Menú principal

jueves, 30 de octubre de 2014

Knock Knock: Saber qué se ejecuta al arrancar OS X

El investigador Patrick Wardle ha lanzado en la última Virus Bulletin Conference una herramienta que permite revelar los ejecutables que se inician automáticamente en OS X. Ha sido denominada como Knock Knock y es de código abierto, se puede encontrar en Github, y está construido en un marco extensible para alentar a la comunidad a evolucionar la plataforma. El investigador, comentó que diseñó la herramienta con el objetivo de identificar malware persistente que se inicia en la máquina al arrancar. Esta preocupación justificó su trabajo, y dijo que dada la débil protección antivirus de la que se cuenta en sistemas OS X y que existe gran cantidad de piezas de malware descubiertas el año pasado, decidió trabajar en este proyecto. 

Según comentaba Wardle, él se encontraba muy preocupado por el hecho de que no sabía a ciencia cierta lo que se estaba ejecutando de forma automática en su equipo, o si había cualquier tipo de malware persistente en su equipo. La herramienta Knock Knock debe mostrar todo lo que se ejecuta automáticamente cuando se arranca el sistema o se reinicia.

Figura 1: Diseño de Knock Knock

Como curiosidad, en la presentación cuenta que cuando Wardle llevó a cabo las pruebas de la herramienta en los Mac de diversos amigos, cuando la mayor sorpresa es que en estos equipos él se encontró diverso software malicioso que era ejecutado al arrancar el sistema. Para él como para muchos expertos en seguridad, un sistema OSX totalmente parcheado no es del todo seguro, y los mecanismos antimalware son insuficientes para defender un equipo. En este vídeo podéis ver la conferencia completa.


Figura 2: Conferencia sobre Methods of Malware Persistence on OS X

En su presentación ha mostrado un ejemplo en el cual se detecta un malware persistente simplemente cuando se enumeran todos los binarios no firmados por Apple, enseñando lo fácil que es localizar ahí los binarios que ya están en las bases de conocimiento que se tiene sobre malware para OS XKnock Knock dispondrá de diversos plugins para poder añadirse y acoplar nuevo código con el que explorar en busca de nuevas técnicas de persistencia para mantenerlo al día de las amenazas y para analizar automáticamente los binarios sospechosos. De esta forma, cualquiera puede ayudar a mejorar la herramienta y potenciar las vías para luchar contra el malware en OS X

No hay comentarios:

Publicar un comentario

Entrada destacada

Proteger tu cuenta de Google y de Gmail con Latch Cloud TOTP #Latch #Gmail #Google

La semana pasada se liberó la nueva versión de Latch y nuestro compañero Chema Alonso hizo un repaso de todo ello en su artículo Latch...

Otras historias relacionadas

Entradas populares