AUTOMATED MACOS MALWARE SUBMISSIONS “INFECTING” VIRUSTOTAL

Photo credit by:  https://www.geckoandfly.com/3929/download-the-best-mac-os-x-anti-spyware-and-anti-virus-software-for-free/

研究人員和注重安全的電腦用戶都依賴在線反惡意軟體沙箱服務 VirusTotal 來跟上最新的威脅，並檢查他們發現的可疑樣本是否已經是已知的違法者。此工具的一個重要功能是任何人都可以上傳任何內容並立即檢查它是否是已知的威脅。

令人驚訝的是，即使惡意軟體開發者本身也可以利用 VirusTotal 等服務，通過上傳自己的惡意軟體來查看是否被檢測到來。雖然惡意軟體開發人員將其產品預先警告反惡意軟件服務似乎違反常裡，但這是開發人員測試其軟體是否會避免現有檢測算法以及了解其軟體在現實中的反檢測方式的是否起作用的一種方法。在 2015 年發布的一項研究中，發現在成為公開惡意軟體活動的一部分之前，已超過有 1500 個惡意軟體樣本在 VirusTotal 和其他在線虛擬沙箱上預先發布了。

考慮到這一點，研究人員熱衷於在這些網站上搜索和 “追捕” 未檢測到或檢測不到的惡意程式，並意識到他們很可能能夠更新自己的檢測機制以捕獲新出現的惡意軟體。這一情況在今年3月得到了極大的體現，由於此 “概念性驗證”（PoC）被上傳到 VirusTotal，發現了兩個 zero-day 漏洞影響 Adobe 和微軟的  並進行了預先修補。

事實上，這是一場在公開服務上玩弄貓捉老鼠的遊戲。
​
最近，這場遊戲發生了不尋常的轉變因為一名 SentinelOne 研究人員注意到 2018 年上半年被引用的 macOS 惡意軟體感染的數據特別奇怪。獨立研究機構 AV-Test，其主要任務是比較和測試主要的 AV 解決方案，注意到目前為止，FlashBack 和MaControl（又名“MacKontrol”，“MacControl”）是迄今為止 macOS 平台上最普遍的威脅。

當然，惡意軟體在macOS上的增加也就不足為奇了。令人驚訝的是 FlashBack 和 MaControl 是應該如此的普遍。 FlashBack和 MaControl 在 2012 年幾已經成為頭條新聞，即便如此，它們也不是第一個在外發現的變種。即使對那些仍然在危險軟體風險中翻滾的人來說，如果沒有像 SentinelOne 使用全面的反惡意軟體解決方案來強化套件，那麼這些數字是相當令人大開眼界。這不僅也是因為我們面對的是一個六年前的威脅。而且 FlashBack 和 MaControl 已被 Apple 自己的基本反惡意軟體工具-- Gatekeeper，XProtect 和 MRT 認可，它們將阻止，識別和刪除許多這些變種。

雖然可能是 Apple 的檢測通常不像 SentinelOne 有最新檢測，但事實是大多數聲譽良好的 macOS 反惡意軟體產品都清楚所有當前已知的 FlashBack 和 MaControl 變種。此外，在 2014 年，Apple 收購了所有與 FlashBack bot 相關的 C＆C 域名，並且在2013年末已關閉與上一個已知相關的 Java 漏洞。從各方面來看，FlashBack 已經不活躍。那麼，FlashBack 和MaControl 怎麼還能夠有如此龐大數量並被發現呢？

​在分析 VirusTotal 上的樣本後，SentinelOne 研究人員發現了一條線索：

SentinelOne 的 macOS 團隊更進一步研究發現，FlashBack 和 MaControl 的相同樣本在同一天內以增倍時間點多次提交。

Making a Hash of it

要了解這如何影響檢測，讓我們將原始 MaControl 樣本與最近上傳的樣本進行比較。在兩個文件上執行二進制差異表示它們是相同的，除了末尾的插入：

令人擔憂的是，對於未受保護的 Mac 用戶，Apple 的內建安全工具將無法檢測到 “填充” 樣本。 Apple 的識別程序依賴於與Yara 規則匹配的Sha1 hash 值：

但是，“填充” 將 XProtect 可識別的 Sha1，從  8a86ff808d090d400201a1f94d8f706a9da116ca 更改為
93922b711f18b7b9d859718521ba2854c37d39d7，這與搜索規則不匹配，並讓 Apple 不會注意到該文件的安全保護。

