羅馬尼亞的安全軟體廠商比特梵德的安全研究員發現了一組新的惡意軟體,可以通過mac os x系統打開“後門”。
這款惡意軟體的技術名稱為“backdoor.mac.eleanor”。目前,該惡意軟體開發人員開始将其作為easydoc converter向受害者散布。easydoc converter是一個允許使用者通過在小視窗拖動轉換檔案的mac應用程式。
實際上,比特梵德表示,這個惡意easydoc converter僅下載下傳并運作惡意腳本,這些腳本在啟動時安裝并注冊三個新元件:tor隐藏服務、php網絡服務以及pastebin用戶端。
backdoor.mac.eleanor為mac建立一個.onion位址
tor服務自動将受感染的計算機連接配接至tor網絡,并生成一個.onion域名,攻擊者可以通過這個域名隻使用一種浏覽器通路使用者系統。
php網絡服務是連接配接的接收端,負責将從攻擊者控制台接收的指令解譯至本地mac作業系統。
pastebin代理幹預作用展現在:通過rsa與算法使用公共密鑰對pastebin url加密後,pastebin代理擷取本地生成的.onion域名并将其上傳至pastebin url。
“後門”提供大量遠端管理選項
比特梵德的研究團隊表示,backdoor.mac.eleanor能讓罪犯操控并與本地檔案系統互動、發起反向shell(reverse shell)執行root指令,并發起和執行所有類型的php、perl、python、ruby、java或c語言腳本。
此外,攻擊者還可以羅列在本地運作的應用程式,使用被感染的計算機發送電子郵件,并使用被感染計算機作為中介點連接配接并管理資料庫,以及掃描開放端口的遠端防火牆。
被感染的計算機基本上就成了攻擊者“僵屍網絡”的僵屍主機(bot),攻擊者随時可以利用僵屍主機發送大量垃圾郵件、竊取被感染系統的敏感資料,将其作為ddos攻擊的僵屍主機或安裝其它惡意軟體。
攻擊者通路mac的tor.onion連結如下圖所示:
====================================分割線================================
本文轉自d1net(轉載)