Susipažinkite su OSAMiner – kenkėjiška programa, kuri daugelį metų užkrėtė Mac kompiuterius ir nebuvo aptikta. Štai viskas, ką reikia žinoti.

„OSAMiner“ buvo viena slapčiausių kenkėjiškų programų, kurios beveik penkerius metus paveikė „MacOS“ įrenginius. Jis panaudojo gana išradingą triuką, kad nebūtų aptiktas, ir toliau grobė „Mac“ kompiuterių aparatinės įrangos išteklius visame pasaulyje.

Nors daugelis žmonių mano, kad „MacOS“ įrenginiai yra neįveikiami, šis didžiulis pažeidimas kenkėjiškų programų tyrinėtojus kliudė beveik penkerius metus. Bet kas yra OSAMiner? Ir kaip jis taip ilgai išvengė aptikimo?

Kas yra OSAMiner kenkėjiška programa?

„OSAMiner“ yra kriptovaliutų kasėjas, kuris beveik penkerius metus sugebėjo užkrėsti „MacOS“ įrenginius. Jis tapo neįtikėtinai populiarus kenkėjiškų programų tyrimų sluoksniuose, nes beveik pusę dešimtmečio negalėjo atsispirti visapusiškai analizei.

Nors tai oficialiai paaiškėjo 2021 m. saugos įmonės „SentinelOne“ ataskaitoje, „OSAMiner“ užkrėtė „macOS“ įrenginius nuo 2015 m. 2018 m. Kinijos saugos svetainės pirmą kartą pranešė apie Trojos arklys, nukreiptą į mano „macOS“ įrenginius

instagram viewer
Monero, populiari privati ​​kriptovaliuta.

„OSAMiner“ yra ypatinga, palyginti su kitais kriptovaliutų kasėjais, tuo, kad jis beveik nebuvo aptiktas, nes kenkėjiškų programų tyrėjai negalėjo nuskaityti viso kodo (dėl to nebuvo galima atlikti analizės).

Kaip „OSAMiner“ kenkėjiška programa užkrėtė „Mac“?

„OSAMiner“ pirmiausia išplito per piratinius žaidimus ir programinę įrangą ir pirmiausia buvo nukreipta į bendruomenes Azijos ir Ramiojo vandenyno bei Kinijos regionuose. Daugelis žmonių atsisiunčia piratinę programinę įrangą ir necenzūruotą turinį požeminės torrent svetainės, todėl OSAMiner lengviau plisti.

Jis dažniausiai plinta per populiarią piratinę programinę įrangą, pvz., „Microsoft Office for Mac“, ir tokius žaidimus kaip „League of Legends“. Diegėjai atsisiųstų ir paleistų AppleScript fone, kai žmonės įdiegs piratinę programinę įrangą.

Tai suaktyvintų tik paleidžiamą „AppleScript“ (daugiau apie tai toliau), kuris inicijuotų kitą atsisiuntimą ir sukeltų kitą tik vykdomą „AppleScript“ atsisiuntimą. Dėl to „MacOS“ įrenginyje bus atsiųstas ir įdiegtas paskutinis „AppleScript“, todėl sekimas būtų nepaprastai sunkus.

Kaip „OSAMiner“ pavyko likti nepastebėtai

Norint geriau suprasti, kaip „OSAMiner“ gali taip ilgai išvengti aptikimo, pirmiausia svarbu pakalbėti apie tik paleidžiamus „AppleScript“ (kuriuo pagrindu sukurta „OSAMiner“). Paprasčiau tariant, „AppleScripts“ yra galingi įrankiai, leidžiantys automatizuoti ir geriau valdyti programinę įrangą „MacOS“.

Jie naudoja AppleScript kalbą, kuri sukurta taip, kad būtų suprantama ir lengvai skaitoma. Tik vykdomas „AppleScript“ yra sukompiliuota „AppleScript“ versija, kuri skirta vykdyti, bet ne skaityti ar modifikuoti.

Kai „AppleScript“ išsaugomas kaip tik vykdomas scenarijus, jis sukompiliuojamas į formą, kurią gali suprasti kompiuteris, bet kurią žmonėms sunku perskaityti (baitinio kodo formatas). Tai ne tik neleidžia kitiems pamatyti ar keisti scenarijaus šaltinio kodo, bet ir padeda apsaugoti bet kokią slaptą informaciją, kuri gali būti scenarijuje.

Frazė „tik paleisti“ suteikia aiškesnę prasmę: šie scenarijai iš pradžių nėra skirti redaguoti. Ir kadangi žmonės nemoka nuskaityti kodo, saugumo tyrinėtojai neaptiko OSAMiner.

Kas atrado OSAMiner infekciją?

Saugumo tyrimų įmonė, atradusi OSAMiner, SentilOne, paskelbtas visa atakų grandinė ir išsamus kompromiso rodiklių (IoC) sąrašas, nurodantis, kaip OSAMiner galėjo užkrėsti Mac kompiuterius.

Svarbu atkreipti dėmesį į tai, kad „OSAMiner“ toliau vystėsi, nes kenkėjiškų programų užpuolikai vis labiau pasitikėjo. Dvi Kinijos saugos įmonės pranešė apie „OSAMiner“ 2018 m. rugpjūčio ir rugsėjo mėn., nors jų ataskaitos net nepriartėjo prie to, ką galėjo „OSAMiner“.

Jie pranešė apie aptiktą „osascript“, tačiau pranešimai net nepastebėjo saugumo tyrimų ratuose. Pagrindinė to priežastis buvo ta, kad jie negalėjo nuskaityti viso kenkėjiškos programos kodo.

Ar OSAMiner vis dar kelia pavojų saugumui?

Kriptavimas kelia rimtą susirūpinimą ir gali užpulti bet kurį įrenginį. Įdėtos tik paleisti AppleScripts yra plačiai laikomi rimtu atakos vektoriumi, ir nors Apple ėmėsi veiksmų, kad pagerintų savo įrenginių saugumą, kenkėjiškos programos, tokios kaip OSAMiner, vis dar kelia pavojų.

Nors „Mac“ kompiuteriuose yra įvairių saugos funkcijų, vartotojams vis tiek būtina įdiegti antivirusinę programą. Idealiu atveju geriausias būdas apsisaugoti nuo kenkėjiškų programų yra nesisiųsti piratinės programinės įrangos ar žaidimų į savo įrenginį. Visada pirkite iš originalių šaltinių, kad sumažintumėte infekcijos riziką.

Reguliariai vykdykite nuskaitymus, kad apsaugotumėte savo „Mac“.

Jei naršote internete be jokios apsaugos, turite reguliariai nuskaityti, ar sistemoje nėra kenkėjiškų programų. Kenkėjiškų programų, pvz., OSAMiner, infekcijos yra aiškūs pavyzdžiai, kaip įmantrius įsilaužėlius gauna ir kokią žalą jie laikui bėgant gali padaryti.

Yra daug būdų apsaugoti „Mac“ nuo kenkėjiškų programų, todėl svarbu reguliariai įdiegti naujus saugos naujinimus, kai „Apple“ juos išleidžia.