
En la pasada
Virus Bulletin 2015, el investigador
Patrick Wardle dio una charla llamada
Exposing Gatekeeper en la que explicaba cómo saltarse las protecciones de
Gatekeeper en
OS X. Los ataques se basan en que
OS X Gatekeeper comprueba principalmente el binario que se ejecuta y no las librerías enlazadas con lo que es bastante sencillo para un atacante exponer un binario que pase las verificaciones de seguridad y que luego enlace el código malicioso en una librería dinámica que no será comprobado por
Gatekeeper. Las diapositivas de
la presentación de Patrick Wardle están disponibles online, y se pueden ver en detalle todas y cada una de las técnicas para saltarse la protección.
Ahora en
Reverse Engineering Mac OS X se ha publicado una extensión para el
kernel de
OS X llamada
Gatekeerper que extiende el análisis de
Gatekeeper para que se comprueben todas las librerías cargadas dinámicamente. La extensión está disponible en este repositorio de
GitHub.
En un entorno de máxima seguridad esta protección puede evitar un ataque malicioso pensado para saltarse Gatekeeper, y hay que tener en cuenta que cuando se acabe por migrar el ransomware al mundo OS X, esto va a ser lo primero a por lo que van a ir.
No hay comentarios:
Publicar un comentario