日韩无码专区无码一级三级片|91人人爱网站中日韩无码电影|厨房大战丰满熟妇|AV高清无码在线免费观看|另类AV日韩少妇熟女|中文日本大黄一级黄色片|色情在线视频免费|亚洲成人特黄a片|黄片wwwav色图欧美|欧亚乱色一区二区三区

RELATEED CONSULTING
相關(guān)咨詢(xún)
選擇下列產(chǎn)品馬上在線(xiàn)溝通
服務(wù)時(shí)間:8:30-17:00
你可能遇到了下面的問(wèn)題
關(guān)閉右側(cè)工具欄

新聞中心

這里有您想知道的互聯(lián)網(wǎng)營(yíng)銷(xiāo)解決方案
MiMi應(yīng)用被植入后門(mén),攻擊安卓、iOS、Windows和macOS平臺(tái)

國(guó)內(nèi)即時(shí)消息應(yīng)用MiMi被植入后門(mén),攻擊安卓、iOS、Windows和macOS平臺(tái)。

創(chuàng)新互聯(lián)建站服務(wù)項(xiàng)目包括華池網(wǎng)站建設(shè)、華池網(wǎng)站制作、華池網(wǎng)頁(yè)制作以及華池網(wǎng)絡(luò)營(yíng)銷(xiāo)策劃等。多年來(lái),我們專(zhuān)注于互聯(lián)網(wǎng)行業(yè),利用自身積累的技術(shù)優(yōu)勢(shì)、行業(yè)經(jīng)驗(yàn)、深度合作伙伴關(guān)系等,向廣大中小型企業(yè)、政府機(jī)構(gòu)等提供互聯(lián)網(wǎng)行業(yè)的解決方案,華池網(wǎng)站推廣取得了明顯的社會(huì)效益與經(jīng)濟(jì)效益。目前,我們服務(wù)的客戶(hù)以成都為中心已經(jīng)輻射到華池省份的部分城市,未來(lái)相信會(huì)繼續(xù)擴(kuò)大服務(wù)區(qū)域并繼續(xù)獲得客戶(hù)的支持與信任!

MiMi

MiMi是一款主要針對(duì)國(guó)內(nèi)用戶(hù)的即時(shí)消息應(yīng)用,有Windows、macOS、安卓和iOS版本。桌面版用ElectronJS框架開(kāi)發(fā),該框架是依賴(lài)node.js的跨平臺(tái)框架,允許開(kāi)發(fā)者使用HTML、JS和CSS創(chuàng)建應(yīng)用。

MiMi并沒(méi)有進(jìn)行推廣,網(wǎng)站(www.mmimchat[.]com)只有一個(gè)下載鏈接,沒(méi)有詳細(xì)的介紹,也沒(méi)有社交媒體推廣鏈接。

圖1 Mimi網(wǎng)站(www.mmimchat[.]com)

網(wǎng)站的最近修改時(shí)間是7月26日。根據(jù)蘋(píng)果應(yīng)用試點(diǎn)修改日志和被動(dòng)DNS記錄,研究人員發(fā)現(xiàn)該應(yīng)用最早可以追溯到2020年6月。

MiMi被植入后門(mén)

macOS版本的MiMi在蘋(píng)果鏡像文件中打包了ElectronApp。該應(yīng)用看似功能正常,但是用戶(hù)注冊(cè)后發(fā)現(xiàn)無(wú)法用聯(lián)系人聊天。在2022年5月26日發(fā)布的2.3.0版本中,./mimi.app/Contents/Resources/app/electron-main.js文件被木馬化了。如下所示,是通過(guò)在module.exports 函數(shù)的開(kāi)始處放置的Dean Edwards Packed JavaScript代碼實(shí)現(xiàn)的:

圖2  被注入后門(mén)的electron-main.js文件

該代碼執(zhí)行時(shí)會(huì)檢查環(huán)境是否是macOS,然后從139.180.216.65下載rshell。提取的payload會(huì)下載temp文件夾中,修改為具有執(zhí)行權(quán)限,然后執(zhí)行。反混淆后的代碼如下所示:

圖3 負(fù)責(zé)下載和執(zhí)行Rshell的代碼

SEKOIA研究人員分析發(fā)現(xiàn)當(dāng)前版本的Windows、iOS和安裝版本中沒(méi)有后門(mén)。但TrendMicro研究人員發(fā)現(xiàn)老版本的Linux和Windows版本也被植入后門(mén)。

6月,TrendMicro研究人員下載了MiMi macOS v2.3.2版本,沒(méi)有發(fā)現(xiàn)什么異常。之后再次下載,發(fā)現(xiàn)安裝包被惡意版本替換。說(shuō)明攻擊者直接訪問(wèn)了部署安裝器的服務(wù)器,而且攻擊者監(jiān)控了MiMi開(kāi)發(fā)者的發(fā)布版本,以便及時(shí)插入后門(mén)。

圖4 下載的安裝器(左)和被植入后門(mén)的安裝器(右)

從圖中可以看出,攻擊者大約用了1個(gè)半小時(shí)就修改了合法的安裝器并添加了惡意代碼。而之前的版本,攻擊者大約花了一天來(lái)注入惡意修改。修改同樣是針對(duì)electron-main.js文件。

圖5 插入2.3.2 dmg的惡意JS代碼

圖6 反混淆的惡意JS代碼

圖 7 插入2.2.0 exe中的惡意JS代碼,攻擊Windows 操作系統(tǒng)

圖 8 2.2.0 exe版本中反混淆的惡意JS代碼

可以看出,會(huì)下載一個(gè)可執(zhí)行文件、一個(gè)DLL文件和一個(gè)二進(jìn)制文件到臨時(shí)目錄。這是攻擊者加載文件、利用DLL側(cè)信道漏洞的常用方式。本例中利用的可執(zhí)行文件屬于DESlock+產(chǎn)品。

RShell

下載的木馬是RShell,是用C++編寫(xiě)的,并嵌入到Boost.Asio 和 nlohmann/json庫(kù)中。后門(mén)使用基于TCP包的BJSON來(lái)與命令和控制服務(wù)器通信,沒(méi)有使用加密機(jī)制,也沒(méi)有任何駐留機(jī)制。

Rshell可執(zhí)行文件是標(biāo)準(zhǔn)后門(mén),可以實(shí)現(xiàn)以下功能:

  • 收集操作系統(tǒng)信息,并發(fā)送給C2服務(wù)器;
  • 從C2服務(wù)器接收命令并執(zhí)行;
  • 發(fā)送命令執(zhí)行結(jié)果給C2。

研究人員在分析過(guò)程中發(fā)現(xiàn)了多個(gè)版本,其中有針對(duì)macOS平臺(tái)的Macho格式,也有針對(duì)Linux平臺(tái)的ELF格式。最早的樣本上傳于2021年6月,首個(gè)受害者出現(xiàn)在2021年7月中旬。

收集的信息包括:

  • GUID: 隨機(jī)生成的guid,保存在/tmp/guid
  • 計(jì)算機(jī)名:uname (nodename)
  • IP地址: (getifaddrs)
  • 消息類(lèi)型: login
  • username: _getpwuid (pw_name)
  • version: uname (release)

收集到這些信息后,后門(mén)會(huì)將其打包為二進(jìn)制JSON(BJSON)消息,并發(fā)通過(guò)TCP以明文形式發(fā)送。

圖9 反序列化的BSON包


當(dāng)前題目:MiMi應(yīng)用被植入后門(mén),攻擊安卓、iOS、Windows和macOS平臺(tái)
網(wǎng)站地址:http://www.5511xx.com/article/djspihe.html