4.6　恶意软件Shlayer的分析与检测

Shlayer是一个因恶意广告软件而闻名的木马。据悉，Shlayer会伪装成Adobe Flash Player，同时利用亚马逊网络服务（AWS）部署基础设施。

1. 恶意软件Shlayer的分析

Shlayer是一个macOS恶意软件家族，通过传播广告软件应用程序进行欺诈活动。该木马通常会伪装成Adobe Flash Player，并执行大量的macOS命令，通过反混淆代码安装具有持久化机制的广告软件。2020年8月，Objective-See报告称，Shlayer是第一个被苹果公司公证的恶意代码。Shlayer通常会分发AdLoad和Bundlore这样的payload。Bundlore经常作为第二阶段攻击的payload进行分发，这就导致一些团队在Bundlore下追踪的TTPs有些重叠的地方。Shlayer和Bundlore很相似，某些地方都使用了curl、unzip和openssl命令，但它们下载、执行和解混淆的方式略有不同。

虽然Shlayer历来与广告欺诈密切相关，但该恶意软件本质上及其持久化机制为分发更多恶意软件提供了基础。此外，Shlayer使用伪装和混淆技术隐藏其恶意行为。由于这些原因，我们将Shlayer归类为恶意软件。

2. 检测：通过curl命令下载payload

Shlayer的一个显著标志是通过curl命令下载payload，同时将-f0L指定为命令行参数，如图4-10中所示。通过这些参数，curl可以使用HTTP 1.0并忽略报错。在实际应用中，攻击者可以通过curl命令获得受害者的数据，同时下载下一阶段的payload并运行。

图4-10　通过curl命令下载payload