XCSSET/2020-09-02-llt16

Transcript

1. XCSSET Satoshi SAKAO えるLT Vol.16 2020/09/02 (Wed) 1 説明とexploitのデモ

2. 話すひと 2 インフォコム株式会社 品質マネジメント推進室 ソフトウェアエンジニア JS (ES6) / Node.js /

   GCP / IoT / iOS (Swift) 猫，断捨離に拍車をかける Satoshi SAKAO @ottijp

3. XCSSETとは • Xcodeプロジェクトに感染するタイプのマルウェア • 8/13にトレンドマイクロが発表 • Xcodeプロジェクトの共有や依存によって感染 • 2つのゼロデイexploitを利用している •

   Data Vaultsの動作上の欠陥を用いてCookieを盗む • 開発用Safariを悪用する 3

4. 攻撃されること • SafariのCookieの読み取り • Evernote, Notes, Skype, Telegram, QQ, WeChat

   から情報を盗み出し • カレントスクリーンのスクリーンショットを撮影 • 感染したマシンから攻撃者のサーバにファイルをアップロード • ファイルの暗号化とランサムメッセージの表示 4

5. 攻撃されること（UXSSによる可能性) • 表示されるWebサイトの改ざん • 暗号通貨のアドレス改ざんや置き換え • amoCRM, Apple ID, Google,

   Paypal, SIPMarket, Yandex の認証情報の読み取り • Apple Storeのクレジットカード情報の読み取り • パスワード変更のブロックや新しいパスワードの読み取り • アクセスした特定のサイトのスクリーンショット 5

6. 感染の広がり • 感染したXcodeプロジェクトがビルドされた時に 被害者マシンの他のXcodeプロジェクトにも感染する • どこから感染が始まったかは明確でない • すでにGitHubリポジトリにも感染が確認されている • 380の被害者IPがマルウェア作成者に収集された

   • 中国，インドでの感染が多数（中国152，インド103） 6

7. 予防方法 • トレンドマイクロいわく • 公式で信用できるマーケットプレイスからのみDLする • マルチレイヤのセキュリティソリューションを使う • 他には？ •

   コミット時にプロジェクト構成ファイルの変更を確認する？ 7

8. 仕組み • マルウェアの混入 • .xcworkspacedataが変更され，PJとは異なるディレクトリへの参照が入る • .xcodeprojに隠しディレクトリが作成される （マルウェアの実態とスクリプト） • マルウェアのインストール

   • ビルドプロセスで隠しディレクトリのスクリプトが実行される • スクリーンショットの取得開始 • main.scptをApplication Scriptディレクトリに作成したり， main.scptを含むアプリケーションバンドルを作成する 8

9. 仕組み • main.scpt • OS情報の取得 • ブラウザ等のプロセスの停止 • マルウェアの各モジュールのダウンロード •

   osacompileを使って，公式なアプリを模したフェイクappを作成 • フェイクappを実行 • フェイクapp • マルウェアの各モジュールの実行 • 50程度のモジュール • replicatorとpods_infectで，他のプロジェクトへマルウェアのインジェクションを行う 9

10. 面白かったこと 10 https://documents.trendmicro.com/assets/pdf/XCSSET_Technical_Brief.pdf

11. 11 demo 自分のSafari Cookieを盗む

12. 12 Appendix

13. SIP: System Integrity Protection • El Capitanから採用された • rootであっても，システムの重要なファイルへはアクセス不可 •

    無効化にはセーフブートが必要がある（当然推奨されない） • 当初，HomeBrewが動かなくなってトラブルが起きたりした • Mac のシステム整合性保護について - Apple サポート https://support.apple.com/ja-jp/HT204899 13

14. Data Vaults • App自体がサンドボックス化されているかどうかに関係なく， データへの不正アクセスから保護するために カーネルによって適用されるメカニズム • Data Vaultsの一部がSIP？ •

    暗号化とデータ保護の概要 - Apple サポート https://support.apple.com/ja-jp/guide/security/ sece3bee0835/web 14

15. UXSS: Universal Cross Site Scripting • 特定のサイトの脆弱性ではなく，任意のサイトでXSSができる • Webサーバ側の脆弱性ではなく，ブラウザの脆弱性を利用 •

    2015年にIEの脆弱性が見つかり，問題になった • SOP（Same Origin Policy）の迂回 • 「Internet Explorer」に深刻な脆弱性--UXSS攻撃が可能に - ZDNet Japan] https://japan.zdnet.com/article/35059988/ • XCSSETではsafari_remoteモジュールでフェイクSafari appを作り， ゼロデイexploitにより，ユーザの認証なしにこれが起動される 15

16. refs • Xcodeプロジェクト経由で拡散するMac向けマルウェア「XCSSET」が登場 - GIGAZINE https://gigazine.net/news/20200817-xcsset-mac-malware/ • XCSSET Mac Malware:

    Infects Xcode Projects, Performs UXSS Attack on Safari, Other Browsers, Leverages Zero-day Exploits - TrendLabs Security Intelligence Blog https://blog.trendmicro.com/trendlabs-security-intelligence/xcsset-mac-malware-infects- xcode-projects-performs-uxss-attack-on-safari-other-browsers-leverages-zero-day-exploits/ • New Mac malware infects and spreads via Xcode projects | Appleinsider https://appleinsider.com/articles/20/08/16/new-mac-malware-infects-and-spreads-via- xcode-projects • XCSSET Technical Brief https://documents.trendmicro.com/assets/pdf/XCSSET_Technical_Brief.pdf • Macの新マルウェア｢XCSSET｣の問題点と予防対策 | ライフハッカー［日本版］ https://www.lifehacker.jp/2020/08/218881what-mac-users-should-know-about-the-new- xcsset-malware.html 16