Menú principal

martes, 11 de agosto de 2015

Bad@ss for OS X: Malware++ para los equipos Mac OS X

La charla que Patrick Wardle ha dado sobre Bad@ss o cómo crear malware eficiente y elegante en OS X nos cuenta cómo el malware que se ha desarrollado hoy día para Mac no es, en comparación con las piezas que hay en otras plataformas, eficiente ni eficaz. El investigador, ex-NSA y ex-NASA, indica una serie de cosas por las que el malware no es bueno en OS X. Más adelante entraremos en estas pautas que Patrick dio en su charla, pero él las resumió en "El malware actual para OS X es suficiente, pero no es elegante, es amateur y es trivial de detectar y prevenir".

Los métodos de infección utilizados por el malware actual son malos, Patrick resume los vectores de infección en instaladores fake, codecs fake y apps infectadas descargadas de torrents. Es cierto que los usuarios pueden caer, pero siguen siendo métodos un poco "cojos" como el propio Patrick lo comenta.

Figura 1: Vectores de infección actuales

Patrick propone que un vector de infección mejor sería el uso de las descargas a través de HTTP de aplicaciones, infectándolas colocándose en medio. Todavía abría que bypassear Gatekeeper. En la presentación el investigador muestra un dock en el cual la mayoría de aplicaciones son descargadas a través de conexiones HTTP, lo cual hoy día podría llamarnos y mucho la atención. Además, todas las herramientas de seguridad que buscó eran descargadas sobre HTTP, lo cual puede provocar más de un problema, ya que realizando MiTM se podría infectar el paquete descargado.

Figura 2: Todo el software descargado iba sobre HTTP

También se tratan los métodos de persistencia, dónde hoy día se utilizan 2: a través de los launch items y de los login items. Ambos métodos son bien conocidos por los usuarios y fácilmente visibles en un entorno OS X. Patrick propone infección de binarios, aunque hay que luchar con el tema de la validación de firma y Dylib Hijacking, la cual es una técnica parecida al DLL Hijacking de sistemas Windows. Otro método de persistencia comentado son los plugins en el sistema.

Figura 3: Dylib Hijacking para la persistencia en el sistema

La auto-defensa en un malware es importante, por ejemplo el tema de ofuscación, cifrado, etcétera. Patrick comenta en la charla que realmente esto no existe hoy día en el malware para OS X. Esto provoca 3 cosas:
  • Las compañías de AV pueden encontrar fácilmente el malware.
  • Su análisis es trivial, ya que no hay componentes que dificulten dicho análisis.
  • Su desinfección es trivial, también debido a sus métodos de persistencia.
Patrick propone utilizar el cifrado nativo de binarios Mach-O con el fin de dificultar su análisis. En memoria se descifra dicho malware y se ejecuta, OS X soporta In-Memory Loading, por lo que se puede aprovechar de esta característica del sistema.

Figura 4: Descifrar en memoria y cargar malware

Otras ideas propuesta es la inyección en tiempo de ejecución consiguiendo ejecutar código en procesos remotos a través de la inyección librerías dinámicas, conocidas como dylibs.

Por último, Patrick comienza a repasar el estado de los mecanismos de seguridad que Apple tiene en sus sistemas, como por ejemplo Gatekeeper, XProtect, OS X Sandbox o Code-Signing. Comenzando por Gatekeeper, éste solo verifica las app bundle, por lo que se puede bypassear encontrando una app en la Mac AppStore que tenga una referencia externa relativa y se podrá realizar hijacking dylib.

Figura 5: Bypass Gatekeeper

Durante la charla Patrick explica métodos para que el malware pueda lograr bypassear estos mecanismos de seguridad. Una cosa nos deja esta charla y es que cuando los desarrolladores de malware quieran poner las cosas más difíciles en OS X los métodos los tienen y conocen.

Figura 6: Creating Bad@ss malware para OS X


Os recomendamos ver la charla de Patrick Wardle y entender los diferentes riesgos que existen en OS X y como se podría crear malware más eficaz y eficiente con los pasos descritos en esta brillante charla.

No hay comentarios:

Publicar un comentario en la entrada

Entrada destacada

En el futuro iPhone podrá recopilar biometría y fotos de los ladrones

Apple ha obtenido una patente el pasado jueves en la que se describe un método de almacenamiento de datos biométricos de un usuario no...

Otras historias relacionadas

Entradas populares