0
雷鋒網(wǎng)消息,據(jù)外媒7月21日?qǐng)?bào)道,卡巴斯基實(shí)驗(yàn)室的安全專家最近揪出了名為 Calisto 的惡意病毒,這家伙居然是 macOS 上臭名昭著的 Proton 病毒的前身。
卡巴斯基在分析報(bào)告中寫道,2016 年被創(chuàng)造出來后,該病毒就被上傳到了 VirusTotal、不過整整兩年后的 5 月份,Calisto 依然藏在反病毒解決方案的盲區(qū)中,最近才有人真正重視這個(gè)問題。
“從理論上來講,這個(gè) Calisto 后門可能是 Backdoor.OSX.Proton 病毒家族的成員。” 卡巴斯基的專家解釋道。不過,Calisto 使用的惡意代碼開發(fā)于 2016 年,而 Proton 則是 2017 年才進(jìn)入安全專家的視野。
專家指出,Calisto 其實(shí) 2016 年就被上傳 VirusTotal,但直到今年卡巴斯基都不知道這一威脅是如何“繁殖”起來的,意識(shí)到這一點(diǎn)后它們迅速發(fā)現(xiàn),一些 Calisto 攜帶的功能現(xiàn)在還處在無人監(jiān)管的情況下。
據(jù)悉,Calisto 的安裝文件是一個(gè)未簽名的 DMG 圖片,不過它卻用 Intego 安全解決方案(Mac 版)做了偽裝。同時(shí),卡巴斯基還注意到,雖然與 Proton 同根同源,但 Proton 的一些功能并沒有出現(xiàn)在 Calisto 中。
Proton 的真面目去年 3 月份才大白于天下,制造這一麻煩的黑客居然在地下黑客論壇公然兜售這一病毒,整個(gè)項(xiàng)目價(jià)格在 1200-830000 美元不等。
幾周之后,Proton 就首次參與到了黑客攻擊中去,罪犯們黑掉了 HandBrake 應(yīng)用的網(wǎng)站并將病毒植入了這款應(yīng)用。2017 年 10 月,又有人將 Proton RAT 植入了合法應(yīng)用,如 Elmedia Player 和下載管理器 Folx。無論是 Proton RAT 還是 Calisto 均為遠(yuǎn)程訪問特洛伊木馬(RAT),一旦被感染,黑客就能取得系統(tǒng)的控制權(quán)。
雷鋒網(wǎng)了解到,如果 Mac 被 Calisto 感染,黑客就能輕松遠(yuǎn)程實(shí)現(xiàn)下列功能:
1. 進(jìn)行遠(yuǎn)程登錄
2. 分享屏幕
3. 為用戶設(shè)定遠(yuǎn)程登錄許可
4. 在 macOS 下創(chuàng)立隱藏的“根”賬戶,并專門為特洛伊代碼設(shè)立密碼
專家對(duì)其進(jìn)行靜態(tài)分析后還發(fā)現(xiàn)了另外幾個(gè)尚未完成的功能,比如:
1. 為 USB 設(shè)備加載或卸載 Kernel 拓展
2. 從用戶公司名錄盜取數(shù)據(jù)
3. 與操作系統(tǒng)“同歸于盡”
安全專家指出,Calisto 其實(shí)在蘋果推出 SIP(系統(tǒng)完整性保護(hù))安全機(jī)制前就開始研發(fā)了,因此它無法繞過 SIP。
“Calisto 在裝有 SIP 的電腦上會(huì)‘束手束腳’,這套安全機(jī)制隨 OS X El Capitan 誕生。有了 SIP,蘋果就能防止關(guān)鍵的系統(tǒng)文件被更改,即使有根權(quán)限的用戶也無能為力。”研究人員解釋道。“Calisto 的開發(fā)時(shí)間可能在 2016 年或更早,而且其創(chuàng)造者當(dāng)時(shí)沒考慮到 SIP 這項(xiàng)新技術(shù)的威力。不過,許多用戶還是因?yàn)楦鞣N各樣的原因關(guān)掉了 SIP,給黑客以可乘之機(jī)。”
也就是說,只要你“乖乖聽話”,打開蘋果推薦的下列幾項(xiàng)安全機(jī)制,最新的 macOS 是不可能被 Calisto、Proton 和類似的威脅攻破的。
1. 及時(shí)將操作系統(tǒng)升級(jí)至最新版本
2. 永遠(yuǎn)不要關(guān)掉 SIP
3. 只運(yùn)行從可信商店下載的簽名軟件,如 App Store
4. 打開殺毒軟件
最后,安全專家還透露稱,Calisto 病毒其實(shí)已經(jīng)被原作者拋棄了。
雷鋒網(wǎng)Via. Security Affairs
雷峰網(wǎng)原創(chuàng)文章,未經(jīng)授權(quán)禁止轉(zhuǎn)載。詳情見轉(zhuǎn)載須知。
