コンピュータのメンテナンス
 Computer >> コンピューター >  >> トラブルシューティング >> コンピュータのメンテナンス

Mac が新しい Silver Sparrow マルウェアに感染した場合に知っておくべきことすべて

Mac がマルウェアから保護されていると思われる場合は、もう一度考え直してください。マルウェアの作成者は、macOS を含むさまざまなプラットフォームの脆弱性を悪用することに長けています。これは、Shlayer マルウェアや Top Results マルウェアなど、Mac を標的とした以前のマルウェア感染で明らかです。

Silver Sparrow macOS マルウェアとは

最近、Red Canary、Malwarebytes、および VMware Carbon Black のセキュリティ研究者が、世界中で 40,000 台を超える Mac に感染した新しい macOS マルウェアを発見しました。この新しい脅威は Silver Sparrow と名付けられました。 Malwarebytes によると、マルウェアは 153 か国に拡散しており、米国、英国、カナダ、フランス、ドイツが最も集中しています。これらの 40,000 台のうち、M1 Mac が何台あるかは不明であり、分布がどのように見えるかは正確にはわかりません.

研究者は、Silver Sparrow が感染したデバイスにかなり深刻な脅威をもたらすにもかかわらず、一般的な macOS アドウェアによく見られるような悪意のある動作を示さないことを指摘しています。セキュリティの専門家は、マルウェアが何をするように設計されているのか分からないため、これはマルウェアをより困惑させます.

しかし研究者は、悪意のあるソフトウェアがいつでも悪意のあるペイロードを配信する準備ができていることに気付きました。調査の結果、Silver Sparrow macOS マルウェア株は、感染したデバイスに悪意のあるペイロードを配信したことはありませんが、影響を受けた Mac ユーザーに対して、休眠状態にもかかわらず重大なリスクをもたらすと警告しました。

研究者は、Silver Sparrow が追加の悪意のあるペイロードを配信することを観察していませんが、その M1 チップの互換性、グローバルなリーチ、高い感染率、運用の成熟度により、Silver Sparrow はかなり深刻な脅威となっています。セキュリティの専門家は、Mac マルウェアが Intel および Apple Silicon プロセッサの両方と互換性があることも発見しました。

Silver Sparrow マルウェアの進化の大まかなタイムラインは次のとおりです。

  • 2020 年 8 月 18 日:マルウェア バージョン 1 (非 M1 バージョン) コールバック ドメイン api.mobiletraits[.]com が作成されました
  • 2020 年 8 月 31 日:VirusTotal に送信されたマルウェア バージョン 1 (非 M1 バージョン)
  • 2020 年 9 月 2 日:VirusTotal に送信されたマルウェア バージョン 2 の実行中に表示される version.json ファイル
  • 2020 年 12 月 5 日:マルウェア バージョン 2 (M1 バージョン) のコールバック ドメインが作成されました api.specialattributes[.]com が作成されました
  • 2021 年 1 月 22 日:PKG ファイル バージョン 2 (M1 バイナリを含む) を VirusTotal に送信
  • 2021 年 1 月 26 日:Red Canary が Silver Sparrow マルウェア バージョン 1 を検出
  • 2021 年 2 月 9 日:Red Canary が Silver Sparrow マルウェア バージョン 2 (M1 バージョン) を検出

Silver Sparrow マルウェアは何をしますか?

セキュリティ会社の Red Canary は、新しい M1 プロセッサを搭載した Mac を標的とする新しいマルウェアを発見しました。このマルウェアは Silver Sparrow と名付けられ、macOS Installer Javascript API を使用してコマンドを実行します。知っておくべきことは次のとおりです。

確かなことは誰にもわかりません。 Mac では、Silver Sparrow は 1 時間に 1 回サーバーに接続します。セキュリティ研究者は、大規模な攻撃に備えているのではないかと懸念しています.

