向勒索軟件說(shuō)“不”的蘋(píng)果

崇光

蘋(píng)果計(jì)劃在今年秋季發(fā)布鎖定模式，作為其用于iPhone、iPad 平板電腦和 Mac 電腦的新操作系統(tǒng)的一部分

勒索軟件的“鼻祖”誕生于1989年，當(dāng)時(shí)不法分子使用軟盤(pán)和光盤(pán)（CD）傳播木馬程序，然后通過(guò)社會(huì)工程技術(shù)向用戶(hù)勒索錢(qián)財(cái)。但是，木馬程序無(wú)法加密數(shù)據(jù)，在那個(gè)互聯(lián)網(wǎng)的蠻荒時(shí)代，攻擊者還沒(méi)有找到敲詐之外的其他貨幣化方法。

直到2004年，第一個(gè)真正意義上的，能夠加密受害者數(shù)據(jù)的勒索軟件PGPcoder才出現(xiàn)，PGPcoder更接近我們今天所熟知的勒索軟件的概念。PGPcoder運(yùn)營(yíng)團(tuán)伙主要針對(duì)個(gè)人用戶(hù)，向受害者索要約13美元的贖金——與今天的勒索軟件贖金標(biāo)準(zhǔn)相比，這是微不足道的數(shù)字，當(dāng)今的贖金動(dòng)輒數(shù)千萬(wàn)美元。

勒索軟件歷史的重要轉(zhuǎn)折點(diǎn)發(fā)生在2015年，攻擊者的目標(biāo)從個(gè)人轉(zhuǎn)移到了企業(yè)，因?yàn)樗麄円庾R(shí)到從商業(yè)角度來(lái)看，商業(yè)組織，尤其是大型企業(yè)，是更有價(jià)值的獵物。2018年誕生了最臭名昭著的勒索軟件聯(lián)盟計(jì)劃之一——GandCrab，根據(jù)一些消息來(lái)源，該惡意軟件的源代碼構(gòu)成了REvil木馬的基礎(chǔ)。

2020年后的勒索軟件正在進(jìn)入強(qiáng)者愈強(qiáng)的時(shí)代，根據(jù)GroupBI的《2020-2021高科技犯罪趨勢(shì)報(bào)告》，過(guò)去三年業(yè)界觀測(cè)到至少51個(gè)RaaS勒索軟件聯(lián)盟計(jì)劃。其中一些像LockBit、Hive、SunCrypt或Avaddon發(fā)展迅猛，而另一些，例如realOnline Locker、Keystore Locker和Jingo Locker則每況愈下。

個(gè)人電腦變成“肉雞”，并非新鮮事，早在2017年5月，就曾經(jīng)爆發(fā)過(guò)勒索病毒W(wǎng)annaCry事件，當(dāng)時(shí)Mac用戶(hù)得以幸免。不過(guò)MacOS的安全性神話(huà)并沒(méi)有延續(xù)很久，之后安全公司Fortinet和AlienVault分別發(fā)現(xiàn)了兩種針對(duì)MacOS的惡意軟件服務(wù)——MacRansom勒索程序和MacSpy惡意軟件服務(wù)（MaaS）。

其中，MacRansom是迄今為止首個(gè)針對(duì)MacOS的勒索病毒，病毒代碼通過(guò)黑市傳播，目前雖然是免費(fèi)的，但程序本身采用封閉服務(wù)，使用者需要先通過(guò)電子郵件與制作者取得聯(lián)系，之后才能獲得程序代碼。

與此前Windows系統(tǒng)中發(fā)現(xiàn)的勒索病毒原理類(lèi)似，MacRansom同樣也是通過(guò)鎖定Mac電腦上的文件來(lái)向用戶(hù)索要贖金，每次的費(fèi)用為0.25比特幣，約合700美元。MacSpy屬于遠(yuǎn)端存取木馬，目前擁有免費(fèi)版和付費(fèi)版兩種形態(tài)，免費(fèi)版可以實(shí)現(xiàn)屏幕截圖、鍵盤(pán)記錄、聲音記錄以及iCloud同步等功能，而且不會(huì)留下任何痕跡。

