V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
yksoft1
V2EX  ›  macOS

一个 Mac OS X 远程偷拍图片的木马,其作者被指控使用该木马长达 13 年

  •  
  •   yksoft1 · 2018-01-12 00:34:37 +08:00 · 6866 次点击
    这是一个创建于 2536 天前的主题,其中的信息可能已经有所发展或是发生改变。

    https://blog.malwarebytes.com/threat-analysis/2017/01/new-mac-backdoor-using-antiquated-code/

    这玩意错综复杂,本体是一个 perl 脚本,自带使用 screencapture 命令截图的功能,然后会释放一个 Java 的 class 文件和一个可执行文件,并试图运行它们;整个程序运行在当前用户权限之下。 可执行文件里面使用了 QuickTime 的 API ( Sequence Grabber )来调用摄像头拍摄图片,使用了非 libjpeg-turbo 的古董版本 libjpeg 来压缩图片。原文认为,这两套东西都比 Mac OS X 10.0 都早,说明这个木马最早版本可能是 N 年之前的产物,甚至可能在 Mac 还是 PowerPC 的时期就搞出来了。而这个 Java 程序里面又是另外一种截图方法,以及模拟键盘鼠标操作。

    程序还会从服务器上下载两个 perl 脚本,负责用 mDNS 查找内网其他机器并连接其他机器,但并没有提到其使用漏洞向其他机器传播自身。原文从脚本中和 Yosemite 相关的一处注释上来看,这个木马至少是从 Yosemite 时期开始活动的,然后于 2017 年初被发现。奇怪的是,这个木马如此简单(就是一个 launchagent+一个 perl 脚本),没有使用任何漏洞,除了混淆了 perl 代码之外也没有任何自我保护措施,居然在 2017 年 1 月之前一直没有被发现。

    一个看姓氏是俄罗斯或者东欧的黑客 Phillip R. Durachinsky 在 2017 年初因为其他的案件被捕,上周在联邦法庭遭到起诉,根据指控,他利用这个木马偷拍照片为期长达 13 年,偷拍了数百万张图片。 https://www.justice.gov/opa/pr/ohio-computer-programmer-indicted-infecting-thousands-computers-malicious-software-and https://arstechnica.com/information-technology/2018/01/man-charged-in-malware-mystery-that-allegedly-spied-on-mac-users-for-13-years/

    13 条回复    2018-01-13 16:30:41 +08:00
    viosey
        1
    viosey  
       2018-01-12 00:42:14 +08:00   ❤️ 1
    自从看了黑镜,摄像头已用黑胶布贴住 (滑稽
    yksoft1
        2
    yksoft1  
    OP
       2018-01-12 00:46:49 +08:00
    2017 年 1 月被捕的 13 年前,现年 28 岁的这个木马作者应该是 14 岁。估计当时他看的 90 年代末的 Mac 文档开发出了这个程序。。。
    marenight
        3
    marenight  
       2018-01-12 02:53:13 +08:00 via iPhone   ❤️ 1
    妈的,不是说 mac 的摄像头指示灯是写在固件里的么?
    nicevar
        4
    nicevar  
       2018-01-12 07:13:59 +08:00 via iPhone   ❤️ 1
    mac 中木马的人真不少,而且相当一部分是 IT 行业,很多人不知道自己中招了,还整天在那宣扬 mac 很安全,老毛子特爱在破解软件上绑木马,特别是 pd,安装的时候弹出密码授权框蒙骗过关
    iPhone8
        5
    iPhone8  
       2018-01-12 08:29:21 +08:00   ❤️ 1
    @nicevar “还整天在那宣扬 mac 很安全”,所以我一直很讨厌果蛆
    zhaogaz
        6
    zhaogaz  
       2018-01-12 09:33:47 +08:00
    @nicevar 那怎么才能找到破解软件上的木马呢,,用什么工具扫一下比较好? 电脑里有不少破解软件,有点慌
    sobigfish
        7
    sobigfish  
       2018-01-12 10:31:08 +08:00   ❤️ 1
    @zhaogaz #6 https://github.com/synack/knockknock 可以查看所有的启动项,可以排查 但一个个看下来还是很累的
    lfzyx
        8
    lfzyx  
       2018-01-12 14:03:28 +08:00
    @nicevar @zhaogaz 为什么要用破解软件呢
    tagtag
        9
    tagtag  
       2018-01-12 16:24:47 +08:00
    用了 mac 之后软件费用花了 3000+了,支持正版是一个原因,另一个原因就是 mac 上的破解软件来源非常混杂,你不知道谁在里面加了什么料,而且很多正版开源软件安装的时候也会要求权限,弹出密码框,所以安装未知来源软件时候没法确定给不给权限,然而 mac 上的安全性常年不被重视,一直宣扬安全也是因为仅仅 macOS 份额太小,可能不值得特意开发恶意软件,而不是系统多么牢不可破,加之没有类似 windows 平台的优秀杀软,如果你的软件大多数是盗版的,千万别说你的 mac 很安全,搞不好已经千疮百孔了。
    nicevar
        10
    nicevar  
       2018-01-12 19:14:16 +08:00
    @zhaogaz 没有什么好的工具,毕竟 mac 上反病毒落后 win 太多,通过蒙骗的手段搞定 mac 比 win 容易多了,win 上面的防护软件基本上各个角落都盯着,调用个 api 都被盯着,没有深厚的内核技术根本搞不定,mac 下就不一样了,基本上没有任何防护软件的,很低的技术含量就能搞定一堆
    所以最好的办法是自己清楚每一个进程,经常观察网络端口连接情况,看是否有奇怪的请求
    nicevar
        11
    nicevar  
       2018-01-12 19:25:39 +08:00
    @lfzyx 你这问题问得,中国的盗版率你又不是不知道,整个互联网时代都是盗版中发展过来的,只不过最近几年才开始大量提倡使用正版,mac 上的软件我需要用的都买了,对于一些软件买了它有 bug 不给你解决,强行要你掏同样的钱买升级版本的,这种当然直接干掉它,mac 上的软件破解也不难,毕竟不像 win 下的软件,各种反制手段,加壳虚拟机等,就是因为弄这个才发现老毛子在破解软件上绑东西
    zhaogaz
        12
    zhaogaz  
       2018-01-13 12:32:55 +08:00
    @lfzyx 好多年前下载的东西,很多都还留着。。。
    zjsxwc
        13
    zjsxwc  
       2018-01-13 16:30:41 +08:00
    @sobigfish #6

    python 有点坑,我跑这代码前还要加点料避免编码缘故报错,(摔。。。

    ```
    # encoding=utf8
    import sys

    reload(sys)
    sys.setdefaultencoding('utf8')
    ```
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   2647 人在线   最高记录 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 23ms · UTC 06:59 · PVG 14:59 · LAX 22:59 · JFK 01:59
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.