跨平台后门Mokes现已加入OS X豪华午餐

近期，卡巴斯基实验室的安全研究人员发现了一种恶意软件，这种恶意软件可以在目前主流的几款操作系统平台上运行，包括Windows、Linux和Mac OSX。

根据报道，安全研究专家在今年一月份发现了一款针对计算机操作系统的跨平台木马后门。当时，安全研究人员仅在Linux和Windows这两大操作系统中发现了该后门的代码。而现在，研究人员又在OSX系统中检测到了这一后门变种（Mokes.A）。据分析，这一后门采用了C++编程语言进行开发，并且还使用到了Qt框架（一款跨平台应用程序框架）。

Windows和Linux平台的Mokes后门分析：［传送门］

跨平台的恶意软件正在兴起

在此之前，攻击者只会将他们的注意力放在Windows操作系统上，他们更愿意花时间去开发针对Windows平台的恶意软件。但是现在，网络攻击者们似乎已经开始开发跨平台的恶意软件了，而且这个趋势的增长势头有点猛。

由于近些年Mac OS X和其他类型的桌面操作系统不断兴起，攻击者也毫无疑问地会跟上这个发展潮流，所以跨平台恶意软件的出现也并没有出乎我们的意料。

跨平台的恶意软件需要通过特殊的有效载荷（payload）和功能组件来进行加载，而这些特殊的payload和组件正是它们能够跨平台运行的基本条件。

针对Mac OS X的Mokes后门

在今年一月份，卡巴斯基实验室的安全研究人员Stefan Ortloff首次在Linux和Windows这两个操作系统中发现了这种跨平台的后门，并将该后门取名为“Mokes”。而在不久之前，安全研究人员又在MacOS X系统中发现了这一木马家族的变种，即Mokes.a。与Windows和Linux平台上的Mokes后门类似，针对OSX的后门（Backdoor.OSX.Mokes.a）能够利用受感染设备的摄像头和麦克风来记录视频和音频数据，并获取到设备的键盘记录，而且它每隔三十秒就会在目标设备上截一次图。

除此之外，这一后门还可以监控类似U盘这样的移动存储设备。当受感染设备上插入了一个U盘之后，该后门便会立刻获取U盘中的数据。值得注意的是，它还可以扫描目标设备文件系统中的Office文档，例如.docx、.doc、.xlsx、以及.xls文件。

Mokes.a的功能远不止获取文件和数据这么简单。它还可以通过远程C&C服务器来获取攻击者的操作指令，并且在目标用户的计算机中执行这些命令。该后门在与C&C服务器通信时，会建立一个经过AES-256加密的安全通信链接，而这一加密算法被认为是目前一种非常安全的加密算法。

Ortloff在对Mokes.a样本进行分析时发现，当该后门被执行之后，它可以进行自我复制，并将自己复制到文件系统中各个不同的地方，例如Skype、Dropbox、Google、以及Firefox等程序的Cache文件中。

深入分析Backdoor.OSX.Mokes.a

当我们拿到该后门的检测样本时，其文件名为“unpacked”。

　　运行

当我们首次运行Mokes.a时，这款恶意软件会按照下列目录顺序依次将自己拷贝到这些目录中：

$HOME/Library/AppStore/storeuserd

$HOME/Library/com.apple.spotlight/SpotlightHelper

$HOME/Library/Dock/com.apple.dock.cache

$HOME/Library/Skype/SkypeHelper

$HOME/Library/Dropbox/DropboxCache

$HOME/Library/Google/Chrome/nacld

$HOME/Library/Firefox/Profiles/profiled

自我复制完成之后，它会在这些目录下分别创建一个plist文件，并以此来实现其在目标系统中的持久化：

一切设置妥当后，它便会使用TCP协议和80端口来与远程C&C服务器建立首次通信链接（HTTP）：

User-Agent中的内容已经提前硬编码至后门代码中了，服务器会以长度为208字节的“text/html”内容来响应后门的网络请求。接下来，恶意代码会通过TCP的443端口来与服务器建立加密链接，加密过程使用的是AES-256-CBC加密算法。

　　Mokes.a的功能

上述操作完成之后，该后门便会开始配置其功能：

　　1.记录音频数据：

　　2.监控移动存储设备：

　　3.截取屏幕图片：

　　4.扫描文件系统中的Office文档（xls、xlsx、doc、docx）：

除此之外，攻击者还可以通过C&C服务器来对后门的文件过滤器进行自定义配置，这样不仅能够增强其对目标文件系统的监控能力，而且还可以更方便地在目标系统中执行任意代码。

该恶意软件会在目标系统中创建以下几个临时文件，如果C&C服务器无法响应的话，它就可以将收集到的用户数据暂时保存到这些文件中。

$TMPDIR/ss0-DDMMyy-HHmmss-nnn.sst(屏幕截图)

$TMPDIR/aa0-DDMMyy-HHmmss-nnn.aat(音频数据)

$TMPDIR/kk0-DDMMyy-HHmmss-nnn.kkt(键盘记录)

$TMPDIR/dd0-DDMMyy-HHmmss-nnn.ddt(其他数据)

DDMMyy= 日期: 070916 = 2016-09-07

HHmmss= 时间: 154411 = 15:44:11

nnn = 毫秒

如果目标系统中没有定义环境变量$TMPDIR的话，该恶意软件会默认使用“/tmp/”来作为临时文件目录。

该恶意软件的作者还留下了一些极具参考价值的信息，相应的源文件如下图所示：

　　入侵威胁指标(IOC)

后门名称：Backdoor.OSX.Mokes.a

后门hash：664e0a048f61a76145b55d1f1a5714606953d69edccec5228017eb546049dc8c

感染文件：

$HOME/LibraryAppStore/storeuserd

$HOME/Library/com.apple.spotlight/SpotlightHelper

$HOME/Library/Dock/com.apple.dock.cache

$HOME/Library/Skype/SkypeHelper

$HOME/Library/Dropbox/DropboxCache

$HOME/Library/Google/Chrome/nacld

$HOME/Library/Firefox/Profiles/profiled

$HOME/Library/LaunchAgents/$filename.plist

$TMPDIR/ss*-$date-$time-$ms.sst

$TMPDIR/aa*-$date-$time-$ms.aat

$TMPDIR/kk*-$date-$time-$ms.kkt

$TMPDIR/dd*-$date-$time-$ms.ddt

远程主机：

158.69.241[.]141

jikenick12and67[.]com

cameforcameand33212[.]com

User-Agent:Mozilla/5.0(Macintosh; Intel Mac OS X 10_9_3) AppleWebKit/537.75.14 (KHTML, like Gecko)Version/7.0.3 Safari/7046A194A

总结

目前，安全研究人员还没有找到Mokes后门家族背后的始作俑者到底是谁。但无论是独立的黑客组织也好，由国家资助的黑客组织也罢，就目前可获取到的信息来看，这款后门绝对是一种非常复杂的恶意软件。

**本文转自d1net（转载）**