RAT-невидимка и база разрешений
Эксперт по безопасности Патрик Уордл (Patrick Wardle) обнаружил RAT-вредонос, который атакует компьютеры под управлением Mac OS X и умудряется оставаться невидимым для антивирусов. Помимо Mac OS, программа может атаковать Windows и Linux.
Речь идет о Coldroot RAT, которая способна выполнять, в том числе, функции кейлоггера. Ее установщик под Mac OS X маскируется под аудиодрайвер Apple com.apple.audio.driver2.app. При установке пользователю выводится запрос на разрешение, требующий ввода логина и пароля к MacOS. Таким образом, пользователи невольно сами способствуют установке вредоноса на компьютеры.
Уордл отметил, что файл com.apple.audio.driver2.app привлек его внимание наличием отсылки к TCC.db - локальной базе данных, которая отслеживает все установленные приложения и уровень их доступа к функциям операционной системы. Вытянув у пользователя локальные логин и пароль, RAT модифицирует TCC.db и пытается обеспечить себе возможность универсального доступа, так, чтобы перехватывать все сигналы от клавиатуры и мыши. А, возможно, и не только перехватывать.
"Представьте, как с помощью AppleScript можно посылать имитированные события от мыши через графику или напрямую взаимодействовать с файловой системой. Примером подобному был DropBox, который напрямую модифицировал базу разрешений (TCC.db) MacOS, содержащую список приложений с "универсальным доступом". С такими правами приложения могут взаимодействовать с пользовательским интерфейсом, другими приложениями и даже перехватывать события от клавиатуры (производить кейлоггинг). Прямое внесение изменений в базу данных позволяет обходить надоедливые системные предупреждения, которые обычно выводятся пользователю", - написал Уордл.
Попав в систему, RAT инсталлируется как "демон" запуска (launch daemon) Mac OS X и тем самым обеспечивает себе постоянное присутствие.
Некоторые подробности
Отмечается, что вредонос не срабатывает в последней к настоящему моменту версии Mac OS X High Sierra, поскольку в ней база TCC.db дополнительно защищена инструментов System Integrity Protection (SIP), предотвращающем несанкционированные изменения.
Статический анализ вредоноса показал весьма широкий диапазон возможностей: от создания, переименования и удаления файлов, папок и процессов, до скачивания и загрузки данных и удаленного администрирования.
Проблеме минимум год
По мнению Уордла, автором RAT является некий Coldzer0 - вирусописатель, который пытался продавать код Coldroot. На Github лежит черновая (и неполная) версия кода. Кроме того, Уордлу удалось найти демонстрационное видео, описывающее функции программы.
Coldroot продается на киберкриминальных площадках уже больше года (с 1 января 2017 г.). Черновик лежит на GitHub почти два года. Уордл отметил, что ни один из антивирусных движков VirusTotal не отмечает Coldroot как вредоносную программу.
"То, что этот код был широко доступен в течение года, но при этом антивирусные движки до сих пор не реагируют на Coldroot, - это очень странно," - говорит Олег Галушкин, эксперт по информационной безопасности компании SEC Consult Services. - Остается надеяться, что скоро ситуация изменится. Пока же пользователям рекомендуется с удвоенным вниманием отслеживать, какие программы запрашивают разрешения на установку в систему, и использовать фаерволлы, которые будут предупреждать о попытках устанавливать исходящие соединения с неизвестными удаленными серверами".