“Tiny FUD” olarak adlandırılan yeni bir tamamen tespit edilemez (FUD) macOS kötü amaçlı yazılım suşu, ağ geçidi denetçisi ve sistem bütünlüğü koruması (SIP) dahil olmak üzere antivirüs ve macOS güvenlik çerçevelerini atlayabilen sofistike kaçış tekniklerini sergiledi.
Kötü amaçlı yazılım, işlem adı manipülasyonu, dyld enjeksiyon ve komut ve kontrol (C2) iletişimi gibi gelişmiş yöntemler kullanır ve bu da MacOS kullanıcıları için önemli bir tehdit haline gelir.
Güvenlik araştırmacıları, gizli yeteneklerine ve davranışlarına ışık tutarak bu kötü amaçlı yazılımları tersine mühendislik ettiler.
MacOS güvenlik mekanizmalarından yararlanmak
Özünde, Tiny Fud, kendisini meşru sistem süreçleri olarak gizlemek için süreç adı sahtekarlığından yararlanır. com.apple.Webkit.Networking veya.com.apple.Safari.helper
MacOS’lardan yararlanarak,osascript İşlem adını dinamik olarak değiştirir ve etkinlik monitöründe gizlilik sağlar.
Kötü amaçlı yazılım ayrıca kendi kendini imzalama tekniklerini kullanır ve yürütülebilir bellek ve çevre değişkenlerindeki macOS kısıtlamalarını atlamak için kod haklarını değiştirir.
Bu değişiklikler, Apple’ın kendi Xcode geliştirme araçlarını kullandığını, sofistike olduğunu vurguluyor.
DYLD değişkenleri aracılığıyla dinamik kütüphane enjeksiyonu, kötü amaçlı yazılımlara bellek izinlerini değiştirme ve tespit edilmemiş kötü amaçlı kod yürütme yeteneği veren başka bir karmaşıklık katmanı ekler.
Bu, dosyalarını MacOS Finder’dan gizleme özelliği ile birleştirilir. SetFile Dosyalar Terminal aracılığıyla erişilebilir kalmasına rağmen komut.
Kalıcı C2 iletişimi
Kötü amaçlı yazılımların temel işlevlerinden biri, kötü amaçlı bir IP adresinde barındırılan C2 sunucusuyla sürekli iletişim kurmayı içerir.
Sistem bilgilerini, ekran görüntülerini ve durum güncellemelerini düzenli aralıklarla iletir ve gizli veri sızdırması için parçalanmış transfer kodlamasından yararlanır.
FUD raporuna göre, ağ tabanlı anomali tespitinden kaçınmak için randomize bir kullanıcı aracısı dizesi ve yürütme gecikmeleri kullanılır.
Özellikle, kötü amaçlı yazılım, gizli ağ trafiğini korurken benzersiz UUID’leri kullanarak enfekte edilmiş makineleri izleyen bir işaretleme mekanizması içerir.
C2 sunucusundan alınan komutlar, gerekirse sistem keşfi ve kendi kendini yok etme dahil olmak üzere enfekte sistemdeki görevleri yürütmesini sağlar.
Tespiti daha da karmaşıklaştırmak için Tiny FUD, yürütülmesinin izlerini ortadan kaldıran bir kendi kendine temizleme işlevi içerir.
Fesihten önce, enjekte edilen kütüphanelerin ve aktif süreçlerin kaldırılmasını sağlar ve operasyonu için kritik olan ortam değişkenlerini ovar.
Kötü amaçlı yazılım, sistem çağrılarını kullanarak güçlü bir şekilde çıkar ve güvenlik araçlarının bellek durumunu veya eserlerini analiz etmesini etkili bir şekilde önler.
Tiny FUD’un keşfi, MacOS hedefli kötü amaçlı yazılımların artan sofistike olmasını vurgular ve saldırganlar hem meşru sistem işlevlerinden hem de gelişmiş güvenlik bypass tekniklerinden yararlanır.
Kullanıcılar ve kuruluşlar macOS savunmalarını geliştirmeleri ve bu tür gelişmiş tehditleri azaltmak için sistem faaliyetlerinin sıkı bir şekilde izlenmesini istemektedir.
Investigate Real-World Malicious Links & Phishing Attacks With Threat Intelligence Lookup - Try for Free