▲點擊上方 雷鋒網 關注
文 | 大壯旅
來自雷鋒網(leiphone-sz)的報導
雷鋒網消息,據外媒7月21日報導,卡巴斯基實驗室的安全專家最近揪出了名為 Calisto 的惡意病毒,這傢伙居然是 macOS 上臭名昭著的 Proton 病毒的前身。
卡巴斯基在分析報告中寫道,2016 年被創造出來後,該病毒就被上傳到了 VirusTotal、不過整整兩年後的 5 月份,Calisto 依然藏在反病毒解決方案的盲區中,最近才有人真正重視這個問題。
「從理論上來講,這個 Calisto 後門可能是 Backdoor.OSX.Proton 病毒家族的成員。」 卡巴斯基的專家解釋道。不過,Calisto 使用的惡意代碼開發於 2016 年,而 Proton 則是 2017 年才進入安全專家的視野。
專家指出,Calisto 其實 2016 年就被上傳 VirusTotal,但直到今年卡巴斯基都不知道這一威脅是如何「繁殖」起來的,意識到這一點後它們迅速發現,一些 Calisto 攜帶的功能現在還處在無人監管的情況下。
據悉,Calisto 的安裝文件是一個未籤名的 DMG 圖片,不過它卻用 Intego 安全解決方案(Mac 版)做了偽裝。同時,卡巴斯基還注意到,雖然與 Proton 同根同源,但 Proton 的一些功能並沒有出現在 Calisto 中。
Proton 的真面目去年 3 月份才大白於天下,製造這一麻煩的黑客居然在地下黑客論壇公然兜售這一病毒,整個項目價格在 1200-830000 美元不等。
幾周之後,Proton 就首次參與到了黑客攻擊中去,罪犯們黑掉了 HandBrake 應用的網站並將病毒植入了這款應用。2017 年 10 月,又有人將 Proton RAT 植入了合法應用,如 Elmedia Player 和下載管理器 Folx。無論是 Proton RAT 還是 Calisto 均為遠程訪問特洛伊木馬(RAT),一旦被感染,黑客就能取得系統的控制權。
雷鋒網了解到,如果 Mac 被 Calisto 感染,黑客就能輕鬆遠程實現下列功能:
1. 進行遠程登錄
2. 分享屏幕
3. 為用戶設定遠程登錄許可
4. 在 macOS 下創立隱藏的「根」帳戶,並專門為特洛伊代碼設立密碼
專家對其進行靜態分析後還發現了另外幾個尚未完成的功能,比如:
1. 為 USB 設備加載或卸載 Kernel 拓展
2. 從用戶公司名錄盜取數據
3. 與作業系統「同歸於盡」
安全專家指出,Calisto 其實在蘋果推出 SIP(系統完整性保護)安全機制前就開始研發了,因此它無法繞過 SIP。
「Calisto 在裝有 SIP 的電腦上會『束手束腳』,這套安全機制隨 OS X El Capitan 誕生。有了 SIP,蘋果就能防止關鍵的系統文件被更改,即使有根權限的用戶也無能為力。」研究人員解釋道。「Calisto 的開發時間可能在 2016 年或更早,而且其創造者當時沒考慮到 SIP 這項新技術的威力。不過,許多用戶還是因為各種各樣的原因關掉了 SIP,給黑客以可乘之機。」
也就是說,只要你「乖乖聽話」,打開蘋果推薦的下列幾項安全機制,最新的 macOS 是不可能被 Calisto、Proton 和類似的威脅攻破的。
1. 及時將作業系統升級至最新版本
2. 永遠不要關掉 SIP
3. 只運行從可信商店下載的籤名軟體,如 App Store
4. 打開殺毒軟體
最後,安全專家還透露稱,Calisto 病毒其實已經被原作者拋棄了。
雷鋒網Via. Security Affairs
關注雷鋒網(leiphone-sz)回復 2 加讀者群交個朋友