付費(fèi)版的功能更加強(qiáng)大，可以打開(kāi)系統(tǒng)文檔、加密系統(tǒng)目錄以及用戶(hù)的郵件及社交軟件賬戶(hù)信息。值得一提的是，MacSpy開(kāi)發(fā)團(tuán)隊(duì)表示，越來(lái)越多的人都因?yàn)橛X(jué)得MacOS更安全而開(kāi)始使用該系統(tǒng)，所以此次打造了這款?lèi)阂獠《緛?lái)告訴大家，并沒(méi)有任何一款操作系統(tǒng)是完美的。

鑒于MacSpy為現(xiàn)在首個(gè)蘋(píng)果的勒索軟件，所以它的開(kāi)發(fā)者在傳播該軟件時(shí)還是比較小心的。如果“實(shí)驗(yàn)者”想要得到免費(fèi)的版本，就必須先以電子郵件與開(kāi)發(fā)者進(jìn)行溝通，等確認(rèn)后，他們才會(huì)向你發(fā)送該軟件，文檔服務(wù)器包含四個(gè)文件：1.Mach-O 64位可執(zhí)行文件稱(chēng)為“更新”;2.Mach-O 64位可執(zhí)行文件名為“webkitproxy”;3.Mach-O 64位動(dòng)態(tài)鏈接共享庫(kù)稱(chēng)為“l(fā)ibevent-2.0.5.dylib”;4.配置文件。

在檢查了webkitproxy和libevent-2.0.5.dylib之后，它們由Tor端口進(jìn)行傳動(dòng)，可以得出結(jié)論，它們的功能可能與洋蔥路由器路由存在某些關(guān)聯(lián)。而接下來(lái)，在進(jìn)一步分析配置文件的內(nèi)容時(shí)，可以看出“更新”的文件沒(méi)有經(jīng)過(guò)數(shù)字簽名，而且目前各種殺軟產(chǎn)品還沒(méi)有發(fā)現(xiàn)該配置文件中的信息。

可惡的是，MacSpy已經(jīng)具有了反偵查的能力，在進(jìn)行攻擊時(shí)，它做的第一件事是檢查軟件是否在非Mac環(huán)境下運(yùn)行或者是否在調(diào)試環(huán)境下運(yùn)行。為了防止調(diào)試，MacSpy使用了PT_DENY_

ATTACH選項(xiàng)來(lái)調(diào)用ptrace。這是一個(gè)常見(jiàn)的反調(diào)試器檢查，MacSpy已將反調(diào)試器檢查附加到惡意進(jìn)程中。

在通過(guò)反分析檢查和持久性攻擊設(shè)置后，MacSpy便會(huì)開(kāi)始執(zhí)行攻擊。MacSpy會(huì)將自身和相關(guān)文件從原始執(zhí)行點(diǎn)復(fù)制到“？/ Library / .DS_Stores /”，并刪除原始文件，這樣做是為了不留下操作痕跡，使其盡量保持隱藏狀態(tài)。

人們普遍認(rèn)為，當(dāng)他們使用系統(tǒng)封閉性較強(qiáng)的Mac時(shí)，沒(méi)有惡意軟件能攻擊他們。因?yàn)槟壳叭杂谐^(guò)9成的個(gè)人電腦采用Windows作業(yè)系統(tǒng)，只有不到6.4%的個(gè)人電腦在運(yùn)行Mac系統(tǒng)，但不論如何這樣的觀念都是錯(cuò)誤的。

雖然這個(gè)Mac惡意軟件可能不是第一個(gè)被開(kāi)發(fā)出的軟件，但卻是第一個(gè)被發(fā)現(xiàn)的軟件，也許早有類(lèi)似的軟件隱藏在個(gè)人Mac里。而且MacSpy的功能豐富，它表明，隨著OS X的市場(chǎng)份額不斷增長(zhǎng)，越來(lái)越多的惡意軟件的開(kāi)發(fā)者將會(huì)投入更多的時(shí)間和精力來(lái)生產(chǎn)對(duì)應(yīng)的攻擊軟件。

