中的加密貨幣錢包相關(guān)文件。利用這些功能，黑客可以完全控制用戶的主機(jī)，這意味著就算用戶付費(fèi)進(jìn)行解密，黑客仍然可以對(duì)用戶終端實(shí)施其它惡意行為，如二次勒索、鍵盤監(jiān)控等。

文件被EvilQuest勒索病毒加密后留下的勒索信

安全建議：

為了避免遭遇病毒攻擊，火絨安全建議廣大用戶應(yīng)避免通過(guò)第三方下載平臺(tái)下載軟件，盡量通過(guò)正規(guī)渠道獲取，并及時(shí)檢查其安全性；同時(shí)我們也呼吁各大下載平臺(tái)管理人員，針對(duì)上傳文件加強(qiáng)審核，阻止病毒傳播，為用戶提供安全的下載環(huán)境。

為了保護(hù)macOS終端用戶的安全，“火絨終端安全管理系統(tǒng)2.0”（企業(yè)版）現(xiàn)已推出macOS終端版本，可有效攔截查殺上述病毒，保護(hù)用戶終端安全。

三、以下為上述病毒的詳細(xì)分析
一、ZuRu

ZuRu病毒于2021年9月首次發(fā)現(xiàn)，近期再次活躍。攻擊者向macOS軟件包（如NavicatPremium、iTerm2等軟件）植入惡意代碼。2021年9月該攻擊者通過(guò)仿冒工具官方網(wǎng)站的方式，傳播被植入惡意代碼的軟件包；此后，2022年2月攻擊者又通過(guò)攻擊第三方平臺(tái)傳播病毒，傳播范圍廣，造成惡劣影響。該病毒會(huì)收集受害者各種信息，持續(xù)接收、執(zhí)行來(lái)自C&C服務(wù)器的后門指令，攻擊者可隨時(shí)通過(guò)C&C服務(wù)器下發(fā)的指令執(zhí)行惡意行為。

主程序

被植入惡意代碼的軟件包比官方原版多了一個(gè)名為libcrypto.2.dylib的惡意文件，使用otool工具查看主程序，發(fā)現(xiàn)添加了一個(gè)LC_LOAD_DYLIB加載命令來(lái)加載libcrypto.2.dylib文件，如下圖所示：

LC_LOAD_DYLIB加載命令來(lái)加載libcrypto.2.dylib

libcrypto.2.dylib

libcrypto.2.dylib被加載后，會(huì)連接C&C服務(wù)器,根據(jù)C&C服務(wù)器下發(fā)的指令，下載執(zhí)行其他惡意模塊。相關(guān)指令，如下所示：

相關(guān)指令

python惡意腳本

收集各種用戶系統(tǒng)信息，發(fā)送給C&C服務(wù)器，相關(guān)代碼，如下圖所示：

收集相關(guān)信息代碼

二、EvilQuest

EvilQuest病毒于2020年6月首次發(fā)現(xiàn)，該病毒是迄今為止針對(duì)macOS平臺(tái)最為復(fù)雜的威脅之一。攻擊者通過(guò)向macOS軟件包植入惡意代碼，利用第三方平臺(tái)進(jìn)行傳播。該病毒啟動(dòng)后，會(huì)立即加密受害者的數(shù)據(jù)文件，并且安裝鍵盤記錄器、反向shell后門，搜索受害者文件中的加密貨幣錢包相關(guān)文件。利用這些功能，攻擊者可以完全控制受害者的主機(jī)，這意味著就算受害者付費(fèi)進(jìn)行了文件解密，攻擊者仍然可以對(duì)受害者主機(jī)做任何事情，如：二次勒索、鍵盤監(jiān)控等惡意操作。

較為典型的后門功能代碼

鍵盤記錄

使用CGEventTapCreate函數(shù)來(lái)記錄用戶輸入的按鍵，在回調(diào)函數(shù)process_event中將用戶輸入的鍵值轉(zhuǎn)換為按鍵字符，輸出到控制臺(tái)。相關(guān)代碼，如下圖所示：

鍵盤記錄功能代碼

接收C&C服務(wù)器下發(fā)的惡意文件

相關(guān)代碼，如下圖所示：

接收C&C服務(wù)器下發(fā)的惡意文件

運(yùn)行C&C服務(wù)器下發(fā)的惡意文件

運(yùn)行C&C服務(wù)器下發(fā)的惡意文件先嘗試加載到內(nèi)存中，如果加載到內(nèi)存中失敗，則保存在文件中運(yùn)行它。相關(guān)代碼，如下圖所示：

運(yùn)行C&C服務(wù)器下發(fā)的惡意文件

上傳指定文件病毒會(huì)創(chuàng)建一個(gè)名為ei_forensic_thread線程，根據(jù)正則表達(dá)式搜索計(jì)算機(jī)中指定類型（如：證書、錢包、密鑰等）的文件，并且上傳到C&C服務(wù)器中。正則表達(dá)式列表，如下圖所示：

正則表達(dá)式列表

相關(guān)代碼，如下圖所示：

上傳指定文件代碼

文件加密搜索指定類型的文件加密，被加密的文件擴(kuò)展名列表，如下圖所示：

被加密的文件擴(kuò)展名列表

文件加密相關(guān)代碼，如下圖所示：

文件加密代碼

三、附錄

樣本hash：