macOS Calisto木马分析
字数 1424 2025-08-20 18:17:31

macOS Calisto木马深入分析与防护指南

一、Calisto木马概述

Calisto是macOS平台上的一个后门木马,可能是Proto恶意软件家族的第一个成员。该恶意软件最早于2016年被上传到VirusTotal,但直到2018年5月才被发现,期间两年未被反病毒软件检测到。

二、传播方式

  • 伪装形式:未签名的DMG镜像文件
  • 伪装对象:Intego安全软件的Mac版本(特别选择第9版)
  • 欺骗手段:界面设计与正版软件高度相似,普通用户难以辨别

三、安装过程分析

  1. 虚假许可协议:显示与Intego不同的许可协议文本(可能使用旧版本协议)
  2. 凭证收集:要求用户输入用户名和密码(模仿正常软件安装流程)
  3. 错误诱导:安装过程中故意挂起并报错,建议用户从官网下载新安装包
  4. 后台活动:在用户认为安装失败时,木马已在后台运行

四、技术特性分析

1. SIP(系统完整性保护)相关行为

  • SIP开启时

    • 活动受限(因开发时未充分考虑2015年发布的SIP机制)
    • 尝试修改系统文件时会失败并停止运行

  • SIP关闭时

    • 复制自身到/System/Library/目录
    • 设置开机自启动
    • 卸载DMG镜像
    • 加入无障碍服务
    • 收集额外系统信息
    • 开启系统远程访问权限
    • 转发数据到C2服务器

2. 持久化技术

  • 启动项添加:在/Library/LaunchAgents/创建.plist文件
  • DMG卸载命令hdiutil detach /Volumes/MacInternetSecurityX9

3. 权限提升技术

  • TCC.db修改:直接修改该文件将自己加入无障碍服务(无需用户交互)
  • 远程访问配置
    systemsetup -setremotelogin on
launchctl load -w /System/Library/LaunchDaemons/com.apple.screensharing.plist
dscl . -create /Groups/com.apple.access_ssh
dscl . -append /Groups/com.apple.access_ssh user <username>
dscl . -passwd /Users/root aGNOStIC7890!!!

4. 数据收集功能

  • 存储位置.calisto隐藏目录
  • 收集内容
    • Keychain存储数据(包括Safari保存的密码和token)
    • 用户登录密码窗口数据
    • 网络连接信息
    • Google Chrome数据(历史记录、书签、Cookie)

5. 未使用功能

  • 加载处理USB设备的kernel扩展
  • 从用户目录窃取数据
  • 系统自毁功能

五、与Backdoor.OSX.Proton的关联

  1. 相似点

    • 都伪装成知名反病毒软件
    • 样本中包含com.proton.calisto.plist
    • 都能窃取大量个人数据(包括Keychain内容)

  2. 时间线

    • Calisto:2016年检测到
    • Proton家族:2017年发现
    • 推测Calisto可能是Proton的早期版本或原型

六、防护措施

  1. 系统配置

    • 保持SIP(系统完整性保护)开启状态
    • 定期更新操作系统

  2. 软件安装

    • 仅从可信来源安装经过签名的软件
    • 优先选择App Store下载的应用程序

  3. 安全实践

    • 使用反病毒软件
    • 警惕未签名DMG文件的安装
    • 注意软件安装过程中的异常行为

  4. 密码管理

    • 定期检查系统root账户状态
    • 发现可疑密码修改立即采取措施

七、样本信息

  • DMG镜像MD5:d7ac1b8113c94567be4a26d214964119
  • Mach-O可执行文件MD5:2f38b201f6b368d587323a1bec516e5d

八、总结

Calisto木马展示了macOS平台恶意软件的典型特征:利用用户信任、模仿合法软件、结合系统特性进行持久化。其技术虽然相对原始,但通过精心设计的欺骗手段仍能有效感染系统。保持系统默认安全设置、提高安全意识是防御此类威胁的关键。

macOS Calisto木马深入分析与防护指南 一、Calisto木马概述 Calisto是macOS平台上的一个后门木马,可能是Proto恶意软件家族的第一个成员。该恶意软件最早于2016年被上传到VirusTotal,但直到2018年5月才被发现,期间两年未被反病毒软件检测到。 二、传播方式 伪装形式 :未签名的DMG镜像文件 伪装对象 :Intego安全软件的Mac版本(特别选择第9版) 欺骗手段 :界面设计与正版软件高度相似,普通用户难以辨别 三、安装过程分析 虚假许可协议 :显示与Intego不同的许可协议文本(可能使用旧版本协议) 凭证收集 :要求用户输入用户名和密码(模仿正常软件安装流程) 错误诱导 :安装过程中故意挂起并报错,建议用户从官网下载新安装包 后台活动 :在用户认为安装失败时,木马已在后台运行 四、技术特性分析 1. SIP(系统完整性保护)相关行为 SIP开启时 : 活动受限(因开发时未充分考虑2015年发布的SIP机制) 尝试修改系统文件时会失败并停止运行 SIP关闭时 : 复制自身到 /System/Library/ 目录 设置开机自启动 卸载DMG镜像 加入无障碍服务 收集额外系统信息 开启系统远程访问权限 转发数据到C2服务器 2. 持久化技术 启动项添加 :在 /Library/LaunchAgents/ 创建.plist文件 DMG卸载命令 : hdiutil detach /Volumes/MacInternetSecurityX9 3. 权限提升技术 TCC.db修改 :直接修改该文件将自己加入无障碍服务(无需用户交互) 远程访问配置 : 4. 数据收集功能 存储位置 : .calisto 隐藏目录 收集内容 : Keychain存储数据(包括Safari保存的密码和token) 用户登录密码窗口数据 网络连接信息 Google Chrome数据(历史记录、书签、Cookie) 5. 未使用功能 加载处理USB设备的kernel扩展 从用户目录窃取数据 系统自毁功能 五、与Backdoor.OSX.Proton的关联 相似点 : 都伪装成知名反病毒软件 样本中包含 com.proton.calisto.plist 都能窃取大量个人数据(包括Keychain内容) 时间线 : Calisto:2016年检测到 Proton家族:2017年发现 推测Calisto可能是Proton的早期版本或原型 六、防护措施 系统配置 : 保持SIP(系统完整性保护)开启状态 定期更新操作系统 软件安装 : 仅从可信来源安装经过签名的软件 优先选择App Store下载的应用程序 安全实践 : 使用反病毒软件 警惕未签名DMG文件的安装 注意软件安装过程中的异常行为 密码管理 : 定期检查系统root账户状态 发现可疑密码修改立即采取措施 七、样本信息 DMG镜像MD5 :d7ac1b8113c94567be4a26d214964119 Mach-O可执行文件MD5 :2f38b201f6b368d587323a1bec516e5d 八、总结 Calisto木马展示了macOS平台恶意软件的典型特征:利用用户信任、模仿合法软件、结合系统特性进行持久化。其技术虽然相对原始,但通过精心设计的欺骗手段仍能有效感染系统。保持系统默认安全设置、提高安全意识是防御此类威胁的关键。