防毒軟件無效!惡意軟件 OSX/DOK 截取 Mac 機通信

防毒軟件無效!惡意軟件 OSX/DOK 截取 Mac 機通信

很多人認為 Mac 機不會中毒,但惡意程式也只不過是程式,條件許可就能夠執行,只是普遍程度遠低於 PC 而已。最近就有一個針對 Mac 機的惡意程式出現,更用上一張合法的 Apple 開發者證書來截取中毒電腦的通信,其攻擊手法令防毒軟件都偵測不到。

入侵手法睇真啲

這個名為 OSX/DOK 的惡意程式通常是打包成一個名為「 Dokument.zip 」的 zip 檔,以電郵附件的方式散布,受害者假如一不小心打開 zip 檔,惡意程式會先將自己拷貝到 /Users/Shared 目錄,才會開始執行。

本來 macOS 有個叫 Gatekeeper 的保安功能,可以用來阻擋未經認證的開發人所開發的軟件執行。而 OSX/DOK 最可怕的地方,是駭客不知從哪裡找來一張完全合法的開發者證書,令到惡意軟件可以順利通過 Gatekeeper 把關。當它執行時,會安裝一張新的根憑證到電腦上,從而介入受害者所有通信中,進行「中間人攻擊」。

本來 macOS 有 Gatekeeper 保安機制來防止不當程式隨意執行。

本來 macOS 有 Gatekeeper 保安機制來防止不當程式隨意執行。一

而為了確保惡意程式在重新啟動之前完成執行所有內容,它還會將自己偽裝成名為「 AppStore 」的自動啟動項目。如果受害者裝有一個名為「 Lingon X 」的程式的話,這時應該應該會發現有問題,因為 Lingon X 會對自動啟動程式的異動發出警告。可惜這種程式一般人是不會付錢買的。

OSX/DOK 將自己偽裝成 AppStore 在開機時自動執行

OSX/DOK 將自己偽裝成 AppStore 在開機時自動執行

接著,程式會模仿 macOS 的警告框格式,向用戶發出警告,說因為一些保安問題,要求用戶立即安裝保安更新,假如受害者相信了那個畫面的信息,按下「 Update All 」掣的話,程式就會要求受害者輸入密碼。一旦輸入密碼,惡意程式就會取得受害電腦的管理人權限。

這個警告畫面內行人一看就知有鬼吧?

這個警告畫面內行人一看就知有鬼吧?

有了管理人權限之後,它就會安裝一個命令列工具來連接到駭客的伺服器,並將受害電腦的網絡設定所有對外通信都經過駭客的 Proxy 代理伺服器,這就可以讓駭客隨意偷聽你的通信了。

最後,惡意程式會自我刪除,以免留下線索。但由於所有憑證、 Proxy 都已設定好,所以就可順利偷聽受害者電腦的通信,包括加了密的 SSL 通信。

自我毀滅,不留證據。

自我毀滅,不留證據。

三招緝毒兼解毒

1. 進入「 System Preference > Network 」,打開每一個連線的「 Advanced… 」介面,查看「 Proxies 」一頁,看看「 Automatic Proxy Configuration 」有沒有被打開,看看有沒有被設定到「 127.0.0.1:5555 」,有的話就代表你的通信有可能正被截取。應立即將整句地址刪除,並關掉「 Automatic Proxy Configuration 」。

201
202

2. 找尋以下兩個檔案,如有發現,「殺無赦」!(注意: /Users/<你的名字>/Library 是隱藏目錄)
「/Users/<你的名字>/Library/LaunchAgents/com.apple.Safari.proxy.plist」
「/Users/<你的名字>/Library/LaunchAgents/com.apple.Safari.pac.plist」

3. 在「 /Applications/Utilities/ 」裡打開「 Keychain Access 」程式,在左邊欄上半選擇「 System Roots 」,下半「 Category 」選擇「 All Items 」,然後在右邊的清單中找尋有沒有「 COMODO RSA Extended Validation Secure Server CA 2 」這張憑證,有的話就立即刪除它。

203

有問題的根憑證

現時並未有防毒軟件可以偵測到 OSX/DOK 的攻擊,大家平日一定要小心處理電郵附件,不要隨便打開不明來歷的附件,遇有一點懷疑就不要開啟或執行程式。要記住:「 No 」掣也可能是經過掩飾的「 Yes 」掣, 在 Dock 打開 context menu 上的「 Quit 」才是最可靠的關閉方法。