0
雷锋网消息,据外媒7月21日报道,卡巴斯基实验室的安全专家最近揪出了名为 Calisto 的恶意病毒,这家伙居然是 macOS 上臭名昭著的 Proton 病毒的前身。
卡巴斯基在分析报告中写道,2016 年被创造出来后,该病毒就被上传到了 VirusTotal、不过整整两年后的 5 月份,Calisto 依然藏在反病毒解决方案的盲区中,最近才有人真正重视这个问题。
“从理论上来讲,这个 Calisto 后门可能是 Backdoor.OSX.Proton 病毒家族的成员。” 卡巴斯基的专家解释道。不过,Calisto 使用的恶意代码开发于 2016 年,而 Proton 则是 2017 年才进入安全专家的视野。
专家指出,Calisto 其实 2016 年就被上传 VirusTotal,但直到今年卡巴斯基都不知道这一威胁是如何“繁殖”起来的,意识到这一点后它们迅速发现,一些 Calisto 携带的功能现在还处在无人监管的情况下。
据悉,Calisto 的安装文件是一个未签名的 DMG 图片,不过它却用 Intego 安全解决方案(Mac 版)做了伪装。同时,卡巴斯基还注意到,虽然与 Proton 同根同源,但 Proton 的一些功能并没有出现在 Calisto 中。
Proton 的真面目去年 3 月份才大白于天下,制造这一麻烦的黑客居然在地下黑客论坛公然兜售这一病毒,整个项目价格在 1200-830000 美元不等。
几周之后,Proton 就首次参与到了黑客攻击中去,罪犯们黑掉了 HandBrake 应用的网站并将病毒植入了这款应用。2017 年 10 月,又有人将 Proton RAT 植入了合法应用,如 Elmedia Player 和下载管理器 Folx。无论是 Proton RAT 还是 Calisto 均为远程访问特洛伊木马(RAT),一旦被感染,黑客就能取得系统的控制权。
雷锋网了解到,如果 Mac 被 Calisto 感染,黑客就能轻松远程实现下列功能:
1. 进行远程登录
2. 分享屏幕
3. 为用户设定远程登录许可
4. 在 macOS 下创立隐藏的“根”账户,并专门为特洛伊代码设立密码
专家对其进行静态分析后还发现了另外几个尚未完成的功能,比如:
1. 为 USB 设备加载或卸载 Kernel 拓展
2. 从用户公司名录盗取数据
3. 与操作系统“同归于尽”
安全专家指出,Calisto 其实在苹果推出 SIP(系统完整性保护)安全机制前就开始研发了,因此它无法绕过 SIP。
“Calisto 在装有 SIP 的电脑上会‘束手束脚’,这套安全机制随 OS X El Capitan 诞生。有了 SIP,苹果就能防止关键的系统文件被更改,即使有根权限的用户也无能为力。”研究人员解释道。“Calisto 的开发时间可能在 2016 年或更早,而且其创造者当时没考虑到 SIP 这项新技术的威力。不过,许多用户还是因为各种各样的原因关掉了 SIP,给黑客以可乘之机。”
也就是说,只要你“乖乖听话”,打开苹果推荐的下列几项安全机制,最新的 macOS 是不可能被 Calisto、Proton 和类似的威胁攻破的。
1. 及时将操作系统升级至最新版本
2. 永远不要关掉 SIP
3. 只运行从可信商店下载的签名软件,如 App Store
4. 打开杀毒软件
最后,安全专家还透露称,Calisto 病毒其实已经被原作者抛弃了。
雷锋网Via. Security Affairs
雷峰网原创文章,未经授权禁止转载。详情见转载须知。