Matt Benyo van Jamf Threat Labs begon met het voorstellen van zichzelf en zijn specifieke team binnen Jamf Threat Labs: een team dat onderzoek doet naar en bescherming biedt tegen MacOS-malware. Zijn doel is om een beeld te geven van hoe malware werkt.
"De manier waarop beveiligingsproducten op de markt worden gebracht, maakt het makkelijk om bedreigingsonderzoek te zien als spion tegen spion, mantel en dolk, supermacht tegen natiestaat, en daar is zeker wat van waar. . . Maar dit is anders. Dit is iets wat ik zou beschouwen als een duik in de vuilnisbak: het is echt vuile oplichterij en smeerlapperij."
Zoals het cryptojacking-botnet dat Jamf Threat Labs heeft ontdekt.
Een paar dingen die je eerst moet weten
Zo werkt bedreigingsbescherming van Jamf Protect
Om dit verhaal te begrijpen, heb je een basiskennis nodig van hoe de bedreigingsbescherming van Jamf Protect werkt.
Jamf Protect werkt als een systeemuitbreiding in die zin dat de software gebruik kan maken van Apple's endpoint security API om op kernel-niveau inzicht te krijgen in de activiteit op het systeem. "Deze API geeft ons enige bevoegdheid om in te grijpen wanneer een proces wil lopen," legt Benyo uit.
Wanneer software bijvoorbeeld een proces probeert te starten, stuurt de kernel een bericht naar de geabonneerde beveiligingsextensie en laat deze beslissen of de applicatie geopend mag worden.
Dit is hoe Jamf Protect voorkomt dat acties worden uitgevoerd. Maar "Jamf Protect", zegt Benyo, "krijgt een heel klein tijdsvenster om te beslissen of een applicatie mag worden uitgevoerd."
Bronnen die Jamf Protect gebruikt
- Bestandshashes: een digitale vingerafdruk van een bestand, kan Jamf Protect een manier geven om identieke bestanden die kwaadaardige code bevatten te blokkeren
- Team ID's: ID's van ontwikkelaars die ondertekende code zijn; Jamf Protect blokkeert degenen die in het verleden schadelijke code hebben geproduceerd
- Yara regels: een open-source anti-virus rule engine die Jamf Protect helpt zoeken naar verdachte strings
Zo werk cryptocurrency mining
Om te begrijpen hoe de bot die Jamf Threat Labs vond werkte, moet je ook de basisprincipes begrijpen van hoe cryptocurrency mining werkt. "In principe bied je je computermiddelen aan om een complex wiskundeprobleem op te lossen," legt Benyo uit. Als een computer het oplost voordat anderen dat doen, wordt er een blok toegevoegd aan de blockchain. Voor elk blok dat je computer als eerste oplost, krijg je een beloning in de valuta die je aan het delven was.
De overhead kan hoog zijn, omdat er extra hardware nodig is en er meer elektriciteit wordt verbruikt. Daarom proberen kwaadwillenden soms andermans computerbronnen te gebruiken zonder dat de slachtoffers hiervan op de hoogte zijn.
Hoe dit avontuur begon
"Het begon allemaal," zei Benyo, "met een waarschuwing die we kregen op basis van de functie Bedreigingsbescherming van Jamf Protect."
Onderdeel van het model van Jamf Threat Labs voor het opsporen van bedreigingen is het monitoren hoe Jamf Protect-detecties het in het wild doen, zodat ze mogelijk malware kunnen identificeren die opnieuw wordt gebruikt of, in sommige gevallen, wordt aangepast.
Er werd een grote vis aan de haak geslagen
"Op een dag," zei Benyo, "stuitten we tijdens het bekijken van deze hits op een dreigingswaarschuwing die onze aandacht trok. Deze treffer was gebaseerd op een Yara-regel die ons vertelde dat de strings in het bestand overeenkwamen met een regel die we hadden."
Het was een open-source, niet-kwaadaardig mijnbouwprogramma genaamd XMRig. Daar is niets verdachts aan. Wat was verdacht? Het pad was een Final Cut Pro-pad. Waarom zou Apple zijn software gebruiken om cryptomining op de Mac van een gebruiker te smokkelen?
Nou, dat zou het niet.
"We wisten dat dit niet de echte Final Cut Pro kon zijn," zei Benyo. Het team vergeleek de Team ID met de echte Final Cut Pro. Geen verrassing, dit was geen echte kopie.
