蘋果日漸受黑客關注 MAC平台病毒大盤點

[psac]

蘋果日漸受黑客關注 MAC平台病毒大盤點

最近電腦安全世界經歷了一場震撼，有兩個會感染 Macintosh 作業系統 (Mac OS) 的蠕蟲被發現，而這種作業系統向來都很少遭到電腦病毒攻擊。這兩個會感染 Mac OS X 10.4 的蠕蟲分別在 2 月 16 日與 17 日被發現，並且已被趨勢科技定義為 OSX_LEAP.A 與 OSX_INQTANA.A。而短短三天之內，Safari 網頁瀏覽器也在 2 月 20 日被發現含有安全弱點。這個安全弱點能允許下載的指令文件自動執行，因此可能成為零時差攻擊利用的渠道。

第一波攻勢
　　惡意程序在 Mac OS 上的第一波感染行動是通過 OSX_LEAP.A 來完成。它的行徑類似 WORM_BROPIA 與 WORM_OPANKI 變種，會通過既時傳訊程序來散播，像 MSN 與 AOL。值得注意的是，OSX_LEAP.A 用以傳播的媒介應用程式是 Apple 的 iChat 傳訊程序。它會使用這個應用程式將 「latestpics.tgz」 壓縮檔案傳送給目標收信者。然而，我們發現了一些關於這只蠕蟲如何散播的線索：收信者必須將壓縮檔案中的 「latestpics」 這個程式文件解壓縮並執行它。因為它利用了通常是與圖形文件關聯的圖示，所以使用者可能很容易上當而將上述程序解壓縮。

　　感染模式

　　使用者通過 iChat 程序收到的蠕蟲是一個名為 「latestpics.tgz」 的壓縮檔案。將壓縮檔案解壓縮之後會產生兩個文件：

　　Latestpics-Mac OS 惡意執行文件

　　Latestpics?隱藏的資源文件，內含主要執行文件使用的圖示。

　　「latestpics」 執行之後會將自己與資源文件複製到 /tmp 資料夾中，然後再將這兩個文件重新封裝為另一個名為 「latestpics.tgz」 的壓縮檔案。當散播行動被觸發時，它就會將這個壓縮檔案傳送出去。

　　接著它會移除下列任何一個資料夾中的 apphook 資料夾：

　　LIBRARY/INPUTMANAGERS (如果是以 root 權限執行)

　　~/LIBRARY/INPUTMANAGERS (如果不是以 root 權限執行)

　　然後它會建立它自己的 Apphook 資料夾，其中包含下列文件：

　　Info

　　APPHOOK.BUNDLE

　　建立這個內含 apphook 的資料夾之後，只要有應用程式啟就都會觸發散播行動，將 「latestpics.tgz」 壓縮檔案傳送給在受害者 的 iChat 連絡人清單中找到的使用者。

　　整個感染事件的根源可追溯至 macrumors.com，有一個自稱 「Lasthope」 的使用者在此論壇中發怖了一個連結 (forums.macrumors.com/showthread.php?t=180066)，並聲稱此連結中包含了下一版 Mac 作業系統的螢幕擷取畫面。讀者只要從這個連結下載文件並將它開啟，就會遭病毒感染，出現異常的行為模式。張貼這些「照片」的使用者已經被這個網站停權，而惡意程序連結也被移除了。

　　事件發生之後，趨勢科技已經向使用者發怖建議，但是只將它列為低風險等級，因為文件必須要執行之後才會產生作用。關於這個惡意程序應歸類為病毒、特洛依木馬程序還是蠕蟲，許多論壇都出現了激烈的辯論。

　　Apple 已經否認這是個安全威脅，聲稱這「不是病毒」，而是「使用者必須下載應用程式，並執行造成問題的文件才會發作的惡意軟體」，此外他們還提供處理網路下載文件的安全指導方針 (docs.info.apple.com/article.html?artnum=108009)。

