Ventir — бэкдор для Mac с двумя кейлогерами на борту

Раздел: Дайджест
Дата 03.06.2015
Просмотров: 405


Цели GREF достаточно разносторонние — от подрядчиков Пентагона до электронных и инженерных компаний, а также фонды и неправительственные организации, особенно те, которые имеют интересы в Азии.

Довольно часто группировка использует следующие IP для своих командных серверов: 210.211.31.x (China Virtual Telecom — Гонконг), 180.149.252.x (Asia Datacenter — Гонконг) и 120.50.47.x (Qala — Сингапур), что наводит на некоторые подозрения о причастности Китая.

Ventir

Бэкдор для Mac с двумя кейлогерами на борту. Казалось бы, зачем два? В случае отсутствия прав root на диск из секции _keylog в области данных дроппе-ра сохранялся файл под именем EventMonitor, реализация которого использовала API-функции Carbon Event Manager.

Следует отметить, что этот способ не всегда работает корректно. Например, для последней на данный момент версии OS X 10.10 логируются только нажатия клавиш-модификаторов (Ctrl, Alt, Shift, etc.) и все, так как этот интерфейс считается устаревшим.

Этот второй кейлогер базируется на open source проекте LogKext, исходники которого доступны на GitHub. Драйвер загружался в ядро при помощи стандартной утилиты OS X kextload.

Как видно, keylogger работал независимо от бэкдора, он сохранял лог в файл Library/.local/.logfile, который злоумышленники могли загрузить на свой C&C-сервер по команде.

Как уже упоминалось, способ с использованием драйвера гораздо более универсальный и надежный, но требует прав root.

Вероятно, авторы предполагали, что работа с правами root будет основным режимом работы их трояна.

Не исключено, что дроппер внедрялся на компьютер при помощи родительского приложения, которое могло использовать эксплойты для повышения привилегий.

К сожалению, механизмы распространения Ventir пока остаются невыясненными.

Вы можете оценить статью:

УжасноПлохоНормальноХорошоОтлично (Еще нету оценок)
Loading...Loading...

Поделиться этой записью с друзьями:

ВКонтакте    Facebook    Twitter    Мой Мир    Одноклассники

Вас могут заинтересовать другие материалы:

    Самые заметные malware для Apple
    Видео: Как работать в Android Nougat с двумя приложениями?
    Видео: Как проверить наличие Root прав на Android