El investigador Patrick Wardle ha lanzado en la última Virus Bulletin Conference una herramienta que permite revelar los ejecutables que se inician automáticamente en OS X. Ha sido denominada como Knock Knock y es de código abierto, se puede encontrar en Github, y está construido en un marco extensible para alentar a la comunidad a evolucionar la plataforma. El investigador, comentó que diseñó la herramienta con el objetivo de identificar malware persistente que se inicia en la máquina al arrancar. Esta preocupación justificó su trabajo, y dijo que dada la débil protección antivirus de la que se cuenta en sistemas OS X y que existe gran cantidad de piezas de malware descubiertas el año pasado, decidió trabajar en este proyecto.
Según comentaba Wardle, él se encontraba muy preocupado por el hecho de que no sabía a ciencia cierta lo que se estaba ejecutando de forma automática en su equipo, o si había cualquier tipo de malware persistente en su equipo. La herramienta Knock Knock debe mostrar todo lo que se ejecuta automáticamente cuando se arranca el sistema o se reinicia.
Como curiosidad, en la presentación cuenta que cuando Wardle llevó a cabo las pruebas de la herramienta en los Mac de diversos amigos, cuando la mayor sorpresa es que en estos equipos él se encontró diverso software malicioso que era ejecutado al arrancar el sistema. Para él como para muchos expertos en seguridad, un sistema OSX totalmente parcheado no es del todo seguro, y los mecanismos antimalware son insuficientes para defender un equipo. En este vídeo podéis ver la conferencia completa.
Figura 1: Diseño de Knock Knock |
Como curiosidad, en la presentación cuenta que cuando Wardle llevó a cabo las pruebas de la herramienta en los Mac de diversos amigos, cuando la mayor sorpresa es que en estos equipos él se encontró diverso software malicioso que era ejecutado al arrancar el sistema. Para él como para muchos expertos en seguridad, un sistema OSX totalmente parcheado no es del todo seguro, y los mecanismos antimalware son insuficientes para defender un equipo. En este vídeo podéis ver la conferencia completa.
Figura 2: Conferencia sobre Methods of Malware Persistence on OS X
En su presentación ha mostrado un ejemplo en el cual se detecta un malware persistente simplemente cuando se enumeran todos los binarios no firmados por Apple, enseñando lo fácil que es localizar ahí los binarios que ya están en las bases de conocimiento que se tiene sobre malware para OS X. Knock Knock dispondrá de diversos plugins para poder añadirse y acoplar nuevo código con el que explorar en busca de nuevas técnicas de persistencia para mantenerlo al día de las amenazas y para analizar automáticamente los binarios sospechosos. De esta forma, cualquiera puede ayudar a mejorar la herramienta y potenciar las vías para luchar contra el malware en OS X.
No hay comentarios:
Publicar un comentario