La charla que Patrick Wardle ha dado sobre Bad@ss o cómo crear malware eficiente y elegante en OS X nos cuenta cómo el malware que se ha desarrollado hoy día para Mac no es, en comparación con las piezas que hay en otras plataformas, eficiente ni eficaz. El investigador, ex-NSA y ex-NASA, indica una serie de cosas por las que el malware no es bueno en OS X. Más adelante entraremos en estas pautas que Patrick dio en su charla, pero él las resumió en "El malware actual para OS X es suficiente, pero no es elegante, es amateur y es trivial de detectar y prevenir".
Los métodos de infección utilizados por el malware actual son malos, Patrick resume los vectores de infección en instaladores fake, codecs fake y apps infectadas descargadas de torrents. Es cierto que los usuarios pueden caer, pero siguen siendo métodos un poco "cojos" como el propio Patrick lo comenta.
Figura 1: Vectores de infección actuales |
Patrick propone que un vector de infección mejor sería el uso de las descargas a través de HTTP de aplicaciones, infectándolas colocándose en medio. Todavía abría que bypassear Gatekeeper. En la presentación el investigador muestra un dock en el cual la mayoría de aplicaciones son descargadas a través de conexiones HTTP, lo cual hoy día podría llamarnos y mucho la atención. Además, todas las herramientas de seguridad que buscó eran descargadas sobre HTTP, lo cual puede provocar más de un problema, ya que realizando MiTM se podría infectar el paquete descargado.
Figura 2: Todo el software descargado iba sobre HTTP |
También se tratan los métodos de persistencia, dónde hoy día se utilizan 2: a través de los launch items y de los login items. Ambos métodos son bien conocidos por los usuarios y fácilmente visibles en un entorno OS X. Patrick propone infección de binarios, aunque hay que luchar con el tema de la validación de firma y Dylib Hijacking, la cual es una técnica parecida al DLL Hijacking de sistemas Windows. Otro método de persistencia comentado son los plugins en el sistema.
Figura 3: Dylib Hijacking para la persistencia en el sistema |
La auto-defensa en un malware es importante, por ejemplo el tema de ofuscación, cifrado, etcétera. Patrick comenta en la charla que realmente esto no existe hoy día en el malware para OS X. Esto provoca 3 cosas:
- Las compañías de AV pueden encontrar fácilmente el malware.
- Su análisis es trivial, ya que no hay componentes que dificulten dicho análisis.
- Su desinfección es trivial, también debido a sus métodos de persistencia.
Figura 4: Descifrar en memoria y cargar malware |
Otras ideas propuesta es la inyección en tiempo de ejecución consiguiendo ejecutar código en procesos remotos a través de la inyección librerías dinámicas, conocidas como dylibs.
Por último, Patrick comienza a repasar el estado de los mecanismos de seguridad que Apple tiene en sus sistemas, como por ejemplo Gatekeeper, XProtect, OS X Sandbox o Code-Signing. Comenzando por Gatekeeper, éste solo verifica las app bundle, por lo que se puede bypassear encontrando una app en la Mac AppStore que tenga una referencia externa relativa y se podrá realizar hijacking dylib.
Figura 5: Bypass Gatekeeper |
Durante la charla Patrick explica métodos para que el malware pueda lograr bypassear estos mecanismos de seguridad. Una cosa nos deja esta charla y es que cuando los desarrolladores de malware quieran poner las cosas más difíciles en OS X los métodos los tienen y conocen.
Figura 6: Creating Bad@ss malware para OS X
Os recomendamos ver la charla de Patrick Wardle y entender los diferentes riesgos que existen en OS X y como se podría crear malware más eficaz y eficiente con los pasos descritos en esta brillante charla.
No hay comentarios:
Publicar un comentario