セキュリティ会社の Red Canary は、Silver Sparrow がまだ悪意のあるペイロードを配信しているものの、かなり深刻な脅威になる可能性があると考えています。

このマルウェアは、Apple の M1 チップ上で動作するため、注目を集めています。これは、犯罪者が特に M1 Mac を標的にしていることを必ずしも示すものではなく、M1 Mac と Intel Mac の両方が感染している可能性があることを示唆しています。

既知のことは、感染したコンピューターが 1 時間に 1 回サーバーに接続することであり、これは大規模な攻撃に対する何らかの準備である可能性があります。

このマルウェアは、Mac OS Installer Javascript API を使用してコマンドを実行します。

セキュリティ会社はこれまでのところ、コマンドがどのようにさらに何かを導くかを判断できていないため、Silver Sparrow がどの程度の脅威をもたらすかはまだ不明です.それにもかかわらず、セキュリティ会社はマルウェアが深刻であると考えています.

Apple 側では、同社は Silver Sparrow マルウェアに関連するパッケージの署名に使用された証明書を取り消しました。

Apple の公証人サービスにもかかわらず、macOS マルウェアの開発者は、MacBook Pro、MacBook Air、Mac Mini などの最新の ARM チップを使用する製品を含む Apple 製品を標的にすることに成功しています。

Apple は、「業界をリードする」ユーザー保護メカニズムを備えていると主張していますが、マルウェアの脅威が再び現れ続けています。

実際、脅威アクターはすでに先を行っており、初期の段階で M1 チップを標的にしているようです。これは、多くの正当な開発者がアプリケーションを新しいプラットフォームに移植していないにもかかわらずです.

Silver Sparrow macOS マルウェアは、Intel と ARM のバイナリを出荷し、AWS と Akamai CDN を使用します

研究者は、ブログ記事「Silver Sparrow の翼を切り取る:飛行前に macOS マルウェアを排除する」で、Silver Sparrow の操作について説明しています。

新しいマルウェアは、Intel x86_64 プロセッサをターゲットとする Mach-object 形式と、M1 Mac 用に設計された Mach-O バイナリの 2 つのバイナリで存在します。

macOS マルウェアは、「update.pkg」または「updater.pkg」という名前の Apple インストーラー パッケージを通じてインストールされます。

アーカイブには、インストール スクリプトが実行される前に実行される JavaScript コードが含まれており、プログラムが「ソフトウェアをインストールできるかどうかを判断する」ことをユーザーに許可します。

ユーザーが同意すると、JavaScript コードは verx.sh という名前のスクリプトをインストールします。 Malwarebytes によると、システムはすでに感染しているため、この時点でインストール プロセスを中止しても意味がありません。

インストールが完了すると、スクリプトは 1 時間ごとにコマンド アンド コントロール サーバーに接続し、実行するコマンドまたはバイナリをチェックします。

コマンド アンド コントロール センターは、アマゾン ウェブ サービス (AWS) およびアカマイのコンテンツ配信ネットワーク (CDN) インフラストラクチャで実行されます。研究者は、クラウド インフラストラクチャを使用すると、ウイルスのブロックが難しくなると述べています。

驚くべきことに、研究者は最終的なペイロードの展開を検出しなかったため、マルウェアの最終的な目的は謎のままです.

彼らは、マルウェアが特定の条件が満たされるのを待っていた可能性があることを指摘しました。同様に、セキュリティ研究者による監視を検出して、悪意のあるペイロードの展開を回避できる可能性があります。

実行すると、Intel x86_64 バイナリは「Hello World」を出力し、Mach-O バイナリは「You did it!」を表示します。

研究者は、悪意のある動作を示さなかったため、それらを「バイスタンダー バイナリ」と名付けました。さらに、macOS マルウェアには自身を削除するメカニズムがあり、ステルス機能が強化されています。

ただし、感染したデバイスで自己削除機能が使用されたことは一度もありませんでした。マルウェアは、インストール後にダウンロード元のソース URL も検索します。彼らは、マルウェア開発者がどの配布チャネルが最も効果的であったかを追跡したいと主張しました.

研究者はマルウェアがどのように配信されたかを突き止めることはできませんでしたが、偽のフラッシュ アップデート、海賊版ソフトウェア、悪意のある広告、正規のアプリなどの配布経路が考えられます。

サイバー犯罪者は攻撃のルールを定義します。戦術が完全に明確でない場合でも、サイバー犯罪者の戦術を防御するのは私たち次第です。これは、macOS を標的とする新たに特定されたマルウェア、Silver Sparrow の状況です。現時点では、それほど多くのことを行っているようには見えませんが、防御すべき戦術についての洞察を提供することができます.

