主题 : 苹果macOS上出现新的DNS恶意劫持程序
千山同一月 万户尽皆春 千江有水千江月 万里无云万里天
级别: 总版主

UID: 998
精华: 0
发帖: 604963
威望: 528524 点
无痕币: 3089 WHB
贡献值: 0 点
在线时间: 61677(时)
注册时间: 2008-12-25
最后登录: 2024-03-29

苹果macOS上出现新的DNS恶意劫持程序

近日macOS上出现了新的恶意软件,该软件版本会劫持DNS并且持久地感染你的系统。
该恶意程序被称为OSX/MaMi,其消息最早出现在Malwarebytes论坛上,很快有黑客跟进,发现它实际上是一个DNS劫持软件,并且会通过进一步安装证书来劫持系统加密通讯。

OSX/MaMi并没有运用什么先进的技术,只是以一种简单、持久的方式改变了系统设置。通过安装根证书和劫持DNS,攻击者可以执行中间人攻击,窃取用户身份凭证、注入广告等。
另外它覆盖的范围也扩展到某些鼠标操作,比如:截屏、生成模拟鼠标操作、下载和上传文件、执行命令等,还有很多无法查明的攻击,攻击者可能使用相当低端的恶意电子邮件方式,伪造安全警报和弹出窗口。
到目前为止,杀毒软件等还不能检测OSX/MaMi。用户怎么样才知道有没有感染该恶意软件?最好的办法是检查DNS设置,如果DNS被设置为82.163.143.135和82.163.142.137,说明感染了恶意软件。

另外可以检查有没有被安装恶意证书cloudguard.me,如果安装的话会看到:

这类恶意劫持工具会安装其他的恶意软件,或者允许远程攻击者执行一些命令。因此,如果用户发现感染了该恶意软件,请尽快删除恶意DNS设置并且移除安装的恶意证书。
删除恶意的DNS设置:
打开系统设置,点击网络—高级—DNS,如果设备感染,就会看到恶意的DNS服务器地址82.163.143.135和82.163.142.137。选择每个地址,点击删除按钮。
移除证书:
打开Keychain Access应用,点击系统,如果系统设置(system),如果设备感染,就会看到恶意的证书(cloudguard.me),点击删除进行移除。
级别: 八片秋叶

UID: 268851
精华: 0
发帖: 21066
威望: 38869 点
无痕币: 16559 WHB
贡献值: 0 点
在线时间: 1598(时)
注册时间: 2016-03-27
最后登录: 2024-03-25

这个可以了解一下
千山同一月 万户尽皆春 千江有水千江月 万里无云万里天
级别: 总版主

UID: 998
精华: 0
发帖: 604963
威望: 528524 点
无痕币: 3089 WHB
贡献值: 0 点
在线时间: 61677(时)
注册时间: 2008-12-25
最后登录: 2024-03-29

这个可以看看,了解一下。
级别: 六行秋雁
UID: 298293
精华: 0
发帖: 6815
威望: 7566 点
无痕币: 6834 WHB
贡献值: 0 点
在线时间: 359(时)
注册时间: 2018-04-22
最后登录: 2024-03-28

了解了
感谢LZ分享
级别: 十方秋水

UID: 88
精华: 0
发帖: 129690
威望: 220744 点
无痕币: 105747 WHB
贡献值: 0 点
在线时间: 51558(时)
注册时间: 2008-03-18
最后登录: 2024-03-28

谢谢楼主的精彩分享。
级别: 六行秋雁
UID: 298293
精华: 0
发帖: 6815
威望: 7566 点
无痕币: 6834 WHB
贡献值: 0 点
在线时间: 359(时)
注册时间: 2018-04-22
最后登录: 2024-03-28

了解了
感谢LZ分享
Total 0.032505(s) query 4, Time now is:03-29 05:28, Gzip enabled 粤ICP备07514325号-1
Powered by PHPWind v7.3.2 Certificate Code © 2003-13 秋无痕论坛