攻击|与OceanLotus 相关的macOS 后门( 二 )
· 一个用来收集操作系统信息、提交信息给恶意C2 服务器、接受其他的C2通信信息;
· 另一个是后门功能。
收集的信息会被加密,并发送给恶意C2服务器。
文章插图
图 13. 发送给C2服务器的TCP流
并从相同的服务器接收命令。
文章插图
图 14. 从C2服务器接收命令的TCP流
恶意软件使用的C2服务器如下所示:
· mihannevis[.]com
· mykessef[.]com
· idtpl[.]org
新变种的后门功能与老版本的类似,如下所示:
文章插图
文章插图
图 15-16. 老版本OceanLotus变种(上)和新版本(下)的代码比较
C2域名
根据Google和Whois 历史记录,mihannevis[.]com域名是在使用C2 服务器之前用来保存其他网站信息。
文章插图
文章插图
图 17-18. mihannevis[.]com域名历史,Whois (上)和谷歌(下)
在VirusTotal中,相关的URL查询出现在8月底。
文章插图
图 19. VirusTotal中与mihannevis[.]com相关的URL
之前,域名"mykessef[.]com" 被用作C2服务器。
文章插图
图 20. mykessef[.]com域名历史
"idtpl[.]org"域名的注册时间是3年前,之后没有更新历史。根据Whois 的查询结果,其注册商已于2020年3月底过期。
文章插图
图 21. idtpl[.]org 注册信息
但是,在2020年7月中旬,其IP 地址被修改为185[.]117[.]88[.]91。
文章插图
图 22. idtpl[.]org域名历史信息
- 创意|wacom one万与创意数位屏测评
- 黑莓(BB.US)盘前涨逾32%,将与亚马逊开发智能汽车数据平台|美股异动 | US
- 巅峰|realme巅峰之作:120Hz+陶瓷机身+5000mAh 做到了颜值与性能并存
- 抖音小店|抖音进军电商,短视频的商业模式与变现,创业者该如何抓住机遇?
- YFI正式宣布与Sushiswap合作|金色DeFi日报 | 合作
- 小店|抖音小店无货源是什么?与传统模式有什么区别?
- 星期一|亚马逊:黑五与网络星期一期间 第三方卖家销售额达到48亿美元
- 迁徙|网红迁徙记:哪里才是奶与蜜之地?
- 与用户|掌握好这4个步骤,实现了规模性的盈利
- 按键|苹果与宜家合作智能家居快捷按键,定价9.99美元