Tutvuge OSAMineriga, pahavaraga, mis nakatas Mace aastaid ilma, et seda oleks tuvastatud. Siin on kõik, mida pead teadma.

OSAMiner oli üks salakavalaimaid pahavarasid, mis mõjutas MacOS-i seadmeid peaaegu viis aastat. Ta kasutas tuvastamise vältimiseks üsna geniaalset nippi ja jätkas Macide riistvararessursside röövimist kogu maailmas.

Kuigi paljud inimesed arvavad, et macOS-i seadmed on läbitungimatud, komistas see ulatuslik rikkumine pahavarauurijaid peaaegu viis aastat. Aga mis on OSAMiner? Ja kuidas see nii kaua avastamisest kõrvale hiilis?

Mis on OSAMiner pahavara?

OSAMiner on krüptovaluuta kaevandaja, mis suutis MacOS-i seadmeid nakatada peaaegu viis aastat. See sai pahavara uurimisringkondades uskumatult populaarseks, kuna suutis peaaegu pool kümnendit täielikule analüüsile vastu seista.

Kuigi see avalikustati ametlikult 2021. aastal turvafirma SentinelOne raportis, oli OSAMiner nakatanud macOS-i seadmeid alates 2015. aastast. 2018. aastal teatasid Hiina turvasaidid esimest korda troojast, mis sihis minu jaoks MacOS-i seadmeid Monero, populaarne privaatne krüptovaluuta.

instagram viewer

OSAMineri teeb teiste krüptokaevuritega võrreldes eriliseks see, et see jäi praktiliselt avastamata, kuna pahavarauurijad ei suutnud kogu selle koodi hankida (mis takistas analüüsimist).

Kuidas OSAMiner pahavara Mac-arvuteid nakatas?

OSAMiner levis peamiselt piraatmängude ja tarkvara kaudu ning oli peamiselt suunatud Aasia ja Vaikse ookeani piirkonna ning Hiina piirkondade kogukondadele. Paljud inimesed laadivad selle kaudu alla piraattarkvara ja tsenseerimata sisu maa-alused torrent-saidid, muutes OSAMineri leviku lihtsamaks.

See levis kõige sagedamini populaarse piraattarkvara (nt Microsoft Office for Mac) ja mängude (nt League of Legends) kaudu. Installerid laadivad alla ja käivitavad AppleScripti taustal, kui inimesed piraattarkvara installisid.

See käivitaks ainult käitatava AppleScripti (sellest lähemalt allpool), mis käivitaks uue allalaadimise, põhjustades uue ainult käitatava AppleScripti allalaadimise. See põhjustaks viimase AppleScripti allalaadimise ja MacOS-seadmesse installimise, muutes jälgimise uskumatult keeruliseks.

Kuidas OSAMineril õnnestus märkamatuks jääda

Et paremini mõista, kuidas OSAMiner võib nii kaua tuvastamisest kõrvale hiilida, on oluline kõigepealt rääkida ainult käitatavatest AppleScriptidest (millele OSAMiner on üles ehitatud). Lihtsamalt öeldes on AppleScripts võimsad tööriistad, mis võimaldavad automatiseerimist ja pakuvad suuremat kontrolli macOS-i tarkvara üle.

Nad kasutavad AppleScripti keelt, mis on loodud arusaadavaks ja hõlpsasti loetavaks. Ainult käitatav AppleScript on AppleScripti kompileeritud versioon, mis on mõeldud täitmiseks, kuid mitte lugemiseks ega muutmiseks.

Kui AppleScript salvestatakse ainult käitatava skriptina, kompileeritakse see arvutile arusaadavale, kuid inimese jaoks raskesti loetavale vormile (baitkoodivorming). See mitte ainult ei takista teistel skripti lähtekoodi nägemast või muutmast, vaid aitab kaitsta ka tundlikku teavet, mis võib skriptis sisalduda.

Fraas "ainult käitatav" annab selgema tähenduse: need skriptid ei ole mõeldud redigeerimiseks. Ja kuna inimesed ei saa koodi lugeda, ei tuvastanud turvauurijad OSAMinerit.

Kes avastas OSAMineri infektsiooni?

Turvauuringute firma, kes avastas OSAMineri, SentilOne, avaldatud täielik ründeahel ja kompromissiindikaatorite (IoC) üksikasjalik loend, mis kirjeldab, kuidas OSAMiner suutis Mace nakatada.

Oluline on siinkohal märkida, et OSAMiner arenes edasi, kuna pahavara taga olevad ründajad kogusid jätkuvalt enesekindlust. Kaks Hiina turvafirmat teatasid OSAMinerist 2018. aasta augustis ja septembris, kuigi nende aruanded ei jõudnud ligilähedaseltki sellele, milleks OSAMiner oli võimeline.

Nad teatasid küll "osascripti" tuvastamisest, kuid need teated ei tekitanud isegi julgeolekuuuringute ringkondades lainetust. Selle peamiseks põhjuseks oli see, et nad ei saanud kogu pahavara koodi alla laadida.

Kas OSAMiner kujutab endast endiselt turvariski?

Cryptojacking on tõsine probleem ja võib rünnata mis tahes seadet. Pesastatud ainult käitatavaid AppleScripte peetakse laialdaselt tõsiseks rünnakuvektoriks ja kuigi Apple on astunud samme oma seadmete turvalisuse parandamiseks, kujutab pahavara, nagu OSAMiner, endiselt ohtu.

Kuigi Macidel on erinevad turvafunktsioonid, on kasutajatel siiski oluline viirusetõrje installida. Ideaalis on parim viis pahavara nakatumise vältimiseks vältida piraattarkvara või mängude allalaadimist seadmesse. Nakatumise ohu vähendamiseks ostke alati originaalallikatest.

Käivitage oma Maci kaitsmiseks regulaarselt skannimisi

Kui sirvite Internetti ilma igasuguse kaitseta, peate regulaarselt oma süsteemi pahavara suhtes skannima. Pahavaranakkused, nagu OSAMiner, on selged näited sellest, kui kogenud häkkerid saavad ja kui palju kahju nad aja jooksul põhjustada võivad.

Maci kaitsmiseks pahavara eest on palju viise ja on oluline, et installiksite regulaarselt uusi turvavärskendusi, kui Apple need välja annab.