新惡意軟體使用Tor在MacOSX系統開啟“後門”

 羅馬尼亞的安全軟體廠商位元梵德的安全研究員發現了一組新的惡意軟體，可以通過Mac OS X系統開啟“後門”。

這款惡意軟體的技術名稱為“Backdoor.MAC.Eleanor”。目前，該惡意軟體開發人員開始將其作為EasyDoc Converter向受害者散佈。EasyDoc Converter是一個允許使用者通過在小視窗拖動轉換檔案的Mac應用程式。

實際上，位元梵德表示，這個惡意EasyDoc Converter僅下載並執行惡意指令碼，這些指令碼在啟動時安裝並註冊三個新元件：Tor隱藏服務、PHP網路服務以及Pastebin客戶端。

Backdoor.MAC.Eleanor為Mac建立一個.onion地址

Tor服務自動將受感染的計算機連線至Tor網路，並生成一個.onion域名，攻擊者可以通過這個域名只使用一種瀏覽器訪問使用者系統。

PHP網路服務是連線的接收端，負責將從攻擊者控制皮膚接收的命令解譯至本地Mac作業系統。

Pastebin代理干預作用體現在：通過RSA與演算法使用公共金鑰對Pastebin URL加密後，Pastebin代理獲取本地生成的.onion域名並將其上傳至Pastebin URL。

“後門”提供大量遠端管理選項

位元梵德的研究團隊表示，Backdoor.MAC.Eleanor能讓罪犯操控並與本地檔案系統互動、發起反向shell(Reverse shell)執行root命令，併發起和執行所有型別的PHP、PERL、Python、Ruby、Java或C語言指令碼。

此外，攻擊者還可以羅列在本地執行的應用程式，使用被感染的計算機傳送電子郵件，並使用被感染計算機作為中介點連線並管理資料庫，以及掃描開放埠的遠端防火牆。

被感染的計算機基本上就成了攻擊者“殭屍網路”的殭屍主機(bot)，攻擊者隨時可以利用殭屍主機傳送大量垃圾郵件、竊取被感染系統的敏感資料，將其作為DDoS攻擊的殭屍主機或安裝其它惡意軟體。

攻擊者訪問Mac的Tor.onion連結如下圖所示：

====================================分割線================================

本文轉自d1net（轉載）