2014SyScan360——追踪OSX商业间谍软件Crisis

　　2014年7月16日，由360承办的2014亚洲知名安全技术峰会SyScan360强势登陆北京。来自Coseinc的OSX领域的专业研究员Pedro Vilaca介绍了如何逆向HacKing Team的OS X商业间谍软件Crisis。Pedro Vilaca喜欢rootkits，破解软件保护及挑战HacKing Team。最近转向白帽并试图为OS X打造最好的企业终端安全解决方案。

　　针对目前的OS X攻击样本我们可以了解到攻击的这样一些特性与能力：其可以监控麦克风、监控摄像头、实现屏幕截图、记录键盘和鼠标的操作、保存Skype/MSN记录以及监控浏览器等等。它可以通过Exploit，以邮件形式将它发出来，然后进入到dropper，最后把它放到后门模块。

　　什么叫dropper？一般通过溢出Flash，Word等释放代码，有些发送邮件或者通过其他社会工程学方式，让用户安装，但它本身并不大，小于1MB。dropper试图隐藏真实的程序入口，使用虚假的main()函数，如果是有经验的人可以通过检查Mach-0头部数据轻易发现。

　　针对dropper，Pedro Vilaca给出了很专业的建议：不需要Mmap的库，因为它们每个流程的进程都有一个mmap；利用dyld共享缓存特性；重要的库是被缓存的，可以直接从内存读取它们，但是还是需要寻找部分dyld函数。

　　在本届会议现场，Pedro Vilaca详细介绍了OS X商业间谍软件Crisis的核心——后门模块。后门模块主要负责与C&C通信、注入到目标程序中、记录与Rootkit控制等工作。

　　此外，因发现最近市面上最近检测到的样本中将后门与MPRESS打包来绕过逆向工程，他还探讨了打包，如何解包，如何构建自动解包器，以及调试技巧。

　　特别提醒，关于解压问题，大家需要注意以下几个方面：

　　在转储之前头部数据必须解析；

　　使用文件大小域和偏移域转储正确的数据大小到磁盘；没有其它需要修复的内容；

　　_DATA段是0x1000字节，在转储映像里太大了；

　　二进制转储会导致崩溃，因为_OBJC和_LINKEDIT指向了磁盘上的虚假数据；

　　并不是所有的样本都可以转储；内存中的大小和文件中的大小可能会不一致；

　　一个简单的转储可能导致文件偏移指向错误的数据。

　　另外，针对调试技巧，Pedro Vilaca提供了两种反调试方法，一是对于后门模块来说，利用Sysctl反调试方法，可以检测一个线程是否有调试器存在，若存在则退出，这个很容易绕过线程，而且会移除掉对新线程的函数调用。二是，如果你想调试一个被隔离的后门模块，你需要在配置检查出patch。

　　最后，Pedro Vilaca为大家介绍了加密用法，配置和可用的功能，以及大部分功能的实现方法，也就是捆绑注入，并回顾了C&C communications及内核rootkit。