Silver Sparrow マルウェアの技術仕様

研究者の調査によると、Silver Sparrow マルウェアには「バージョン 1」と「バージョン 2」と呼ばれる 2 つのバージョンがあります。

マルウェア バージョン 1

  • ファイル名:updater.pkg (v1 のインストーラー パッケージ)
  • MD5:30c9bc7d40454e501c358f77449071aa

マルウェア バージョン 2

  • ファイル名:update.pkg (v2 のインストーラー パッケージ)
  • MD5:fdd6fb2b1dfe07b0e57d4cbfef9c8149

ダウンロード URL とスクリプト コメントの変更を除けば、2 つのマルウェア バージョンには 1 つの大きな違いしかありませんでした。最初のバージョンには、Intel x86_64 アーキテクチャ用にのみコンパイルされた Mach-O バイナリが含まれていましたが、2 番目のバージョンには、Intel x86_64 および M1 ARM64 アーキテクチャ用にコンパイルされた Mach-O バイナリが含まれていました。 M1 ARM64 アーキテクチャは新しく、新しいプラットフォームで発見された脅威はほとんどないため、これは重要です。

Mach-O でコンパイルされたバイナリは何もしていないように見えるため、「バイスタンダー バイナリ」と呼ばれます。

シルバー スパローの配布方法

報告によると、macOS の脅威の多くは、Adobe Flash Player などの正規のアプリケーションや更新プログラムを装った PKG または DMG 形式の単一の自己完結型インストーラーとして、悪意のある広告を介して配布されます。ただし、この場合、攻撃者はマルウェアを 2 つの異なるパッケージ (updater.pkg と update.pkg) で配布しました。どちらのバージョンも、バイスタンダー バイナリのコンパイルが異なるだけで、同じ手法を使用して実行されます。

Silver Sparrow のユニークな点の 1 つは、そのインストーラー パッケージが macOS インストーラー JavaScript API を利用して疑わしいコマンドを実行することです。一部の正当なソフトウェアもこれを行っていますが、これがマルウェアによって行われたのはこれが初めてです。これは、通常、インストール前またはインストール後のスクリプトを使用してコマンドを実行する、悪意のある macOS インストーラーで通常見られる動作とは異なります。インストール前およびインストール後の場合、インストールによって、次のような特定のテレメトリ パターンが生成されます。

  • 親プロセス:package_script_service
  • プロセス:bash、zsh、sh、Python、または別のインタープリター
  • コマンド ライン:preinstall または postinstall が含まれます

このテレメトリ パターンは、正当なソフトウェアでさえスクリプトを使用するため、それ自体が悪意のあることを示す特に忠実度の高い指標ではありませんが、通常、インストール前およびインストール後のスクリプトを使用してインストーラを確実に識別します。 Silver Sparrow は、パッケージ ファイルのディストリビューション定義 XML ファイル内に JavaScript コマンドを含めることで、悪意のある macOS インストーラーから見られるものとは異なります。これにより、別のテレメトリ パターンが生成されます:

  • 親プロセス:インストーラー
  • プロセス:bash

インストール前およびインストール後のスクリプトと同様に、このテレメトリ パターンだけでは、悪意のある動作を特定するには不十分です。インストール前およびインストール後のスクリプトには、実際に何が実行されているかの手がかりを提供するコマンドライン引数が含まれています。一方、悪意のある JavaScript コマンドは、正当な macOS インストーラー プロセスを使用して実行され、インストール パッケージの内容や、そのパッケージが JavaScript コマンドをどのように使用するかをほとんど把握できません。

このマルウェアは、update.pkg または updater.pkg という名前の Apple インストーラー パッケージ (.pkg ファイル) を介してインストールされたことがわかっています。ただし、これらのファイルがユーザーにどのように配信されたかはわかりません。

これらの .pkg ファイルには、インストールが実際に開始される前に、コードが最初に実行されるように JavaScript コードが含まれていました。次に、ユーザーは、「ソフトウェアをインストールできるかどうかを判断するために」プログラムの実行を許可するかどうかを尋ねられます。

ユーザーに伝える Silver Sparrow のインストーラー:

