概述
上周,TrendMicro的研究人员在野外发现了一个新型的macOS恶意软件,该恶意软件会对真正的股票交易应用程序进行欺骗,开启后门,并运行恶意代码。在本文中,我们主要分析该恶意软件的工作原理,并以这一恶意软件为示例,讨论不同的检测和响应策略,特别重点说明在macOS上进行行为检测的原理和优势。
GMERA恶意软件概述
首先,让我们看一下这个新型macOS恶意软件的技术细节。
研究人员最初发现了两个变种,并将其识别为GMERA.A和GMERA.B。在本文中,我们将重点介绍GMERA.B样本中与检测和响应有关的关键环节。
我们所分析的样本哈希值是:d2eaeca25dde4fa0acdc4c2a1dfa3bacfadd52d23d68。
尽管这一哈希值已经上传至VirusTotal长达9天,并且TrendMicro在5天前就发表了相关研究的新闻,但截至目前,该样本仍然未被VirusTotal网站上的信誉引擎检测为病*。
与GMERA.A变种一致,该恶意软件包含在名为“Stockfoli.app”的macOS应用程序bundle中。其名称是一个名为“Stockfolio.app”的合法应用的缩写,该恶意软件声称是合法应用的副本,并且放置在恶意的Stockfoli.app的“Resources”文件夹中。
Resources文件夹中的Stockfolio.app似乎是合法应用程序的非正式发布版本,但事实上,恶意软件作者已经使用他们编写的代码替换了原始开发人员的代码签名。在本文的下一章中,我们将重点分析代码签名。
在Resources文件夹中,最值得