新的Mac的后門程序竊取鑰匙鏈內容 灰鴿子使用教程,灰鴿子下載

admin

新的Mac的后門程序竊取鑰匙鏈內容 灰鴿子使用教程,灰鴿子下載

keydnap惡意軟件使用創造性的方式感染計算機和獲取root權限
研究人員已經發現了一種新的Mac的后門程序，旨在竊取存儲在操作系統的加密鑰匙扣憑據，讓攻擊者控制系統。
被稱為OSX / keydnap通過從反病毒廠商ESET研究人員，這是第二個后門程序的定位在過去幾天里發現Mac殺毒廠商。
現在還不清楚如何keydnap是分布式的，但它的到來在一個zip文件形式的電腦。里面有一個明顯的良性擴展，如可執行文件。txt或jpg，實際上有一個空字符結尾。該文件也有一個圖標，表示一個圖像或文本文件。
打開此惡意文件在查找器實際上執行其在終端應用程序的代碼。執行發生的真的很快，與終端窗口只是閃爍了一點。好消息是，如果文件是從互聯網上下載的，而“把關人”的安全功能是打開的最新版本的操作系統X，該文件將不會自動執行，用戶將看到一個安全警告。
然而，如果代碼被執行時，它會下載并安裝后門組件，稱為icloudsyncd，連接到Tor的匿名網絡的命令與控制信道。如果有root權限，該組件還配置本身開始每次重新啟動Mac。
它試圖獲得根訪問的方式也很有趣。它將等待，直到用戶運行一個不同的應用程序，它會立即產生一個窗口，要求用戶的憑據，完全像窗口操作系統X用戶通常會看到當一個應用程序需要管理員權限。
后門程序可以接收來自控制服務器的命令來更新自己，下載和執行文件和腳本，執行命令和發送回輸出。它還包括一個組件，竊取了OS X的鑰匙鏈的內容。
這部分是基于開源的概念證明代碼發布在Github上。它讀取的securityd OS X服務的記憶，它處理的鑰匙串訪問，和鑰匙串解密密鑰搜索。一旦有了這把鑰匙，它可以將用戶憑據存儲在。
而惡意軟件感染的Mac電腦比電腦更困難的是，尤其是在OS X的最新版本的所有安全功能開啟，keydnap表明，攻擊者仍然可以想出創造性的辦法來欺騙用戶，利用他們的習慣。