「このパッケージは、ソフトウェアをインストールできるかどうかを判断するプログラムを実行します。」

これは、[続行] をクリックしてもよく考えてインストーラーを終了しても手遅れになることを意味します。あなたはすでに感染しているでしょう。

悪意のあるアクティビティのもう 1 つの兆候は、Mac で LaunchAgent を作成する PlistBuddy プロセスでした。

LaunchAgents は、macOS 初期化システムである launchd にタスクを定期的または自動的に実行するよう指示する方法を提供します。それらはエンドポイントで任意のユーザーが書き込むことができますが、通常はそれらを書き込んだユーザーとしても実行されます。

macOS でプロパティ リスト (plist) を作成するには複数の方法があり、ハッカーはさまざまな方法を使用してニーズを達成することがあります。そのような方法の 1 つは、LaunchAgents を含むエンドポイントでさまざまなプロパティ リストを作成できる組み込みツールである PlistBuddy を使用することです。ハッカーは永続性を確立するために PlistBuddy を利用することがあります。そうすることで、ファイルのすべてのプロパティが書き込み前にコマンド ラインに表示されるため、防御側は EDR を使用して LaunchAgent の内容を簡単に調べることができます。

Silver Sparrow の場合、これらは plist の内容を書き込むコマンドです:

  • PlistBuddy -c “Add :Label string init_verx” ~/Library/Launchagents/init_verx.plist
  • PlistBuddy -c “Add :RunAtLoad bool true” ~/Library/Launchagents/init_verx.plist
  • PlistBuddy -c “Add :StartInterval integer 3600” ~/Library/Launchagents/init_verx.plist
  • PlistBuddy -c “:ProgramArguments 配列を追加” ~/Library/Launchagents/init_verx.plist
  • PlistBuddy -c “Add :ProgramArguments:0 string ‘/bin/sh’” ~/Library/Launchagents/init_verx.plist
  • PlistBuddy -c “Add :ProgramArguments:1 string -c” ~/Library/Launchagents/init_verx.plist

LaunchAgent Plist XML は次のようになります:

ラベル
init_verx
RunAtLoad

開始間隔
3600
プログラム引数
「/bin/sh」
-c
「~/Library/Application\\ Support/verx_updater/verx.sh」[タイムスタンプ] [ダウンロードされた plist からのデータ]

Silver Sparrow には、ディスク上の ~/Library/._insu の存在をチェックすることによって、すべての永続化メカニズムとスクリプトを削除するファイル チェックも含まれています。ファイルが存在する場合、Silver Sparrow はそのすべてのコンポーネントをエンドポイントから削除します。 Malwarebytes から報告されたハッシュ (d41d8cd98f00b204e9800998ecf8427e) は、._insu ファイルが空であることを示していました。

if [ -f ~/Library/._insu ]
それから
rm ~/Library/Launchagents/verx.plist
rm ~/Library/Launchagents/init_verx.plist
rm /tmp/version.json
rm /tmp/version.plist
rm /tmp/verx
rm -r ~/Library/Application\\ Support/verx_updater
rm /tmp/agent.sh
launchctl remove init_verx

インストールの最後に、Silver Sparrow は 2 つの検出コマンドを実行して、インストールが行われたことを示す curl HTTP POST 要求のデータを作成します。 1 つはレポート用のシステム UUID を取得し、2 番目は元のパッケージ ファイルのダウンロードに使用された URL を見つけます。

sqlite3 クエリを実行することで、マルウェアは PKG がダウンロードされた元の URL を見つけ、サイバー犯罪者に成功した配布チャネルのアイデアを提供します。通常、macOS では悪意のあるアドウェアによるこの種の活動が見られます:sqlite3 sqlite3 ~/Library/Preferences/com.apple.LaunchServices.QuarantineEventsV* 'select LSQuarantineDataURLString from LSQuarantineEvent where LSQuarantineDataURLString like “[redacted]” order by LSQuarantineTimeStamp desc'

Mac から Silver Sparrow マルウェアを削除する方法

Apple は、Silver Sparrow マルウェアのインストールを可能にする開発者証明書を上書きするための措置を迅速に講じました。したがって、これ以上インストールすることはできません。

Mac App Store 以外でダウンロードされたすべてのソフトウェアは公証される必要があるため、通常、Apple の顧客はマルウェアから保護されています。この場合、マルウェア作成者は、パッケージに署名するために使用された証明書を取得できたようです。

