首页 ›存档› 技术 › 查看内容

OSX那些事---恶意软件是如何启动的？

2018-3-30 13:00 |来自: 互联网 286 0

摘要: 架构师（JiaGouX）我们都是架构师！背景前几日，看了一份报告，是美国网络安全公司bit9发布的：《2015: The Most Prolific Year for OS X Malware》报告主要的内容就是说说2015年OS X平台恶意软件的情况。bit9的 ...

架构师（JiaGouX）

我们都是架构师！

背景

前几日，看了一份报告，是美国网络安全公司bit9发布的：《2015: The Most Prolific Year for OS X Malware》

报告主要的内容就是说说2015年OS X平台恶意软件的情况。bit9的研究团队进行了10周的分析研究，分析了1400个恶意软件样本。给出了下面这张图，可见，2015年恶意软件样本数量是前5年恶意样本数量之和的5倍。这估计要亮瞎苹果公司的眼。Mac越来越火。也越来越不安全了。

报告指出的重点有：

1.现在恶意软件的启动方式（Persistence Mechanisms）使用传统Unix技术的越来越少，基本没有了。大部分恶意软件使用OS X提供的新的启动机制了。

2.感染持续增长，但是恶意软件的复杂度却不是太高。

3.主要的启动方式有7种。

4.由于OS X平台上恶意软件多样性不如windows平台，所有相对的检测方法就简单一些，因为需要需要检查的地方比windows平台的要少。

0x01 启动

接下来就来谈谈这启动的事，看看是哪7种武器是黑客所喜欢的：

如上7种武器你知道几种（大神就自动飘过）。

其实这两种启动方式可以一起介绍。启动方式基本相同，只是有些区别而已。

这两种方式都是苹果官方提供的标准启动方式。在官方手册里面可以查询到更详细的介绍[link]。daemons和agents都是由launchd进程负责启动的后台作业。launchd是OS X系统用户态的第一个进程。对应于其他UN*X系统中的init。负责直接或者间接的启动系统中的其他进程。

从图中可以看到daemons和agents都是由launchd进程启动的。

创建一个daemons或agent是非常简单的，就是创建一个普通的二进制可执行文件。然后将自己的属性列表文件（.plist）放置到daemons或agent的配置目录中：

plist文件的结构可以查看手册[link],下面给出了一个启动计算器的plist文件。拥有键值为true的RunAtLoad键。

将此.plist文件拷贝到/Library/LaunchAgents目录（拷贝之后的文件拥有者为root），就可以在重启后，自动启动计算器。

可以使用

sudo plutil -lint /path/to/com.test.plist

来检测plist文件格式是否有问题。

plist中主要的字段和它的含义：

Label 用来在launchd中的一个唯一标识，类似于每一个程序都有一个identifies一样。
UserName 指定运行启动项的用户，只有当Launchd 作为 root 用户运行时，此项才适用。
GroupName 指定运行启动项的组，只有当Launchd 作为 root 用户运行时，此项才适用。
KeepAlive 这个key值是用来控制可执行文件是持续运行呢，还是满足具体条件之后再启动。默认值为false，也就是说满足具体条件之后才启动。当设置值为ture时，表明无条件的开启可执行文件，并使之保持在整个系统运行周期内。
RunAtLoad 标识launchd在加载完该项服务之后立即启动路径指定的可执行文件。默认值为false。
Program 这个值用来指定进程的可执行文件的路径。
ProgramArguments 如果未指定Program时就必须指定该项，包括可执行文件文件和运行的参数。