Menú principal

jueves, 20 de octubre de 2011

Malware OSX/FlashBack.C detecta VM y anula XProtect

OSX/FlashBack
OSX/FlashBack está evolucionando rápidamente para meter en una única pieza de software toda la artillería pesada que lleva el malware profesionalizado en la creación de botnets. Este malware está pensado bajo una arquitectura KISS (Keep It Simple Stupid) para difundirse masivamente, es decir, que no busca utilizar 0days o exploits complejos para instalarse en las máquinas, y se basa en trucos de ingeniería social para engañar a la siempre presente "vulnerabilidad entre la silla y el teclado". Esto ha sido utilizado ampliamente por software como Zeus, y el número y tamaño de las botnets creadas ha sido, y es aún, brutal.

El truco elegido inicialmente ha sido simular ser la instalación de Adobe Flash en Mac OS X, algo bastante sencillo y fácil de mutar. Así que, cuando los usarios de Mac OS X tengan cuidado con los archivos de instalación de Flash, les basta con cambiar el programa y listo. Así, es posible que aparezcan como si fuera cualquier archivo descompresor, el tan usado truco de los codecs de vídeo o cualquier otra utilireía de mensajería instantanea. El cielo es el límite.

Ahora bien, donde realmente están haciendo foco es en la tecnología que hay en el troyano una vez se hace clic en aceptar la instalación. En ese punto, las diferentes mutaciones (ahora se habla de OSX/Flashback.C) han mostrado auténtica ingeniería de desarrollo de malware. Primero vimos que OSX/Flashback utilizaba sistemas de comunicación cifrados en RC4, para evitar cualquier IDS de red que pudiera detectarlo, además de forma bastante cuirosa, ya que la clave de cifrado utilizada era única por cada equipo (un hash MD5 del UUID del equipo) y se enviaba en el campo User-Agent de una petición http, para intentar ir bien oculta.

Después, se ha visto como una vez instalado, ha pasado de estar a la vista, a acoplarse como un módulo de Apple Safari, lo que hace mucho más complicado para los usuarios menos avanzados darse cuenta de que algo pasa.

En otra de las mutaciones, la gente de F-Secure alertaba de que una mutación de este malware, OSX/Flashback.B, venía con capacidades para detectar las máquinas virtuales, algo muy utilizado por los analistas de malware. De esta manera, los equipos que estén a cargo de analizar esta pieza de software tienen que hacer un reversing con el software "callado", lo que dificulta mucho el conocer el comportamiento, y obliga a pegarse con packers y crypters de código. En Windows, esta protección anti-análisis es muy común, pero esta es la primera vez que se ha visto en un malware para Mac OS X.

La última de las novedades que se ha hecho pública de este software ha sido la de anular XProtect. Anulando XProtect en un equipo con Mac OS X, se anula la posibilidad de que el sistema se defienda con nuevas firmas, lo que hace que el malware campe a sus anchas en todas las máquinas infectadas y que, en caso de ser eliminado, si no se arregla el funcionamiento de XProtect, incluso las copias firmadas por Apple de OSX/FlashBack podrían volver a infectar al usuario.

Para hacerlo, tal y como explican en F-Secure, lo que hace es descifrar la ruta de almacenamiento de XProtectUploader, para sobre-escribir el fichero de configuración Plist y el binario del actualizador.

Decompilación de F-Secure sobre OSX/Flashback.C
Evidentemente, como ya explicamos, XProtect no es una solución antimalware profesional, y se basa solo en un reducido conjunto de firmas que actúan como blacklist cuando un fichero se descarga desde Internet, pero que no tiene análisis heurísticos, en tiempo real ni protecciones contra deshabilitación, como hacen los antimalware profesionales. Si tienes un Mac OS X y has oido eso de que no hay que tener una solución profesional antimalware en el equipo, ya es hora de que empieces a preocuparte por lo que se nos viene encima.

No hay comentarios:

Publicar un comentario en la entrada

Artículos relacionados

Otras historias relacionadas

Entradas populares