En la pasada Virus Bulletin 2015, el investigador Patrick Wardle dio una charla llamada Exposing Gatekeeper en la que explicaba cómo saltarse las protecciones de Gatekeeper en OS X. Los ataques se basan en que OS X Gatekeeper comprueba principalmente el binario que se ejecuta y no las librerías enlazadas con lo que es bastante sencillo para un atacante exponer un binario que pase las verificaciones de seguridad y que luego enlace el código malicioso en una librería dinámica que no será comprobado por Gatekeeper. Las diapositivas de la presentación de Patrick Wardle están disponibles online, y se pueden ver en detalle todas y cada una de las técnicas para saltarse la protección.
Ahora en Reverse Engineering Mac OS X se ha publicado una extensión para el kernel de OS X llamada Gatekeerper que extiende el análisis de Gatekeeper para que se comprueben todas las librerías cargadas dinámicamente. La extensión está disponible en este repositorio de GitHub.
 |
| Figura 1: Gatekeerper para el kernel de OS X |
En un entorno de máxima seguridad esta protección puede evitar un ataque malicioso pensado para saltarse Gatekeeper, y hay que tener en cuenta que cuando se acabe por migrar el ransomware al mundo OS X, esto va a ser lo primero a por lo que van a ir.
No hay comentarios:
Publicar un comentario