[预警]OSX/Proton后门通过供应链攻击(Elmedia Player软件)传播

  • [预警]OSX/Proton后门通过供应链攻击(Elmedia Player软件)传播已关闭评论
  • 319 views
  • A+
所属分类:CVE剖析 渗透实战

[预警]OSX/Proton后门通过供应链攻击(Elmedia Player软件)传播

0x00 事件描述

2017年10月20日,Eltima官方发布一份安全公告,公告称旗下macOS平台下的Folx 和 Elmedia Player两款软件的DMG因为官网被入侵而被篡改并被植入了名为Proton的恶意代码[参考1],具体影响到了2017年10月19日在官网下载该两款软件的用户,其中安全厂商ESET参与了事件的发现和调查。

360CERT经过跟踪,确认官方描述的版本中确实存在恶意代码,且Proton恶意代码具备一系列的信息窃取和后门功能,影响严重。

建议使用了这2款软件的macOS平台用户,尽快按官方提供的方法进行安全评估。

0x01 事件影响面

注:部分信息来自[参考1]和[参考2]

影响面

该攻击事件可能影响到了 macOS 平台中使用Folx 和 Elmedia Player两款软件的用户,具体使用范围不明确(近期官方刚宣布拥有了100万个用户)。

目前分析,该事件中的Proton恶意代码具备完整的后门和信息窃取功能,危害严重。

影响版本

时间戳 开发者ID 文件hash(SHA-1)
Timestamp=Oct 19, 2017, 8:00:05 AM Authority=Developer ID Application: Clifton Grimm (9H35WM5TA5) e9dcdae1406ab1132dc9d507fd63503e5c4d41d9
Timestamp=Oct 19, 2017, 12:22:24 PM Authority=Developer ID Application: Clifton Grimm (9H35WM5TA5) 8cfa551d15320f0157ece3bdf30b1c62765a93a5
Timestamp=Oct 19, 2017, 2:00:38 PM Authority=Developer ID Application: Clifton Grimm (9H35WM5TA5) 0400b35d703d872adc64aa7ef914a260903998ca

已修复版本

时间戳 开发者ID 文件hash(SHA-1)
Timestamp=Jul 24, 2017, 4:56:24 AM Authority=Developer ID Application: ELTIMA LLC (N7U4HGP254) 0603353852e174fc0337642e3957c7423f182a8c

C&C域名信息

Proton在C2域名的策略中刻意模仿合法的Eltima和Handbrake域名,具体如下:

合法域名 Proton C2域名
Eltima eltima.com eltima[.]in
Handbrake handbrake.fr handbrakestore[.]com
handbrake[.]cc

C&C域名DNS请求态势(信息来源:360网络安全研究院)

[预警]OSX/Proton后门通过供应链攻击(Elmedia Player软件)传播

注: 时间因为标准问题,允许存在1天的误差。

0x02 部分技术信息

注:部分信息来自[参考1]和[参考2]

据悉,植入Eltima软件的后门代码是已知的OSX/Proton后门。攻击者通过解压Eltima软件包,并通过有效的macOS开发者签名来重新打包来保护自身,目前苹果公司已经吊销了该签名。

信息窃取方面,OSX/Proton是通过持久化控制来窃取一系列用户信息的后门,主要包括如下:

  • 操作系统信息: 主机名,硬件序列号 ,用户名,csrutil status,网关信息,时间/时区;
  • 浏览器信息:历史记录,cookies,标签,登录信息等(包括Firefox,Chrome,Safari,Opera平台)
  • 数字钱包
    • Electrum: ~/.electrum/wallets
    • Bitcoin Core: ~/Library/Application Support/Bitcoin/wallet.dat
    • Armory: ~/Library/Application Support/Armory
  • SSH信息
  • macOS keychain信息
  • Tunnelblick VPN 配置 (~/Library/Application Support/Tunnelblick/Configurations)
  • GnuPG 数据 (~/.gnupg)
  • 1Password 数据 (~/Library/Application Support/1Password 4 and ~/Library/Application Support/1Password 3.9)
  • 已安装应用列表

在持久化方面,OSX/Proton通过在管理员输入密码时往为各用户增加一个LaunchAgent。具体会创建以下文件:

  • /Library/LaunchAgents/com.Eltima.UpdaterAgent.plist
  • /Library/.rand/updateragent.app
$ plutil -p /Library/LaunchAgents/com.Eltima.UpdaterAgent.plist 
{
  "ProgramArguments" => [
    0 => "/Library/.rand/updateragent.app/Contents/MacOS/updateragent"
  ]
  "KeepAlive" => 1
  "RunAtLoad" => 1
  "Label" => "com.Eltima.UpdaterAgent"
}

OSX/Proton主要会执行以下后门指令:

archive zip打包文件
copy 本地拷贝文件
create 创建本地目录或文件
destory 退出指令
delete 删除本地文件
download 下载文件到本地
file_search 文件查找
force_update 通过有效的数字签名做自身更新
load
phonehome
remote_execute 远程命令执行
restart 重启
tunnel 创建SSH隧道(22或5900端口)
upload 上传文件到C2服务器

相关信息

  • 启动OSX/Proton,.pl.zip被设置为隐藏

[预警]OSX/Proton后门通过供应链攻击(Elmedia Player软件)传播

  • OSX/Proton开始先设置ptrace反调试,然后再解密出data段的数据

[预警]OSX/Proton后门通过供应链攻击(Elmedia Player软件)传播

  • 伪装Finder界面获取密码

[预警]OSX/Proton后门通过供应链攻击(Elmedia Player软件)传播

  • destory指令

[预警]OSX/Proton后门通过供应链攻击(Elmedia Player软件)传播

  • file_seartch指令

[预警]OSX/Proton后门通过供应链攻击(Elmedia Player软件)传播

  • force_update指令

[预警]OSX/Proton后门通过供应链攻击(Elmedia Player软件)传播

  • remote_execute指令

[预警]OSX/Proton后门通过供应链攻击(Elmedia Player软件)传播

  • tunnel指令

[预警]OSX/Proton后门通过供应链攻击(Elmedia Player软件)传播


Indicators of Compromise (IOCs)

  • URL列表

hxxps://mac[.]eltima[.]com/download/elmediaplayer.dmg

hxxp://www.elmedia-video-player.[.]com/download/elmediaplayer.dmg

hxxps://mac.eltima[.]com/download/downloader_mac.dmg

  • 文件哈希

e9dcdae1406ab1132dc9d507fd63503e5c4d41d9

8cfa551d15320f0157ece3bdf30b1c62765a93a5

0400b35d703d872adc64aa7ef914a260903998ca

  • IP地址

eltima[.]in / 5.196.42.123

0x03 安全建议

建议近期下载过 Elmedia Player或 folx软件的用户尽快排查下自己的macOS系统中是否存在以下文件:

  • /tmp/Updater.app/
  • /Library/LaunchAgents/com.Eltima.UpdaterAgent.plist
  • /Library/.rand/
  • /Library/.rand/updateragent.app/

如果存在以上任意一个文件或目录,就意味着OSX/Proton可能已经植入到系统中了。

官方在公告中建议受影响的用户通过重新安装macOS系统来清除后门的存在。

0x04 时间线

2017-10-20 事件披露

2017-10-21 360CERT发布预警通告

0x05 参考链接

  1. https://www.eltima.com/blog/2017/10/elmedia-player-and-folx-malware-threat-neutralized.html

  2. https://www.welivesecurity.com/2017/10/20/osx-proton-supply-chain-attack-elmedia/