freeBuf
主站

分类

漏洞 工具 极客 Web安全 系统安全 网络安全 无线安全 设备/客户端安全 数据库安全 安全管理 企业安全 工控安全

特色

头条 人物志 活动 视频 观点 招聘 报告 资讯 区块链安全 标准与合规 容器安全 公开课
FreeBuf+小程序

FreeBuf+小程序

官方公众号企业安全新浪微博

国内领先的互联网安全新媒体,同时也是爱好者们交流与分享安全技术的社区

[分析]Mac恶意软件使用Right-to-left override技巧
2013-07-16 09:00:20

RLO是微软的中东Unicode字符(Middleeast Unicode)中的一个,Unicode编码为0x202E,其作用是强制其后的字符变为从右到左的方式显示,一般用于中东语言(如阿拉伯语)的强制显示,但是在非中东语言中Explorer遇到此字符仍然是默认右-左显示,例如本來"setup-txt.exe"这样的文件名,在txt前面插入RLO控制字符之后变成"setup-exe.txt"。

日前,国外安全公司f-secure发现一个针对Mac系统的恶意软件(Backdoor:Python/Janicab.A. )使用了RLO方法,该恶意软件上周五被提交到VirusTotal上。


根据报告表示,恶意软件利用该方法来隐藏文件的真实扩展名,如Recent New.pdf.app。



该恶意软件使用python编写,使用py2app打包,签名是苹果开发者的ID,跟之前symantec发现的OSX.Hackback木马相似。

不过,由于文件中RLO字符的原因,OS X通常会弹出一个隔离通知的对话框。

这个恶意软件会通过一个诱饵文件执行,如下图:



然后,它会创建一个cron,里面会定时执行一个脚本文件,运行和隐藏受感染用户主目录中的恶意文件。如下图:

恶意软件会链接到以下页面,获取控制服务器的地址以及攻击者发送的指令:

http://www.youtube.com/watch?v=DZZ3tTTBiTs
http://www.youtube.com/watch?v=ky4M9kxUM7Y
http://hjdullink.nl/images/re.php

这些页面上都存在如下面一段字符串,恶意软件会解析其中的address:
just something i made up for fun, check out my website at (address) bye bye

这个YouTube页面如下:



研究者在google搜索了该字符串,发现已经有很多网站被攻击者利用:

该恶意软件通过屏幕截图和音频记录(第三方软件SOX)等方式,将数据传送到C&C服务器。

更多关于RLO信息请参阅微软MSDN:http://www.microsoft.com/middleeast/msdn/control.aspx

本文作者:, 转载请注明来自FreeBuf.COM

被以下专栏收录,发现更多精彩内容
+ 收入我的专栏
评论 按时间排序

登录/注册后在FreeBuf发布内容哦

相关推荐
  • 0 文章数
  • 0 评论数
  • 0 关注者
登录 / 注册后在FreeBuf发布内容哦