Niemand anders wist van deze malware!
Het team controleerde de hash bij VirusTotal: een veelgebruikte service die bestanden en URL's analyseert op virussen, wormen, trojans en andere soorten schadelijke content.
"Echter," zei Benyo, "wat we ontdekten is dat dit specifieke monster niet leek te bestaan in VirusTotal. Het was onbekend."
Het spel was begonnen!
Dus besloot het team op zoek te gaan.
"Als ik een illegale kopie van software zou kopen," zei Benyo, "zou ik naar the Pirate Bay gaan."
En dat is precies waar ze het vonden, downloadden en installeerden.
Om te zien wat er zou gebeuren.
Toen ik de software opende, leek deze precies zo te werken als iemand zou verwachten van Final Cut Pro.
Dus onderzocht het team het verder en verdiepte het zich in de applicatiebundel. Alles behalve de handtekening leek normaal; de structuur zag er goed uit. Toen merkten ze dat het uitvoerbare bestand 11,9 megabyte was, terwijl de werkelijke versie van Final Cut Pro 3,9 was. "Dus," zei Benyo, "keken we naar de hash en vergeleken hem; het was dezelfde."
Bingo.
De Telltale Chunk
Door in het uitvoerbare bestand te graven met het hulpprogramma strings werd een grote muur van tekst zichtbaar.
Eerst vonden ze een zeer complex bash script. Toen vonden ze een brok Base64-code.
Aanvallers gebruiken vaak Base64-gegevens om content in te sluiten in andere content. Met Base64 kunnen hackers eenvoudig gegevens coderen en decoderen, en dit is een zeer gemakkelijke manier voor een aanvaller om de bytes van een uitvoerbaar bestand te nemen en deze te coderen in een ander uitvoerbaar bestand.
"Wat veel malware doet om te voorkomen dat zijn strings worden gelezen, is Base64 gebruiken. Het lijkt een beetje op geheimtaal. Het zal je kinderen in verwarring brengen, maar ieder ander kan het terugdraaien met een simpel commando."
Dit vond het team
De malware werkt zo dat wanneer de gebruiker Final Cut Pro opstart, "het script in zichzelf grijpt", aldus Benyo, "en deze twee andere blobs eruit haalt."
- Blobnummer één: decodeert naar de echte Final Cut Pro. Als jij de gebruiker bent, ziet alles er goed uit.
- Blobnummer twee: levert I2P, het Invisible Internet Protocol: een daemon die van jouw computer een knooppunt van het dark web maakt. Het maakt anonimisering van verkeer mogelijk.
De computer stuurt vervolgens het ingesloten bericht naar de server van de aanvaller en deze begint blokuitdagingen naar de computer te sturen. Als het deze oplost en een blok maakt, neemt de aanvaller dat blok en stuurt nog een uitdaging. Steeds weer opnieuw.
Deze slechte actoren kunnen dus andere computers gebruiken om hun cryptomining voor hen te doen. Geen overhead meer. Geen krachtige apparaten of hoog elektriciteitsverbruik meer. Geïnfecteerde computers doen al het werk; de aanvaller krijgt een anonieme uitbetaling.
De plot wordt dikker
Maar zacht. Het team ontdekte dat deze malware lange tijd detectie had ontdoken.
De persoon die deze malware heeft geüpload is bekend onder de gebruikersnaam "wtfisthat" gevolgd door een groot getal. Op Pirate Bay kan iedereen de naam van een uploader selecteren om te zien wat hij nog meer heeft geüpload. Dat creëerde een geschiedenis van deze malware voor Jamf Threat Labs om te verwerken.
Toen het team de evolutie van deze malware zag, begreep het hoe er naar deze malware moest worden gezocht: zoek naar computers waarop XMRig of I2P was geïnstalleerd.
"Tot op de dag van vandaag," zegt Benyo, "als er een LogicPro of FinalCut update uitkomt, heeft deze persoon binnen een dag of twee een nieuwe versie hiervan draaien."
Het team bracht het naar Apple, dat snel een update uitbracht om het probleem op te lossen.
Hoogtepunten uit de vraag- en antwoordsessie die volgde:
V: Nogal briljant! Slachtoffers die Final Cut willen hebben, hebben mogelijk sterke systemen en merken niets van het verlies van bronnen.
