[[375596]]

概述

近日，研究人員發現一起攻擊macOS用戶的加密貨幣挖礦攻擊活動，其中使用的惡意軟件經過復雜的進化給研究人員的分析工作帶來了很大的困難和挑戰。該惡意軟件名為OSAMiner，最早出現于2015年。因為payload被導出為run-only AppleScript文件了，使得反編譯為源碼非常困難，因此導致整個分析工作非常難。近期，研究人員發現的一個變種將run-only AppleScript文件嵌入到了另一個腳本中，并使用公網的web頁面URL來下載真實的門羅幣挖礦機。

逆向run-only AppleScript

OSAMiner主要通過游戲和軟件的盜版版本進行傳播，其中包括英雄聯盟和office macOS版本。

AppleScript 文件包括源碼和編譯的代碼，但是啟用了"run-only"后就只有編譯后的版本了，不再有人類可讀的源代碼，使得逆向分析幾乎不可能。

Sentinel One安全研究人員在2020年底發現了一個新的OSAMiner樣本，雖然分析過程非常艱難。但是研究人員利用AppleScript disassembler(https://github.com/Jinmo/applescript-disassembler)和內部開發的反編譯工具aevt_decompile對其惡意軟件樣本進行了逆向分析。

繞過行為

Sentinel One發現，最近的OSAMiner攻擊活動中使用了3個run-only AppleScript文件來在感染的macOS 機器上部署挖礦活動。

· 一個從木馬化的應用執行的父腳本;

· 一個嵌入的腳本;

· 挖礦機設置AppleScript

父腳本的主要角色是將嵌入的AppleScript用"do shell script"命令寫入到~/Library/k.plist 中，并執行。此外，還會檢查機器是否有足夠的空閑空間，如果空閑空間不足就退出。

其他任務包括收集設備的序列號、重啟復雜加載和卸載daemon或代理、kill terminal應用。

研究人員分析發現主腳本還會設置駐留代理，從公網頁面URL處下載挖礦機的第一階段。

研究人員發現其中一個頁面還可以訪問(https://www[.]emoneyspace[.]com/wodaywo)，惡意軟件會分析指向一個PNG圖像的頁面源碼的鏈接。

這是第三個run-only AppleScript，會下載到~/Library/11.PNG中。其目的是下載開源的門羅幣XMR-Stak挖礦機，其可以運行在Linux、Windows和macOS平臺上。

設置腳本包括礦池地址、密碼和其他配置信息，但是不含錢包地址。此外，惡意軟件還使用"caffeinate"工具預防機器進入休眠模式。

繞過檢測

第二個腳本的作用是預防分析和繞過檢測。支持kill Activity Monitor (活動監視器)的結論，活動監視器類似Windows中的任務管理器，kill活動監視器的目的是預防用戶檢查系統的資源使用。

此外，腳本會kill掉系統一個硬編碼列表上監控和清理的主流工具進程。

雖然AppleScript腳本融入了許多強大的特征，OSAMiner的作者目前還沒有利用這些特征。這可能就是為什么當前設置可以運行加密貨幣挖礦活動而沒有被檢測到的原因。

Sentinel One最終證明了該技術還不夠成熟，研究人員仍然可以對其進行分析，并提出對應的防護手段。

完整技術分析報告參見：https://labs.sentinelone.com/fade-dead-adventures-in-reversing-malicious-run-only-applescripts/

本文翻譯自：https://www.bleepingcomputer.com/news/security/mac-malware-uses-run-only-applescripts-to-evade-analysis/如若轉載，請注明原文地址。