Jamf Blog
April 26, 2021 Von Jaron Bradley

Shlayer-Malware missbraucht Gatekeeper-Umgehung unter macOS

Die entdeckte Malware Shlayer ermöglicht es einem Angreifer, die Sicherheitstechnologien Gatekeeper, Notarisierung und Dateiquarantäne in macOS zu umgehen. Der Exploit ermöglicht die Ausführung nicht zugelassener Software auf dem Mac und wird über kompromittierte Websites oder verfälschte Suchmaschinenergebnisse verbreitet.

In einem kürzlich veröffentlichten Blog-Beitrag berichtete Objective-See, dass ein Angreifer vor macOS 11.3 ein gefälschtes Anwendungsbündel mit einem Skript als primäre ausführbare Datei erstellen konnte, das es ihm ermöglichte, die Dateiquarantäne, den Gatekeeper und die Notarisierung auf der macOS-Plattform zu umgehen. All dies sind Technologien, die verhindern sollen, dass nicht zugelassene Software unter macOS läuft.

Die Situation wird noch dadurch verschärft, dass das Erkennungsteam von Jamf Protect beobachtet hat, dass dieser Exploit in größerem Umfang von einer Variante des Adware-Droppers Shlayer verwendet wird. Die beobachtete Variante hat starke Ähnlichkeiten mit einem Muster, über das Intego Security bereits geschrieben hat. Tatsächlich sind beide Malware-Samples nahezu identisch. Der Hauptunterschied besteht in diesem Fall darin, dass die Variante neu verpackt wurde und jetzt ein Format verwendet, das für die Ausführung der Gatekeeper-Bypass-Schwachstelle erforderlich ist. Das Erkennungsteam von Jamf Protect hat bereits am 9. Januar 2021 Samples identifiziert, die diese Sicherheitslücke missbrauchen.

Im Folgenden werden die Details erläutert, wie die Sicherheitslücke von Angreifern missbraucht werden kann:

  1. Ein Angreifer erstellt manuell ein Anwendungsbündel, indem er ein Skript als Hauptausführungsdatei verwendet. (Beispiel: myapplication.app/Contents/MacOS/myapplication, wobei „myapplication“ ein Bash-Skript ist). Wird dieses Bundle erstellt, wird keine Info.plist-Datei erstellt.
  2. Die Anwendung kann dann in einer DMG zur Verteilung abgelegt werden.
  3. Wird die DMG gemountet und die Anwendung doppelt angeklickt, wird die Kombination einer skriptbasierten Anwendung ohne Info.plist-Datei ohne Quarantäne-, Signatur- oder Beglaubigungsprüfung ausgeführt. Dies funktioniert auf jedem System mit den macOS Versionen 10.15 bis 11.2.

Frühere Varianten dieser Malware sind dafür bekannt, dass sie sich über manipulierte Suchmaschinenergebnisse verbreiten – diese Variante ist dabei keine Ausnahme. Bei diesem Ansatz erstellen die kriminellen Akteure, die die Malware verbreiten, Webseiten mit Inhalten, die darauf zugeschnitten sind, in den Suchergebnissen für gängige Suchanfragen zu erscheinen, oder sie kapern legitime Websites ohne das Wissen des Eigentümers. Da die meisten Suchmaschinen die Indizierung und das Ranking automatisieren, führt dies dazu, dass sie versehentlich Links zu den bösartigen oder gekaperten Websites veröffentlichen, die Malware hosten. In der Praxis könnten Benutzer bei der Suche nach beliebigen häufig verwendeten Begriffen potenziell über Malware stolpern. Dies ist ein Beispiel für die Suche eines Benutzers nach „Alexa und Disney“ in der Google-Suche vom April 2021.

Screenshot of Google results when searching “alexa and disney” taken by Jamf on April 12, 2021.

Screenshot der Google-Ergebnisse bei der Suche nach „Alexa und Disney“, aufgenommen von Jamf am 12. April 2021.

