加密C2框架EvilOSX流量剖析

本文探求提醒了针对macOS系统的恶意工具EvilOSX的外部机制和流量特色。经过专业剖析其加密通讯和木马优惠的各个环节，说明了EvilOSX这类安保要挟的运转机制，旨在协助组织的网络安保专业人员充沛识别和防范这类初级要挟。

01工具简介

EvilOSX是一款开源的，由python编写专门为macOS系统设计的C2工具，该工具可以应用自身监禁的木马来成功一系列集成性能，如键盘记载、文件捕捉、阅读器历史记载爬取、截屏等。EvilOSX关键经常使用HTTP协定启动通讯，通讯内容为特定格局的数据经由base64加密后传输。为了规避检测，EvilOSX的通讯照应信息均为404 Not Found页面。

02衍生木马剖析

在/data/builds目录下会生成指定脚本类型的文件，其中关键局部是一段base64编码方式的payload。关键剖析生成的python加载器--Launcher-238346.py

a、加载器中携带了一段base64加密的python脚本（Connectivity mode.txt），脚本经过python执行这段加密数据后，又经过rm -rf__file__来肃清目录下的一切py脚本

b、Connectivity mode.txt中定义了恳求头中User-Agent和cookie的方式，其中cookie由两段关键数据组成：由受控端计算机用户名和mac地址组成的16进制数作为session；然后经过“-”衔接的一段base64数据，解密后是一些服务端和受控端的信息。并且该脚本还定义了当照应码为404时，经常使用base64解密照应体中DEBUG: base64 =DEBUG--> 其中的base64数据。

c、将受控端与服务端衔接时的流量捕捉，解密其中的DEBUG数据，可以失掉又一段python脚本（CONNECT.py），这段脚本会在macOS上注册一个Launch Agent,并经过base64编码写入本地。然后这段payload会在系统启动时被Launch Agent执行。其中payload的门路默以为用户主目录，自动命名为arLPrVu，Launch Agent文件自动文件名为” com.apple.teuAwWo”

d、arLPrVu的内容为一段openssl aes-256-cbc加密的密文，密钥就是之前session中携带的16进制字符串，手动运转后，木马会正式与服务端启动联通。

EvilOSX从植入程序到数据交互可以经过如下流程图来形容：

以下为环节流量剖析和解读：

客户端向服务端发送get恳求后，

恳求头cookie与原始木马中base64密文解密后的方式分歧。

服务端前往404并在http_server_body局部携带base64数据。

数据的扫尾开头是以DEBUG:base64方式 =DEBUG--> 存在

而404中携带的数据，解码后含意是经过get_uid函数失掉计算机用户名和惟一标识符拼接后转化为16进制数据，用于下一段中经常使用openssl命令对一段加密的代码启动解密，并经过exec()函数执行。

当靶机上的原始木马文件执行后会在同级目录下留下一个arLPrVu命名的py脚本文件。回连主机还须要在手动执行它

测试所有module和局部经常出现shell命令（ifconfig、ls-l）

会发现存在清楚特色，以执行CVE-2020-3950模块时为例

在POST恳求体中，username后接着base64数据

解密后，就是经常使用的模块名，经过测试除了shell命令执行和模块启用失败时，均可在流量中发现这一特色。并且照应码必定是404。

这一段在木马中也有表现

观成瞰云（ENS）-加密要挟自动检测系统能够对EvilOSX工具发生的HTTP流量启动检测。

04总结

在应用EvilOSX-C2工具的环节中，会优先上行其监禁的木马文件，该文件具备不凡格局，之后通讯环节中会应用404页面暗藏实在照应，然而基于人工自动、盛行为特色和TLS限定域指纹检测的加密要挟自动检测系统能够检测此类加密通讯行为。如今越来越多的攻打者应用详细加密通讯性能C2工具，以增强攻打的隐蔽性。观成科技安保钻研团队不时在继续追踪这些C2工具的最新灵活，并踊跃启动钻研和降级，以提高对加密流量的检测技术。