進(jìn)入2022年，蘋(píng)果公司決定加強(qiáng)其產(chǎn)品免受世界上最復(fù)雜的間諜軟件的攻擊，并計(jì)劃發(fā)布工具Lockdown（被稱(chēng)為鎖定模式）。使用時(shí)，出于安全目的，它將限制應(yīng)用程序、網(wǎng)站和部分功能的功能。例如在 iPhone 上，它會(huì)阻止大多數(shù)消息附件，以及之前未與用戶(hù)通話(huà)陌生人的FaceTime通話(huà)。

事情的起因要從去年11月說(shuō)起，當(dāng)時(shí)蘋(píng)果起訴了一家名為NSO Group的以色列網(wǎng)絡(luò)安全公司，指控該公司部署了惡意軟件和間諜軟件產(chǎn)品及服務(wù)，以針對(duì)記者、活動(dòng)家、學(xué)者和政府官員使用的蘋(píng)果產(chǎn)品。

“這其中包括一些主權(quán)政府的攻擊，這些政府支付數(shù)億美元來(lái)針對(duì)和攻擊一小部分用戶(hù)，這些用戶(hù)的信息對(duì)他們來(lái)說(shuō)非常有誘惑力。”蘋(píng)果在向美國(guó)北方地方法院提起的訴訟中表示。

據(jù)發(fā)現(xiàn)該問(wèn)題的學(xué)術(shù)研究機(jī)構(gòu)Citizen Lab稱(chēng)，第二季度蘋(píng)果已更新其軟件，以修復(fù)NSO一直在利用該漏洞中的iMessage靜默感染 iPhone。Citizen Lab 將此事描述為“零點(diǎn)擊”攻擊——一種罕見(jiàn)且危險(xiǎn)的入侵。與典型的黑客攻擊不同，它們不需要用戶(hù)單擊鏈接來(lái)感染設(shè)備。

NSO 方面則表示，它為世界各地的情報(bào)和執(zhí)法機(jī)構(gòu)提供打擊恐怖分子和犯罪的工具，并終止了與濫用其軟件的政府的合同（這樣看起來(lái)，變相承認(rèn)了蘋(píng)果的指控）。該公司辯稱(chēng)，蘋(píng)果的訴訟應(yīng)該被駁回，部分原因是它作為外國(guó)政府的代理人不受此類(lèi)訴訟的影響。

作為 iPhone、iPad 平板電腦和 Mac 電腦新操作系統(tǒng)的一部分，蘋(píng)果認(rèn)為：“鎖定模式將減少攻擊面并增加雇用間諜軟件公司的成本，從而使專(zhuān)制政府更難破解高風(fēng)險(xiǎn)用戶(hù)。”蘋(píng)果還計(jì)劃隨著時(shí)間的推移加強(qiáng)該功能，并承諾獎(jiǎng)勵(lì)在鎖定模式中發(fā)現(xiàn)弱點(diǎn)的研究人員，為符合條件的問(wèn)題提供高達(dá) 200 萬(wàn)美元的獎(jiǎng)金。

“雖然絕大多數(shù)用戶(hù)永遠(yuǎn)不會(huì)成為針對(duì)性強(qiáng)的網(wǎng)絡(luò)攻擊的受害者，但我們將孜孜不倦地保護(hù)少數(shù)用戶(hù)。”蘋(píng)果安全工程和架構(gòu)負(fù)責(zé)人伊萬(wàn)·克里斯提說(shuō)。“這包括繼續(xù)專(zhuān)門(mén)為這些用戶(hù)設(shè)計(jì)防御措施，以及支持世界各地的研究人員和組織抵制數(shù)字攻擊。”