この証明書がなければ、マルウェアはこれ以上コンピュータに感染できなくなります。

Silver Sparrow を検出するもう 1 つの方法は、Silver Sparrow 感染に対処しているのか、それとも別の何かに対処しているのかを確認するインジケーターの存在を検索することです。

  • Lau​​nchAgents と RunAtLoad と true を含むコマンド ラインと組み合わせて実行されている PlistBuddy と思われるプロセスを探します。この分析は、LaunchAgent の持続性を確立している複数の macOS マルウェア ファミリを見つけるのに役立ちます。
  • LSQuarantine.この分析は、ダウンロードされたファイルのメタデータを操作または検索している複数の macOS マルウェア ファミリを見つけるのに役立ちます。
  • s3.amazonaws.com を含むコマンド ラインと連携して curl を実行しているように見えるプロセスを探します。この分析は、配布に S3 バケットを使用している複数の macOS マルウェア ファミリを見つけるのに役立ちます。

これらのファイルの存在は、デバイスが Silver Sparrow マルウェアのバージョン 1 またはバージョン 2 に感染していることも示しています。

  • ~/Library/._insu (マルウェアに自身を削除するよう通知するために使用される空のファイル)
  • /tmp/agent.sh (インストール コールバックのために実行されるシェル スクリプト)
  • /tmp/version.json (実行フローを決定するために S3 からダウンロードしたファイル)
  • /tmp/version.plist (プロパティ リストに変換された version.json)

マルウェア バージョン 1 の場合:

  • ファイル名:updater.pkg (v1 のインストーラー パッケージ) またはアップデーター (v1 パッケージのバイスタンダー Mach-O Intel バイナリ)
  • MD5:30c9bc7d40454e501c358f77449071aa または c668003c9c5b1689ba47a431512b03cc
  • s3.amazonaws[.]com (v1 の version.json を保持する S3 バケット)
  • ~/Library/Application Support/agent_updater/agent.sh (1 時間ごとに実行される v1 スクリプト)
  • /tmp/agent (配布された場合、最終的な v1 ペイロードを含むファイル)
  • ~/Library/Launchagents/agent.plist (v1 永続メカニズム)
  • ~/Library/Launchagents/init_agent.plist (v1 持続メカニズム)
  • 開発者 ID Saotia Seay (5834W6MYX3) – v1 バイスタンダー バイナリ署名が Apple によって取り消されました

マルウェア バージョン 2 の場合:

  • ファイル名:update.pkg (v2 のインストーラー パッケージ) または tasker.app/Contents/MacOS/tasker (v2 のバイスタンダー Mach-O Intel &M1 バイナリ)
  • MD5:fdd6fb2b1dfe07b0e57d4cbfef9c8149 または b370191228fef82635e39a137be470af
  • s3.amazonaws[.]com (v2 の version.json を保持する S3 バケット)
  • ~/Library/Application Support/verx_updater/verx.sh (1 時間ごとに実行される v2 スクリプト)
  • /tmp/verx (配布された場合、最終的な v2 ペイロードを含むファイル)
  • ~/Library/Launchagents/verx.plist (v2 永続メカニズム)
  • ~/Library/Launchagents/init_verx.plist (v2 永続メカニズム)
  • 開発者 ID Julie Willey (MSZ3ZH74RK) – v2 バイスタンダー バイナリ署名が Apple によって取り消されました

Silver Sparrow マルウェアを削除するには、次の手順を実行できます:

1.マルウェア対策ソフトウェアを使用してスキャンします。

コンピューター上のマルウェアに対する最善の防御は、常に Outbyte AVarmor などの信頼できるマルウェア対策ソフトウェアです。理由は簡単です。マルウェア対策ソフトウェアはコンピュータ全体をスキャンし、疑わしいプログラムを見つけて削除します。マルウェアを手動で削除してもうまくいくかもしれませんが、何かを見逃す可能性は常にあります。優れたマルウェア対策プログラムはそうではありません。