Wenn der Benutzer auf ein kompromittiertes Ergebnis klickt, in diesem Fall auf den oben hervorgehobenen Link, wird er auf eine neue Webseite umgeleitet, auf der er aufgefordert wird, eine unerwünschte Softwareanwendung herunterzuladen, die einer echten Warnung zum Aktualisieren veralteter Software ähnlich sieht. Dies ist natürlich nicht etwas, das spezifisch für Amazon, Disney oder Google gilt, sondern Kriminelle missbrauchen die Indizierung von Suchmaschinen und/oder kompromittieren Webseiten.

Screenshot of fake installer taken by Jamf on April 12, 2021. Adobe Flash Player reached End of Life on 12/31/2020

Screenshot eines gefälschten Installationsprogramms, aufgenommen von Jamf am 12. April 2021. Adobe Flash Player hat das Ende seiner Produktlebensdauer am 31.12.2020 erreicht

Eine ältere Variante der Shlayer-Malware lieferte eine DMG-Datei, die einen Systemlink zu einem Shell-Skript enthielt. Dieses Shell-Skript war mit einem Installer-Logo versehen, das dem Benutzer den Anschein von Legitimität vermittelte. Die gemountete DMG enthielt auch Anweisungen, mit der rechten Maustaste auf die Datei zu klicken und „Öffnen“ auszuwählen, um den Benutzer davon zu überzeugen, die schädliche Anwendung zu installieren. Und während das Ausführen der Datei auf diese Art und Weise gemäß Apples Auslegung zulässig ist, ermöglicht diese Methode das Öffnen von Programmen – sowohl vertrauenswürdigen als auch bösartigen – unter Umgehung der Gatekeeper-Prüfungen, was in diesem Fall zur Infektion des Macs führt.

The old variant of Shlayer attempting to convince a user to right click and open the malware

Die alte Variante von Shlayer, die versucht, einen Benutzer davon zu überzeugen, mit der rechten Maustaste zu klicken und die Malware zu öffnen.

Diese neu gefundene Variante erfordert nicht mehr die Rechtsklick-Methode, da die Malware in dem Format verpackt ist, das für den Missbrauch von CVE-2021-30657 erforderlich ist.

Die neue Gatekeeper-Umgehung Schritt für Schritt

Nach dem Mounten der DMG und dem Öffnen des Installers wird dem Benutzer die folgende Anwendung angezeigt:

Shlayer malware installation prompt.

Bei der weiteren Untersuchung des Layouts der Anwendung werden weitere Details sichtbar.

File structure of the DMG installer for the malicious application.

Das Bild, das dem Benutzer nach dem Mounten der DMG angezeigt wird, scheint die „Installer“-Datei zu sein. In Wirklichkeit handelt es sich jedoch um eine Systemverknüpfung, die auf das Anwendungsbündel 1302.app oder die schädliche Anwendung selbst verweist. Durch einen Doppelklick auf das „Installer“-Bild in Abbildung C führt das System aber in Wirklichkeit die 1302.app aus, wobei 1302.app/Contents/MacOS/1302 nur ein Bash-Skript ist.

File path displayed in Terminal displaying the script to be executed.

Aufgrund des Dateipfad-Layouts, in dem dieses Skript eingerichtet ist, führt ein Doppelklick auf das Installationssymbol das Skript aus, das sich in 1302.app befindet, und umgeht die vom Gatekeeper durchgeführten Prüfungen, die in CVE-2021-30657 näher beschrieben werden.

Weitere Verhaltensweisen von Malware

Wie bereits erwähnt, wurde der Inhalt des Bash-Skripts selbst bereits in Varianten dieser Malware gesehen. Das Skript beginnt mit dem Aufruf des Befehls „mktemp -t Installer“, um einen eindeutigen Dateinamen zu erstellen. In diesem Fall wird „Installer.XXXXXXXX“ in einem temporären Verzeichnis erstellt. Die nachgestellten „XXXXXXXX“ im Dateinamen werden automatisch mit der aktuellen Prozessnummer und/oder einer für diese Dateiinstanz eindeutigen Buchstabenkombination erzeugt.