A: Ja; ik heb niet gezegd dat alle programma's CPU-intensief waren: Photoshop, Final Cut Pro, Logic ... als iemands ventilator draaide, zouden ze het misschien niet merken.
V: Bestaat er een DMCA-uitzondering voor beveiligingsonderzoekers die illegale software downloaden? Komt de internetpolitie kijken?
A: Ik weet het niet en ik zou waarschijnlijk de detais moeten weten. Ik heb er in het begin wel over nagedacht, maar we hebben een hechte relatie met Apple en ik wist dat we er uiteindelijk mee naar hen toe zouden komen en ik had het gevoel dat ik alles onder controle had.
V: Hoe hebben ze sommige standaardbeveiligingen van MacOS en ondertekende programma's omzeild? Vroeg de app om met de rechtermuisknop te klikken om te openen en te omzeilen? Was het ondertekend?
A: Ja, zoiets. Ik zal dit zeggen: het is bijna onmogelijk om dit gekaapte programma te draaien op de huidige MacOS-versies. Zelfs toen Apple overstapte op Monterey, was deze malware moeilijk uit te voeren. Het had instructies zoals 'klik met de rechtermuisknop om te openen' of 'schakel dat uit'. Veel van deze torrents hebben een knop die zegt: 'open gatekeeper-vriendelijk'. Hiermee worden alle quarantaine-aspecten van het bestand verwijderd. Als je Jamf Protect hebt, zul je versteld staan hoeveel we hiervan tegenhouden. Er zijn veel mensen torrentend op computers op het werk.
V: Hoe werkt zo'n ontwerp in de context van malware die wordt geleverd door MDM?
A: Wat ons bij Jamf vaak wakker houdt, is dat als je een compromis kunt sluiten op MDM-niveau, de wereld op dat moment jouw speeltuin is. Het is iets waar we veel over nadenken. We hebben bepaalde sabotagedetecties die we zoeken voor Jamf Protect zelf.
V: Hoe beschermen we ons tegen onbekende malware?
A: Een van de kroonjuwelen van Jamf Protect toen het voor het eerst uitkwam, was dit idee van gedragsdetecties. We kunnen dingen meenemen, zoals het openen van activiteitenmonitors, die kunnen worden gebruikt voor gedragsdetectie. Als iets controleert op activiteitenmonitoring en vervolgens iets doodt, zullen we het vinden en blokkeren. Welke tactieken gebruikt deze malware? De tactieken zijn oud en worden door veel virussen gebruikt, zelfs in geavanceerdere malware.
V: Als we iets nieuws en origineels zien en slechts één klant ervaart het, hoe komt dat dan in het product terecht zodat iedereen beschermd is?
A: Dat is het werk van Threat Lab! Dat is de aard van ons werk. Het uitzetten van struikeldraden om dingen op te vangen en wat terugkomt te gebruiken voor nieuwe detecties, gedrag of anderszins.
V: Zijn er, vanuit het perspectief van het ontwijken van verdediging, betere manieren waarop ze zich hadden kunnen verbergen?
A: Oh, zeker. Dit was niet de meest geavanceerde aanval. Ze hebben duidelijk veel dingen gedaan om te verhullen wat ze aan het doen waren, zodat het lastig werd om het te vinden; er zijn manieren om dingen te doen die iets minder voor de hand liggend zouden zijn geweest, maar vanuit hun perspectief, als het werkt, doe het dan! Het feit dat ze dit vier jaar later nog steeds doen, zelfs nadat verschillende leveranciers het hebben gevonden en geblokkeerd, zegt me dat ze hier veel spreiding in hebben. We hebben geen manier om te kwantificeren op hoeveel eindpunten dit actief is of hoeveel geld dat oplevert, maar ze moeten geloven dat het het risico waard is. Het een minimaal levensvatbaar product (MVP)!
Bekijk deze sessievideo voor veel meer fascinerende details, vooral over de evolutie van deze malware, dan de blogruimte toelaat!
Meld je nu aan voor JNUC om toegang te krijgen tot deze en andere sessies.
Schrijf je in voor de Jamf blog
Ontvang markttrends, Apple-updates en Jamf-nieuws rechtstreeks in je inbox.
Raadpleeg ons Privacybeleid voor meer informatie over de manier waarop we uw gegevens verzamelen, gebruiken, bekendmaken, verplaatsen en bewaren.