Zpět na seznam aktualit     Číst komentáře (0)     Verze pro tisk

Jak vytvořit nedetekovatelný malware za pomoci šifrovacího mechanismu Mac OS X

Autor: ScheRas   
14.10.2013

Výzkumník Daniel Pistelli demonstroval, jak využít vnitřního šifrovacího mechanismu k vytvoření nezjistitelného malwaru na Mac OS X.


Hlavním důvodem, proč se počet kybernetických hrozeb zaměřených na uživatel Mac OS X v posledních několika letech výrazně zvýšil, je fakt, že produkty firmy Apple jsou populární mezi vysoce postavenými manažery, vlivnými politiky nebo třeba mezi různými aktivistickými skupinami (připomeňme si, jaký rozruch způsobil útok na Dalai Lamu), kteří jsou minimálně informováni o potencionálních hrozbách a někteří si dokonce stále myslí, že na Mac neexistují žádné viry.

Portál The Hacker News oznámil, že reversní inženýr Daniel Pistelli, vedoucí vývojář v Cerbero Profiler, provedl netradiční výzkum týkající se techniky vytvoření nedetekovatelného malwaru na Mac OS X. Výsledky výzkumu poukazují na možnost využít vnitřní šifrovací mechanismu Applu, který je normálně používán k ochraně spustitelných souborů operačního systému, ke skrytí škodlivého kódu.

Apple používá tuto technologii k šifrování vlastních jaderných komponent, jako třeba "Finder.app" nebo "Dock.app". Na současné verzi OS X neposkytuje tento mechanismu příliš ochrany proti reverznímu inženýrství v tom smyslu, že připojení debuggeru a dump paměti nás dostatečně opravňuje k otevření rozšifrovaného souboru. Tento mechanismus může být ovšem zneužit také k zašifrování malweru, který zůstane pomocí současných statických analytických bezpečnostních řešení po dlouho dobu nedetekován.

Co se může stát, pokud útočník zneužije této ochrany? Šifrování může posloužit k zamezení přístupu bezpečnostního mechanismu ke kódu malwaru, ke skrytí nového malwaru nebo jiného, v minulosti již odhaleného. K prokázání účinnosti tohoto postupu byl použit nebezpečný kód známý všemi hlavními antivirovými společnostmi, který, jak ukazují níže uvedené výsledky z VirusTotal, zůstal po zašifrování neodhalen.


Před zašifrováním


Po zašifrování

Daniel doporučuje producentům antivirových systémů tyto řešení:

  • Věřte pouze těm šifrovaným souborům, které jsou podepsané přímo od Applu.
  • Věřte pouze těm spustitelným souborům, které mají důvěryhodný kryptografický hash.
...a nezapomeňte, že neexistuje bezpečný OS.

Zdroj: http://securityaffairs.co/wordpress/18457/security/undetecta…


Social Bookmarking

     





Hodnocení/Hlasovalo: 1.67/6

1  2  3  4  5    
(známkování jako ve škole)