Menú principal

lunes, 10 de agosto de 2015

Bad@ss malware en OS X: Cómo saltarse BlockBlock en OS X

BlockBlock es una herramienta que permite monitorizar OS X en busca de ubicaciones dónde el malware puede encontrarse. Esta herramienta pertenece a la suite de Objective-See, en la que se pueden encontrar otras interesantes herramientas para la fortificación de entornos OS X. En el artículo de hoy veremos como el investigador Noar presenta vías para bypassear la herramienta, dejando claro que la construcción de una herramienta o producto de seguridad defensiva es más compleja de lo que se podría pensar a priori.

Noar ha explicado que hace poco tiempo había pocos productos de seguridad en OS X y que con el crecimiento del mercado, muchos de estos productos están vendiendo una falsa sensación de seguridad, ya que la mayoría son herramientas no preventivas, sino correctivas, y ninguna ha reinventado el paradigma de la seguridad. 

Figura 1: BlockBlock

Noar decidió investigar sobre BlockBlock ya que es una de las herramientas que empieza a competir con productos más comerciales en OS X. Su interés le hizo ver como estaba diseñado BlockBlock. En primer lugar tiene un diseño extraño, ya que el binario principal está funcionando tanto como daemon y agent. El daemon espera los eventos del sistema de archivos relacionados con la persistencia del malware y notifica al agent. El agent mostrará una alerta y reporta una acción del usuario para el daemon.

El investigador indica que cuando BlockBlock fue lanzado, detectó varios fallos de diseño y cómo se podía abusar de ellos. La elevación de privileigos local engañando al proceso de instalación o la comunicación inter-proceso es insegura utilizando NSDistributedNotificationCenter.

Figura 2: Noar tuitea sobre la escalada de privilegios

Apple ya comunica en la documentación de desarrollo que NSDistributedNotificationCenter no implementa un protocolo de comunicaciones entre procesos segura. Al utilizar esta característica, la aplicación está ofreciendo una posibilidad trivial de visualizar las notificaciones estableciendo notificationName a 0. ¿Qué sacamos de esto? Todas las aplicaciones que se instalan, incluyendo las que protegen nuestro equipo, aumentan la superficie de ataque. Las notificaciones distribuidas con utilizadas por más software,  no solo por BlockBlock, por lo que se debe tener en cuenta.

No hay comentarios:

Publicar un comentario

Entrada destacada

Proteger tu cuenta de Google y de Gmail con Latch Cloud TOTP #Latch #Gmail #Google

La semana pasada se liberó la nueva versión de Latch y nuestro compañero Chema Alonso hizo un repaso de todo ello en su artículo Latch...

Otras historias relacionadas

Entradas populares