MacOS 上常见的七种混淆技术

MacOS 平台的威胁日渐增多，攻击者也越来越重视针对该平台的用户的攻击，本文将会介绍七种 macOS 上常见的混淆技术。

混淆的 Shell 脚本

Shell 脚本可能是 Linux 平台下最常见的恶意文件，在 macOS 上也不遑多让。许多恶意软件都将 Shell 脚本作为应用程序中的可执行文件，如下所示。

混淆的 Shell 脚本

也有攻击者直接将脚本内置在镜像文件中，通过别名来诱导用户执行：

文件中的脚本

在安装镜像文件时，会看到教育用户打开恶意软件并绕过内置的 Gatekeeper 安全机制。

提示信息

要求用户点击的安装 PKG 图标其实是一个隐藏目录中的 Shell 脚本的别名，名称为 .hidden。该脚本经过轻微混淆，在 /tmp 目录下使用随机 12 个字符创建一个目录后，会完成去混淆执行并删除从同一目录中的数据文件中提取的可执行文件：

/bin/bash-ceval'$(echo 'opensslenc-aes-256-cbc-d-A-base64-k \ '$archive\'  
-in \ '$appDir/$archive\' -out \ '$tmpDir/$binFile\' xattr -c \ '$tmpDir/\' * chmod 777
\ '$tmpDir/$binFile\' \ '$tmpDir/$binFile\' && rm -rf $tmpDir ')'

混淆的 SHC

Shell Script Compiler 是将 Bash 脚本编译生成可执行文件的技术，尽管这些可执行文件并不能做到完全独立，仍然需要执行环境中包含指定的 Shell。

Shell Script Compiler

SHC 的 -U 参数可以使编译后的二进制文件无法使用 ptrace 进行跟踪，-e 参数支持设置程序终止运行的到期日期。如果使用不同的 -e 参数，相同的脚本就可以生成不同哈希的二进制文件。

Shell Script Compiler

SHC 被 SCSSET 恶意软件大量使用，在野能够持续发现相关样本。从攻击者的角度来看，使得编写无法通过静态分析读取的恶意脚本变得非常简单。而且，通过 -e 参数还能够无限生成不同哈希值的样本文件。

Shell Script Compiler

发现 SHC 编译的二进制文件，唯一的方法就是通过沙盒执行观察其行为。静态检测发现 SHC 编译的二进制文件时可以将其认为是可疑的，编译器生成的独特字符串也利于检测，但实际上只有通过执行才能准确区分是否恶意。

混淆的 Python 脚本

苹果公司已经在 Monterey 12.3 及更高版本的 macOS 设备上取消了对 Python 2.7 的支持，所以针对 macOS 平台的攻击者已经对 Python 不再热衷。

混淆的 Python 脚本

将 Python 脚本打包 .pyc 编译好的 Mach-O 文件仍然是存在的攻击媒介，更常见的则是将框架如 Meterpreter 经过多次 base64 编码混淆处理，这就足以绕过许多检测引擎。

混淆的 Python 脚本

混淆的 Cobalt Strike

Cobalt Strike 在 Windows 平台非常常见，在 macOS 上出现甚少，但也不是完全没有。

2021 年 9 月，OSX.Zuru 发起了供应链攻击，针对使用 iTerm2、Mac 版 MS 远程桌面、SecureCRT 和 Navicat 14 进行投毒。恶意软件使用 UPX 加壳，解压后是一个使用 C 语言编写的 Mach-O 文件。该可执行文件经过混淆，包含超过 4 万个垃圾函数。相同的混淆方式，后来也出现在针对 PyPI 的 pymafka 供应链攻击中。

混淆的 Cobalt Strike

该混淆技术能够通过二进制段的熵和哈希中进行识别。例如，__cstring 段的 MD5 哈希值为 c5a055de400ba07ce806eabb456adf0a，其熵值也能用于静态识别特征：

混淆的 Cobalt Strike

混淆的 AppleScript

AppleScript 一直是被低估的攻击向量，其在 macOS 系统中的存在时间甚至比 Python 都要长。最近几年苹果公司不再给予其过多的关注，但仍然通过 TCC 等其他机制来对其进行限制。

混淆的 AppleScript

AppleScript 能够通过 run-only 选项来生成几乎不可逆向恢复的编译后代码。在野发现的恶意软件中，有使用四字节十六进制字符编码将一个 run-only 的脚本嵌入到另一个脚本中。

混淆的 AppleScript

此类脚本无法使用内置工具进行反编译，需要进行动态分析或者手动的逆向工程。想要静态检测的话，可以检测嵌入的十六进制字符和标记 AppleScript 块结尾的 Magic Number：FADE DEAD。

Poseidon 恶意软件

Poseidon 是攻击框架 Mythic 的 Golang 版本，可以使攻击者操纵失陷主机。最近一次高调的攻击，是针对 Rust 开发社区的 CreateDepression 供应链攻击。

Poseidon 恶意软件

左侧为源代码，右侧是反汇编代码。Poseidon 支持攻击者与失陷主机中间发送与接收文件，还支持获取按键记录、屏幕截图并进行持久化等。已编译的 Poseidon 二进制文件中的字符串具有独特的特征，很容易检测。

Sliver 恶意软件

开源框架 Sliver 被在野使用的越来越频繁，可以通过 DNS、HTTPS、双向 TLS 和 Wireguard 为攻击者提供 C&C 信道。

Sliver 二进制文件多达 10MB 甚至更多，尽管 Sliver 本身不支持混淆或加壳，但在野发现了原始与定制的 UPX 加壳方案。

Sliver 恶意软件

近期发现的 macOS 恶意软件，伪装成 Apple 软件更新二进制文件并在用户的 Library LaunchAgents 文件夹中进行持久化。该攻击避免使用任何 Apple 专有软件，并使用各种免费的工具（UPX、MacDriver 与 Platypus）。

结论

以上介绍的混淆机制并不是全部，攻击者也在不断精进，研究更多、更先进的混淆方式，例如 Pirrit、Adload 与 SliverSparrow 等。

苹果仍然在尝试阻止绕过 Gatekeeper 安全设置的各种下载，预计以后会有更多的恶意软件在初始载荷中就嵌入后续的 Payload，并且结合更多的混淆和规避技术。