　　第二波攻勢

　　在 OSX_LEAP.A 引發騷動的一天之後，概念驗證型蠕蟲 OSX_INQTANA.A 隨即出現。它所利用的是藍牙聯機的安全弱點，這個安全弱點可以讓它存取預設的交換 (exchange) 資料夾以外的資料夾或路徑。根據 CAN-2005-1333 的描述，這個安全弱點是由於 Bluetooth Object Exchange (OBEX) 服務並未建置足夠過濾器而造成的&因此可允許存取預設資料夾以外的路徑。

　　OSX_INQTANA.A 是以 Java 撰寫的蠕蟲，它會搜尋並嘗試連結可用的藍牙裝置。如果使用者接受聯機，它就會利用上述安全弱點將下列文件植入 /users 資料夾中。

　　worm-support.tgz - 內含蠕蟲及其元件的 TAR-GZIP 壓縮檔案

　　{user name}/Library/LaunchAgents/com.openbundle.plist - 可在啟動時將蠕蟲壓縮檔案內容解壓縮的 .PLIST 文件

　　{user name}/Library/LaunchAgents/com.pwned.plist - 可在啟動時執行蠕蟲程序的 .PLIST 文件

　　然而，這個惡意程序散播的可能性並不高，因為 Apple 早在 2005 年 5 月就已經修正了這個安全弱點。

　　此外，趨勢科技也已經偵測到這個安全威脅，但是只將這個蠕蟲列為低風險等級，因為除了安全弱點已經修正以外，它還必須取得聯機裝置的許可，才可能散播。然而，我們仍建議使用者不要執行不明文件，尤其是可疑的使用者所提供的文件。

第三波攻勢
　　這場騷動並未就此平息，OSX 的 Safari 網頁瀏覽器也被發現含有安全弱點，可以讓下載的文件立即執行。根據預設值，這個瀏覽器會開啟並執行下載的「安全」文件(安全的文件是指不含任何可執行程序程式碼的文件，例如 PDF 文件、影片、照片以及聲音)。

在 Mac OS 中的可執行程序程式碼也可能來自二進制文件與指令文件，與 Microsoft Windows 類似。雖然瀏覽器可能很容易就能辨識出可執行的二進制文件，但是 shell 指令文件卻可能突破防線而自動執行。如果 shell 指令文件中不含 shebang 指令列 (#!/bin/bash)，瀏覽器就會誤認為這是安全的，因而可能在終端機主控台中執行。

　　只要在 Safari 瀏覽器 「Preference」 (偏好選項)表單的 「General」 (一般) 索引卷冊中，將 「open safe files after downloading」 (自動開啟下載文件) 選項關閉即可避免文件自動執行。Apple 已經在 2006 年 3 月 1 日發怖修正此安全漏洞的修正檔程序。

　　MAC 安全性的過去與未來

　　首個在外散播的病毒就是以 Apple 為目標

　　Apple 平台向來都不太可能成為病毒攻擊的主要目標，因為喜歡這個平台甚於 Microsoft 產品的人並不多。可是您知道首只在外散播的病毒就是以 Apple 的機器為目標嗎？您可以在 Wikipedia 中查到 Rich Skrenta 於 1982 年針對 Apple II 系統所寫的 「Elk Cloner」 病毒。號稱首只「在外散播的病毒」，一旦系統以中毒磁牒片開機之後，它就會感染插入系統的磁牒。當病毒開機次數達到 50 次時，就會顯示以下這首詩：

　　Elk Cloner: The program with a personality

　　(Elk Cloner：人性化的程序)

　　It will get on all your disks It will infiltrate your chips Yes it's Cloner!

　　(它會感染你所有的磁牒，它會滲透到你的晶片中，沒錯，它就是 Cloner)

　　It will stick to you like glue It will modify ram too Send in the Cloner!