Truncated Output of Bash Script Contained Within 1302.app

Verkürzte Ausgabe des Bash-Skripts, das in 1302.app enthalten ist

In einem geschickten Versuch, ihre Anwesenheit vor einer Erkennung zu verbergen, versteckt die Malware eine gezippte ausführbare Datei am unteren Rand des Skripts selbst, wie oben in Abbildung E zu sehen.

Ein sekundärer Befehl, „tail -c 58853 $0 | funzip -1uD9jgw > ${TEMP_NAME}“, führt die folgenden Vorgänge aus:

Tail – nimmt die letzten 58853 Bytes des laufenden Skripts.

Funzip – Behandelt diese Bytes als Zip-Datei und entpackt sie mit dem angegebenen Passwort.

>${TEMP_NAME} – Schreibt die neu entpackte Datei auf die Festplatte an den vorgenannten Speicherort der temporären Datei.

Die entpackte ausführbare Datei wird mit dem Befehl „nohup“ aufgerufen, der den Prozess anweist, alle HUP- oder Auflegesignale zu ignorieren. Dieser wird häufig von Angreifern genutzt, um Programme im Hintergrund auszuführen. Die endgültige entpackte Schaddatei ist eine Variante der Bundlore-Adware, aber diese endgültige Schaddatei kann bei verschiedenen Shlayer-Varianten variieren.

Von Apple gepatcht

Apple hat diese Sicherheitslücke in der Version 11.3 von macOS gepatcht. Wird dieselbe Malware auf einer gepatchten Version von macOS ausgeführt, wird dem Benutzer eine Popup-Meldung angezeigt, die besagt, dass die Software „nicht geöffnet werden kann, da der Entwickler nicht identifiziert werden kann.“ Da die bösartige Anwendung nicht signiert oder mit einem gültigen Entwicklerzertifikat versehen ist, wird der Benutzer in der Meldung aufgefordert, die gemountete DMG, die das App-Bundle enthält, auszuwerfen.

Installation prompt attempt blocked by updated macOS version 11.3 and later.

Schlussfolgerung

Shlayer taucht immer wieder mit innovativen Methoden auf, um macOS-basierte Systeme zu infizieren. Jamf Protect bietet Verhaltensanalysen, um integrierte Skriptsprachen zu erkennen, die so ausgeführt werden, als wären sie App-Bundles. Dies sollte Benutzern helfen, Malware zu entdecken, die diese Technik auf Mac Computern mit macOS Versionen vor 11.3 missbraucht, ebenso wie andere verdächtige Anwendungen. Jamf Protect schützt vor bekannten Malware-Varianten von Shlayer, einschließlich der Adware-Varianten, die er verbreitet. Jamf empfiehlt Benutzern, „schnell und oft zu patchen“, um ihren Mac auf dem neuesten Stand zu halten, indem sie macOS auf die Version 11.3 aktualisieren, die ab sofort im Mac App Store erhältlich ist und den neuesten Schutz gegen die in diesem Artikel besprochenen Schwachstellen bietet.

Anzeichen für eine Gefährdung

Hashwerte von Dateien:

  • AdobeFlashPlayer.dmg → 55869270ed20956e5c3e5533fb4472e4eb533dc2
  • 1302.app/Contents/MacOS/1302 → 085a136c03f8b024a173068768c67b1a5ad928c1
  • Abgelegte ausführbare Bundlore-Datei → 20ac95c44549710a434902267394525333e96c0b

Domänen, die Malware verbreiten:

  • hxxps://supportversion[.]yourlinkforplaceforupgrading[.]info

Schützen Sie Ihre Umgebung noch heute

Blog durchsuchen
nach Kategorie:
Jamf Blog abbonieren

Industrietrends, Apple Neuigkeiten und das Neueste von Jamf, direkt in Ihrer Inbox.

Um mehr darüber zu erfahren, wie wir Ihre Informationen sammeln, verwenden, offenlegen, übertragen und speichern, werfen Sie bitte einen Blick auf unsere Datenschutzbestimmungen.