Hace unos días, el experto en seguridad ofensiva David Barroso (@lostinsecurity), en su blog Lost In Security, publicaba un artículo en el que analizaba en detalle y con minuciosidad todos los puntos en los que el malware creado para sistemas OS X busca lograr la persistencia. Es decir, cómo un software malicioso que consigue ejecutarse una vez en un sistema Mac OS X trata de conseguir sobrevivir y que una vez que el sistema operativo sea reiniciado, él pueda volver a ser ejecutado y proseguir teniendo control sobre la máquina comprometida.
Las formas más utilizadas que se recogen en el artículo, que el software malicioso trata de utilizar para logar esa permanencia en el sistema es conseguir configurase como:
- Login item: Estos proceso no son ejecutados por el demonio launchd. Se ejecutan en el contexto del usuario, y pueden presentar interactuar con el usuario con un interfaz de usuario.- Servicio XPC: Este tipo de proceso sí es ejecutado por el demonio launchd. También se ejecutan en el contexto del usuario pero a diferencia de una entrada de login no pueden presentar un UI al usuario.- Launch Daemon: También lo ejecuta launch pero se ejecuta en el contexto del sistema, y no pueden presentar UI.- Launch Agent: lo ejecuta launchd en el contexto del usuario, y no se recomienda que tenga un UI, aunque es posible hacerlo.
Dependiendo del tipo de elemento que elija el software malicioso para lograr la persistencia en el sistema, necesitará copiarse en diferentes rutas del sistema operativo, y modificar diferentes ficheros de configuración en el sistema OS X. Estas rutas, son muchas, y para analizarlas David Barroso propone utilizar la herramienta forense de Malicious Streams llamada OSX Autoruns.
 |
| Figura 1: OSX Autoruns en Mac OS X |
Esta utilidad es un script en Python que analiza todas y cada una de las rutas del sistema operativo para generar un informe que pueda ayudar a un experto de seguridad a analizar cuáles de esos procesos pueden ser maliciosos en el sistema.
 |
| Figura 2: Porción de la salida de ejemplo en text de OSX Autoruns |
Como se puede ver en la ayuda de la herramienta, se pueden sacar listados por tipo de ejecutable, por usuario, por sistema completo y generar distintos tipos de informe, lo que la hace perfecta para cualquier analista forense de sistemas OSX.
Excelente post y excelente herramienta, muchas gracias... un MustHave para quienes usamos Mac.
ResponderEliminar