Obuolius mėgstantis Trojos arklys dar gyvas

Temos: Apple, Mac, macOS, Saugumas

„Flashback“ Trojos arklys, kuris savo aktyvumo laikotarpiu (2012 pavasarį) buvo įsisukęs į daugiau nei 500 000 Mac kompiuterių vis dar rodo gyvybės ženklus ir apie 22 000 „obuoliukų“ yra jį priglaudę iki šiol.

Penkių dienų laikotarpyje iki sausio 7 dienos, Trojos arklio graužiami Mac kompiuteriai buvo pastebėti prisijungiant prie kontrolinių serverių, kurie kompanijos „Intego“ specialiai įdiegti tyrimo ir saugumo sumetimais. Šie kompiuteriai gali būti kontroliuojami tų, kurie turi priėjimą prie vieno iš daugelio domenų įprogramuotų užkrato algoritme (žinoma, turint omenyje, kad jie dar turi žinoti ir kaip užkratas veikia).

Pirmą kartą šis užkratas pasirodė 2011 metais ir kompiuteriuose nutūpė apsimesdamas, kad yra Adobe Flash įdiegimo aplikacija. 2012 metų pradžioje šis arklys pradėjo žingsniuoti pasinaudojęs Oracle Java saugumo spraga. Šis užkratas yra vienas gudriausių ir gerai suprogramuotų užkratų nutaikytų prieš Mac kompiuterių vartotojus.

Naudojamas jo asmeninis šifravimo raktas, saugumo ekspertams sukėlė papildomų rūpesčių perkandant jo veikimo principą. Pirminis užkrato tikslas buvo apgaulingiems paspaudimams generuoti ir tokiu būdu Mac kompiuterių naršyklės būdavo priverstinai nukreipiamos į specialią svetainę ir galėjo generuoti milijonus dolerių pelno susijusio su reklamų rodymu. Užkratas galėjo ir daugiau: siųsti brukalus elektroniniu paštu, rinkti slaptažodžius ar dalyvauti DOS (denial-of-service) atakose.

Viena iš užkrato galimybių buvo periodiškai generuoti naujų domenų rinkinius į kuriuos kreiptųsi ir siųstų duomenis užkrėsti Mac kompiuteriai. Tam, kad visas šis procesas būtų kontroliuojamas, Trojietis buvo užprogramuotas kasdien tikrinti naujus pseudo-atsitiktiniu būdu sukurtus domenų vardus penkiose aukščiausio lygio domenų grupėse (.com, .net, .info, .in, .kz).

Apache Server  log'ų ekrano vaizdo kopija rodo prisijungiančius Mac'us prie Flashback komandinio kontrolinio serverio.Naudotojo agentą identifikuojantis įrašas rodo Windows NT 6.1, tačiau Intego patvirtino, kad iš tikro tai yra Mac kompiuteriai
Apache Server log'ų ekrano vaizdo kopija rodo prisijungiančius Mac'us prie Flashback komandinio kontrolinio serverio.Naudotojo agentą identifikuojantis įrašas rodo Windows NT 6.1, tačiau Intego patvirtino, kad iš tikro tai yra Mac kompiuteriai

Stengdamasi apsaugoti savo vartotojų kompiuterius nuo užkrato sukeliamų pasekmių, „nulaužus“ užkrato šifravimo mechanizmą ir išsiaiškinusi domenų generavimo algoritmą Apple iki 2013 metų pabaigos nusipirko tuos domenus. Tokiu būdu niekas išskyrus Apple negalėjo stebėti ar turėti prieigos prie Mac kompiuterių turinčių šį žirgą.

Tačiau Apple nusipirko ne visus domenus ir kelias dienas dar vis turintys užkratą Mac kompiuteriai galėjo prie tų domenų (nekontroliuojamų Apple) prieiti. Apple greitai susigriebė ir dabar visi tie pseudo-atsitiktiniu būdu generuojami domenai priklauso Apple.

Kaip patikrinti ar Mac’as priglaudė šį Trojos žirgą ir jį pašalinti

Galite atsisiųsti F-Secure sukurtą įrankį arba patikrinti bei radus pašalinti užkratą rankiniu būdu.

Patikrinimas ir pašalinimas rankiniu būdu

Dėmėsio !!! Užkrato pašalinimas rankiniu būdu yra rizikingas procesas ir rekomenduojamas tik patyrusiems vartotojams. Priešingu atveju kreipkitės į specialistą arba pasinaudojite F-Secure sukurtu įrankiu.

užkrato pašalinimo rankiniu būdu instrukcijos

  1. Terminal’e paleiskite komandą:
    defaults read /Applications/Safari.app/Contents/Info LSEnvironment
  2. Atsiminkite/užsirašykite DYLD_INSERT_LIBRARIES reikšmę
  3. Pereikite prie 8-to žingsnio jei komandos rezultatas yra:

    “The domain/default pair of (/Applications/Safari.app/Contents/Info, LSEnvironment) does not exist”

  4. Priešingu atveju paleiskite komandą Terminal’e:
    grep -a -o '__ldpath__[ -~]*'%kelias_gautas_žingsnyje2%
  5. Įsidėmėkite reikšmę po __ldpath
  6. Paleiskite Terminal’e šias komandas (įsitikinkite, kad žingsnyje 2 gauta tik viena reikšmė):
    sudo defaults delete /Applications/Safari.app/Contents/Info LSEnvironment
    sudo chmod 644 /Applications/Safari.app/Contents/Info.plist
    sudo touch /Applications/Safari.app
  7. ištrinkite failus gautus veiksmų padarytų 2 ir 5 žingsniuose
  8. Terminal’e paleiskite komandą:
    defaults read ~/.MacOSX/environment DYLD_INSERT_LIBRARIES
  9. Atkreipkite dėmesį į rezultatą. Jūsų sistema jau švari jei pranešimas yra panašus į:

    “The domain/default pair of (/Users/joe/.MacOSX/environment, DYLD_INSERT_LIBRARIES) does not exist”

  10. Priešingu atveju Terminal’e:
    grep -a -o '__ldpath__[ -~]*'%kelias_gautas_žingsnyje9%
  11. Atkreipkite dėmesį į reikšmę po __ldpath__
  12. Terminal’e paleiskite komandą:
    defaults delete ~/.MacOSX/environment DYLD_INSERT_LIBRARIES
    launchctl unsetenv DYLD_INSERT_LIBRARIES
  13. Ištrinkite failus gautus žingsniuose 9 ir 11.

Kai kurie užkrato variantai turi papildomus komponentus, kuriems ištrinti gali tekti imtis papildomų veiksmų. Tokiu atveju instrukcijas, kaip tai padaryti, rasite Trojan-Downloader:OSX/Flashback.K aprašyme.

Apytikslis skaitymo laikas – 3 minutės.
Pasidalinti straipsniu:

Apie Ramūną Blavaščiūną

Fotografijos, geros technikos ir kavos mylėtojas, didelę savo laisvalaikio dalį skiriantis straipsnių „Mac Arena“ rašymui.

Komentarų: 2 | Ačiū, kad rašote lietuviškai

  1. Valio! Neturiu malwaro :D Buvau tikras, kad neturiu to brudo, bet išbandžiau su F-Secure ;)

Parašykite komentarą

Jūsų elektroninio pašto adresas nebus viešinamas. Būtini laukai pažymėti *

*