2. Silver Sparrow のプログラム、ファイル、フォルダーを削除します。

Mac 上の Silver Sparrow マルウェアを削除するには、まずアクティビティ モニターに移動し、疑わしいプロセスをすべて強制終了します。そうしないと、削除しようとしたときにエラー メッセージが表示されます。アクティビティ モニターにアクセスするには、次の手順を実行します。

<オール>
  • ファインダーを開く
  • [アプリケーション]> [ユーティリティ]> [アクティビティ モニター] に移動します。
  • Activity Monitor で、実行中のプロセスを探します。それらのいずれかが疑わしい、またはなじみがないと思われる場合は、終了してください。プロセスをさらに精査するには、マウスで強調表示して右クリックし、ファイルの場所を確認します。

    • 疑わしいプログラムを削除したら、マルウェア関連のファイルとフォルダーも削除する必要があります。実行する手順は次のとおりです:

    <オール>
  • Finder の [フォルダーに移動] オプションを使用して、/Library/LaunchAgents フォルダーに移動します。このフォルダー内で、Silver Sparrow に関連する疑わしいファイルを探します。この性質のファイルの例には、「myppes.download.plist」、「mykotlerino.ltvbit.plist」、「installmac.AppRemoval.plist」などがあります。識別に役立つように、共通の文字列を持つファイルを探してください。
  • Finder を使用して、/Library/Application Support フォルダに移動します。ここで、疑わしいファイル、特にアプリケーション アプリを使用して削除したアプリケーションに関連するファイルを探します。これらを削除すると、今後シルバー スパロウが再浮上するのを防ぐことができます。
  • /Library/LaunchDaemons フォルダに移動し、疑わしいファイルを探します。 Silver Sparrow マルウェアに関連付けられている疑わしいファイルの例には、「com.myppes.net-preferences.plist」、「com.kuklorest.net-preferences.plist」、「com.audad.net-preferences.plist」、および「 com.avickUpd.plist」.これらのファイルをゴミ箱に移動してください。

    • 3.該当する場合は、Silver Sparrow ブラウザ拡張機能をアンインストールします。

    コンピューターのハード ドライブからマルウェアを手動で削除した後、Top Results ブラウザー拡張機能もすべてアンインストールする必要があります。使用しているブラウザで [設定]> [拡張機能] に移動し、よく知らない拡張機能を削除します。または、拡張機能も削除されるため、ブラウザーをデフォルトにリセットすることもできます。

    まとめ

    Silver Sparrow マルウェアは、時間が経っても追加のペイロードをダウンロードしないため、謎のままです。これは、このマルウェアが何をするように設計されているのか、私たちにはわからないことを意味し、Mac ユーザーとセキュリティの専門家は、このマルウェアが何をするつもりなのかについて困惑しています。悪意のある活動がないにもかかわらず、マルウェアの存在自体が、感染したデバイスに脅威をもたらします。したがって、すぐに削除し、痕跡をすべて削除する必要があります。


    1. Wi-Fi 6:知っておくべきことすべて!

      今年は技術的なサプライズがたくさん待っています! Wi-Fi 6 もその 1 つです。はい、そうです。 2019 年に目にする 1 つのゲーム チェンジャー ワイヤレス標準である次世代の Wi-Fi に備えましょう。テクノロジーやガジェットの傾向がますます強くなっているため、Wi-Fi 6 の登場は確かに 1 つの良いニュースになります。特に混雑したエリアでは、速度とパフォーマンスが向上します。そのため、Wi-Fi 6 は 802.11ax としても知られる最新の Wi-Fi 標準であり、今年リリースされる予定です。 情報筋によると、Wi-Fi 6 がリリースされると、これらの数値がデバイス

    2. ファイルレス マルウェア – 知っておくべきすべてのこと

      マルウェアには、さまざまな形態と強度があります ここでは、最も危険なマルウェアの 1 つであるファイルレス マルウェアについて説明します。 ファイルが含まれていない場合にこのマルウェアがどのように拡散するのか、その名前自体が多くの好奇心をかき立てます。より具体的には、ファイルをダウンロードしていないのに、ファイルレス マルウェアが私の PC をどのように征服できるか考えているかもしれません。 こちらもお読みください: マルウェア:私たちが望んだことのない戦争 攻撃者の頭の中を少し調べてみませんか?攻撃者はファイルレス マルウェアを使用する可能性があります – 通常の状況では、ウイルス対策