近日，研究人员发现了首个针对mac系统的勒索软件MacSpy出现了，并且提供免费版与付费版，另外MacSpy可以通过“勒索即服务”模式获取。

由于苹果产品近年来越来越普及，所以勒索软件的开发者也慢慢地将目标从Windows系统转到了苹果系统。MacSpy属于远端存取木马（RAT），免费版的功能包括截取苹果电脑上的屏幕画面、键盘记录还能同步iCloud。付费版则能存取苹果系统上的用户档案、加密系统目录、取得用户的电子邮件或社交帐号，并且更新恶意软件。

鉴于MacSpy为现在首个苹果的勒索软件，所以它的开发者在传播该软件时还是比较小心的。如果你想要得到免费的版本，就必须先以电子邮件与开发者进行沟通，等确认后，他们才会向你发送该软件，具体过程如下：

1.提前向他们发送我们想要设置的用户名和密码。

2.以便他们为我们专门开发一个软件帐户。

3.提供了一个压缩文件和以下说明，如下图所示：

解压缩存档后，我们观察到它包含以下文件：

文档服务器包含四个文件：

1.Mach-O 64位可执行文件称为“更新”

2.Mach-O 64位可执行文件名为“webkitproxy”

3.Mach-O 64位动态链接共享库称为“libevent-2.0.5.dylib”

4.配置文件

在检查了webkitproxy和libevent-2.0.5.dylib之后，我们注意到它们由Tor端口进行传动的，因此我们可以得出结论，它们的功能可能与洋葱路由器路由存在某些关联。而接下来，在进一步分析配置文件的内容进时，我们更加确信了这一猜测。

对配置文件内容的分析

可以看出，“更新”的文件没有经过数字签名，而且目前各种杀软产品还没有发现该配置文件中的信息。

MacSpy已经具有了反侦查的能力

在分析MacSpy时，我们发现MacSpy已经具有了反侦查的能力，在进行攻击时，它做的第一件事是检查软件是否在非Mac环境下运行或者是否在调试环境下运行。。为了防止调试，MacSpy使用了PT_DENY_ATTACH选项来调用ptrace（）。这是一个常见的反调试器检查，MacSpy以将反调试器检查附加到恶意进程中。

即使绕过ptrace的反调试检查，MacSpy中还有其他代码可以检查它是否在调试器中运行。

上面的代码非常类似于调试器检查此堆栈溢出的代码。

除了反调试环境检查之外，MacSpy还包含了针对执行环境的检查，这可能会使其难以在虚拟机中运行。在下面的代码中，你可以看到MacSpy会检查物理CPU数量是否大于1，逻辑内核数是否大于3，逻辑内核数量是否是物理内核数量的两倍，MacSpy还会检查主机上是否至少有4 GB的内存。由于恶意软件沙箱通常以最少的资源运行，所以这些检查可能会阻止MacSpy在虚拟环境中正常执行。

与MacRansom类似，MacSpy还使用'sysctl'命令将目前运行的设备型号与Mac的所有设备型号进行比较。 MacSpy将删除所有终端窗口，这可能会让分析人员使用命令行工具来分析恶意软件（OSX / Dok也是通过删除终端窗口的行为来避免被分析人员分析）。

MacSpy会在〜/ Library / LaunchAgents / com.apple.webkit.plist中创建启动条目，这样可以确保恶意软件在启动时运行，以继续收集信息。

MacSpy的攻击过程分析

在通过反分析检查和持久性攻击设置后，MacSpy便会开始执行攻击。MacSpy会将自身和相关文件从原始执行点复制到“〜/ Library / .DS_Stores /”，并删除原始文件，这样做是为了不留下操作痕迹，使其尽量的保持隐藏状态。然后，MacSpy会通过使用curl命令来联系命令和控制服务器来检查其代理的功能。连接到CnC后，恶意软件通过TOR代理发送POST请求，发送先前收集的数据，如系统信息，这个过程会重复发送一些MacSpy之前收集的各种数据。在数据被过滤后，MacSpy将删除包含其发送数据的临时文件。

以下用于exfiltrate数据的curl命令：

〜/ Library / .DS_Stores / data / tmp / SystemInfo的内容

MacSpy的门户网站分析

在我们给MacSpy开发者的沟通电子邮件中，我们说明了我们想使用其门户网站的凭据。在登录MacSpy门户网站后，我们收到了一个非常有个性的骨骼式的目录列表，其中包含一个标签为YYYYMM格式的，能在系统上执行恶意软件的最近日期的文件夹，以及DD格式的文件夹。进入到该文件夹中，使用类似于受害者系统上命名的目录的一系列目录进行处理。这些文件夹中的数据是从受害者那里收集的恶意软件执行的数据。

如何预防MacSpy？

检测是否有NIDS的使用

检测在Mac上运行的MacSpy的最佳方法是在通信时使用网络IDS（NIDS）规则的组合。事实证明，AlienVault在其威胁情报中提供了这一规则，威胁情报已经通过称为“系统妥协，恶意软件RAT，MacSpy”的规则进行了更新。这将进入USM关联引擎，以产生一个警告，通知AlienVault客户他们的一个系统受到威胁。

Osquery

YARA规则

你可以在任何支持Yara的系统中使用下面的规则来检测这种基于Mac的恶意软件。

总结

人们普遍认为，当他们使用Mac时，就没有恶意软件能攻击他们。因为目前仍有超过9成的个人电脑採用Windows作业系统，只有不到6.4%的个人电脑在运行mac系统，但不论如何这样的观念都是错误的。

虽然这个Mac恶意软件可能不是第一个被开发出的软件，但却是第一个被发现的软件，也许早有类似的软件早已隐藏在你的Mac里。而且MacSpy的功能丰富，它表明，随着OS X的市场份额不断增长，越来越多的恶意软件的开发者会将投入更多的时间和精力来生产对应的攻击软件。