有趣的是，我們使用 “填充” 版本，刪除附加的字符串並將其轉回原始副本，XProtect 會注意到。這證明了 2012 年的原始樣本與最近上傳到 VirusTotal 的樣本之間沒有其他區別，除了二進製文件末尾的填充。

​Automated Variants 自動變種
到目前為止，我們可能會認為惡意軟體開發者必須負責製造這些小變種以避免被發現，但事實證明，這是個有點複雜的故事。當我們檢查檔案末尾的填充性質時，我們可以開始明白為什麼。

這是 FlashBack 變種末尾的填充，然後是 MaControl 變種末尾的填充：

驚訝的是，它們看起來非常相似，具有多個 “H” 字符串的形式：

FlashBack sample
H42_IP11.005_W7_x86_Ent_SP11531001025.22
H42_IP11.005_W7_x86_Ent_SP11531001240.06
H42_IP11.005_W7_x86_Ent_SP11531002164.69

MaControl sample
H43_IP13.054_W2008R2_x64_Ent_SP11531643140.19
H43_IP13.054_W2008R2_x64_Ent_SP11531643213.24
H43_IP13.054_W2008R2_x64_Ent_SP11531643334.22

字符串的主體表示出這是不同版本的 Windows 和字符串的結尾，正如以上提到的 SentinelOne 研究員所發現的，結果是包含了 Unix 時間點：

當然，這些與提交到 VirusTotal 的檔案實際時間點無關：

但是，一次刪除一個時間點，再重新計算 Hash 值並在 VirusTotal 上搜索，在大多數情況下，一次僅能命中一個範本 ，而且還是最近上傳的。

進一步的調查顯示，VirusTotal 中又增加了 10000 多個包含 “H” 字符串的 FlashBack 獨特變種。至於 MaControl，在某些情況下，unix timestring 被附加到文件的 __LINKEDIT 段以及 “H” 字符串或代替 “H” 字符串，以製造同一檔案的更多變種。我們的研究表示，僅在7月份，就有1000多個 MaControl 變種一次就上傳到 VirusTotal。

目前尚不清楚是誰上傳了這些變種，但考慮到 “H” 字符串和 unix timestring 的絕對數量和常見形式，它很可能是自動化和單一的。以下範例顯示嵌入的時間為非常接近的日期：

Thu 12 Jul 2018 08:51:05
Thu 12 Jul 2018 08:52:37 
Thu 11 Jul 2018 23:56:07 
Thu 12 Jul 2018 00:00:05

對於以上的範例，實際上傳時間為3天後。

此外，據我們所知，FlashBack 和 MaControl 沒有共同的開發者身份或分發管道。我們還注意到，儘管 Apple 的內建檢測很容易被 Hash 的變化所欺騙，但這些變種可被 VirusTotal 上的引擎廣泛檢測到。當然，SentinelOne 是不依賴於基於 hash 或特徵碼的檢測，無論二進制的更改如何，都還是可以識別這些變種。由於這些原因，這些上傳的變種似乎不太可能是以擊敗已知的安全軟體為目的。

最後，我們能夠從 VirusTotal 上的可用 metadata 中確定上傳者是使用API​​密鑰及通過程序化界面上傳的。

​Wrapping Up

不論這些上傳是否試圖誇大 FlashBack 和 MaControl 的範圍，或者它們是否是 “友好的攻擊火力” 的結果 - 也或許是由資安供應商使用的自動腳本，沒有注意到，甚至失去控制 ，這還有待觀察。

然而，很清楚的是，隨著安全研究人員依賴對像 VirusTotal 等服務的分析，惡意軟體獵人很可能會因此類提交而得出錯誤的結論。當提交檔案像這樣誇大時，研究不僅可能淹沒在這些無關的噪音中，還可能導致對當前威脅景觀性質的誤解。 FlashBack 和 MaControl 是否真的是 macOS 用戶目前面臨的五大威脅之一？或者是過去的威脅被挖出來了，還是重新開始？如果是後者，那麼 2018 年 macOS 上最普遍的惡意軟體究竟是什麼？

我們的研究結果已在發布前告知 VirusTotal。當更多新信息曝光時，我們會更新 SentinelOne 讀者。

原文