卡巴斯基发现Mac新型后门程序

最近新发现的Flashfake木马感染了大量Mac计算机,其组成的僵尸网络规模超过70万台计算机。这可以算作Mac OS X系统漏洞被利用得最成功的一次。但是,这款恶意软件并不是孤军作战的。卡巴斯基实验室的研究人员最近还发现了另一种针对Apple计算机进行攻击的恶意程序,并最终确认这种恶意程序为一种高级可持续性威胁。同Flashfake不同,最新发现的恶意软件为Backdoor.OSX.SabPub.a.该恶意软件充分展现了网络罪犯是如何完全控制包含漏洞的Apple计算机的。

最新的后门程序于2012年4月初被发现,同Flashfake一样,该后门程序同样会利用Java 虚拟机的漏洞进行感染。感染该恶意软件的计算机数量相对较少,表明该后门程序主要用于针对性攻击。该恶意软件在受感染系统上激活后,会自动连接远程网站等待指令。该后门程序的命令控制服务器位于美国,并且使用一种免费的动态DNS服务来处理受感染计算机发送的请求。

后续的事件表明SabPub的最初理论其实是某次针对性攻击的一部分。卡巴斯基实验室的专家设置了一个假冒的受感染计算机,并利用该后门程序对其进行感染。4月15日,卡巴斯基实验室专家发现了某些不寻常的行为,网络攻击者获取到该受感染计算机的控制权限,并且开始对该计算机进行分析。他们发送命令,浏览了该计算机的root内容和Home Folder内容,甚至下载了一些储存在系统上的假冒文档。这些分析过程很可能是手动执行的,而没有采用自动系统,所以使用的不可能是常见的传播较广的恶意软件。正是基于这些事实,我们可以判定该后门程序是一种正在被使用的高级可持续性威胁。

对此后门程序分析过程中,我们又发现该恶意软件的感染途径同样表明其主要用户针对性攻击。卡巴斯基实验室的研究人员发现六个Microsoft Word文档,其中均包含漏洞利用程序。其中有两个文档会释放SabPub恶意代码。如果在包含系统漏洞的计算机上运行其它四个文档,同样会感染另外一种针对Mac系统的恶意软件。此外,SabPub和另一起名为LuckyCat的基于Windows计算机的针对性攻击关系密切,表明这两次网络攻击行为的源头是一致的。

卡巴斯基实验室的首席安全专家Alexander Gostev认为:“SabPub后门程序的出现再次表明没有一款软件环境是不包含安全漏洞的。虽然Mac OS X系统下的恶意软件数量相对较少,但并不意味着该平台的保护措施更到位。最近的Flashfake和SabPub事件表明存储在未加保护的Mac计算机上的用户数据同样面临风险。造成这一现象的原因可能是网络罪犯意识到Mac计算机的市场份额有所上升,也可能他们是受人雇佣,专门针对Apple计算机发动攻击。”

目前,卡巴斯基Mac反病毒软件2011已经能够检测和清除Backdoor.OSX.SabPub.a后门程序以及相关漏洞被利用的程序。