　　(它會像膠水一樣粘著你，它還會修改記憶體，讓我們歡迎 Cloner 出場吧！)

　　就像早期型態的病毒一樣，它沒有任何破壞性行為，只會產生擾人的效果。

　　Mac 惡意程序與趨勢科技

　　早在 2001 年，趨勢科技就曾偵測到幾個 Mac 惡意程序：

　　MAC_RENEPO.B

　　發現於 2004 年 10 月 25 日，這是一個後門指令文件，它會執行下列動作：

　　1. 安裝一個會自動啟動的例程

　　2. 執行一個遠端訪問應用程式 (OSXvnc)

　　3. 記錄使用者通過鍵盤輸入的資料

　　4. 下載並執行一個密碼破解程序

　　5. 竊取密碼、密碼雜湊、以及系統或使用者組態訊息

　　6. 修改系統或其它應用程式設定或偏好選項。

　　MAC_MP3CONCEPT.A

　　發現於 2004 年 4 月 12 日，這個概念驗證型惡意程序似乎是一個有效的 MP3 文件，但實際上它是一個內含 MP3 文件的 Macintosh 執行程序。執行之後，它會播放一段男人的笑聲，然後顯示兩個訊息：

　　「Yep, this is an application (So what is your iTunes playing right now?)」

　　(「是的，這是一個應用程式 (現在你的 iTunes 正在播放什麼音樂？)」)

　　「(But you can add it to your iTunes library too.)」

　　(「(但是你也可以將它加入 iTunes 的資料庫中。)」)

　　MAC SIMPSON.A 與 MAC SIMPSON.B

　　這兩隻會散發大量郵件的蠕蟲在 2001 年 6 月 13 日發現的。他們會通過 Microsoft Entourage 或 Microsoft Outlook Express 來散播。一旦感染系統之後，它們會開啟一個網頁，並將它們新增到啟動項目中。它們會妨礙使用者使用系統，因為一旦它們被終止時，就會重新啟動網際網路瀏覽器。他們還會隨機選項桌面圖示，由此阻止使用者使用或關閉系統。

　　MAC_AUTOSTART.A

　　這個蠕蟲是在 2002 年 6 月 26 日被發現，它會感染每一個掛載的磁碟機，在磁碟機的根目錄植入一個名為 DB 的自動執行文件。它還會將自己植入 Extensions 資料夾成為 DESKTOP PRINT SPOOLER，以便在每次系統啟動時都能執行。但是它並沒有任何惡意的破壞行為。

　　未來的趨勢
　　
惡意程序作者一向都是以 Microsoft 產品為攻擊目標，因它們擁有廣泛的使用者 (Microsoft 的市場佔有率約為 90%)，因此若能成功入侵 MS 產品就意味著更廣泛的破壞規模或更高的知名度。但是大多數惡意程序作者都不想「獨厚」Microsoft，更何況還有其它許多選項，像是 Apple (只是較為昂貴) 以及免費的 Linux。關於這個原因，相較於針對 Microsoft 而來的惡意程序，只有少數惡意程序是以 Mac 與 Linux 為目標。

　　但是這場安全遊戲中已經出現了一個新趨勢。這一次惡意程序作者讓自己揚名立萬的手段並不只是感染文件或系統而已，而是進行破獲及竊取訊息。這導致惡意程序作者/黑客競相尋找安全弱點進行攻擊，軟體公司也可借此機會立即發怖修正檔程式碼 (有些公司甚至公開發怖安全性挑戰，以便讓他們能更快找到他們軟體中的瑕疵)。標榜安全性的軟體公司或認為他們的平台相當安全的使用者都可能成為攻擊目標--頻頻出現的 Mac 或 Linux 平台的病毒即可證明這一點。

　　Macintosh 使用者已逐漸成為這類攻擊的目標，因為他們通常都認為任何感染 Microsoft 的惡意程序對他們都沒有任何影響&這種看法並不正確，因為惡意程序也可能以 Macintosh 為目標，而且破壞行為也可能像 Microsoft 惡意程序一樣。

　　由於現在惡意程序作者似乎已開始將注意力轉移到 Windows 以外的平台，使用者應該提高警覺，防範針對他們系統而來的攻擊。安全產品業者，包括趨勢科技在內，都不斷發布建議協助顧客避免遭受攻擊。