最近発見されたmacOSGatekeeperのセキュリティ上の欠陥を標的にした新しいMacマルウェアが開発されています. 問題のマルウェアはOSX/Linkerとして知られています, Integoのセキュリティ研究者であるJoshuaLongによって分析されました.
OSX/リンカーマルウェア: 私たちがこれまでに知っていること
新しいマルウェアは [wplinkpreview url =”https://Sensorstechforum.com/macosx-gatekeeper-bypass-code-execution/”] 既知のゲートキーパーの脆弱性 これは5月にFilippoCavallarinによって開示されました. このバグにより、インターネットからダウンロードされた悪意のあるバイナリがゲートキーパーのスキャンプロセスをバイパスする可能性があります. 「「MacOSXバージョンの場合 <= 10.14.5 (at time of writing) it is possible to easily bypass Gatekeeper in order to execute untrusted code without any warning or user's explicit permission,」研究者は彼の発見に基づいて5月に書いた.
外付けドライブとネットワーク共有の両方を安全な場所として受け入れることがゲートキーパーの設計に含まれていることは注目に値します, 含まれているアプリを完璧に実行できるようにする. でも, macOSの2つの正当な機能をまとめることによって, ゲートキーパーとその「意図された動作」を欺くことが可能です.
脆弱性に基づく攻撃はどのように機能しますか? 攻撃者は、自動マウントハッカーが制御するエンドポイントへのシンボリックリンクを含むzipファイルを作成する可能性があります (exドキュメント->/net/evil.com/Documents) 対象のシステムに送信できます. ユーザーは悪意のあるアーカイブをダウンロードします, 何も疑わずに悪意のあるファイルを抽出します.
これには、アーカイブファイルにシンボリックリンクを配置し、それを悪意のあるネットワークファイルシステムサーバーにリンクすることが含まれていました. 研究者は、Gatekeeperがこれらの特定のファイルをスキャンしないことを発見しました, ユーザーがシンボリックリンクを実行できるようにする. 悪意のあるシンボリックリンクの場合, 攻撃者は脆弱なシステムで悪意のあるコードを実行する可能性があります.
6月の初めに, Integoのマルウェア研究チーム 最初に知られているものを発見 (ab)Cavallarinの脆弱性の使用, これは、マルウェアの配布に備えたテストとして使用されたようです。.
Cavallarinの脆弱性の開示では、.zip圧縮アーカイブが指定されていますが, Integoによって分析されたサンプルは、実際にはディスクイメージファイルでした. マルウェアメーカーは、Cavallarinの脆弱性がディスクイメージで機能するかどうかを確認するために実験を行っていたようです, それも.
セキュリティ会社は、6月にVirusTotalにアップロードされた4つのサンプルを観察しました 6, 各ディスクイメージの作成から数時間以内のようです. それらはすべて、インターネットにアクセス可能なNFSサーバー上の1つの特定のアプリケーションにリンクされています.
ここのところ, 研究者’ 理論は、マルウェアメーカーは “単にいくつかの検出テスト偵察を実施する“. それにもかかわらず, これは、マルウェア開発者がAppleの組み込みの保護メカニズムをバイパスするための新しい方法を積極的に実験していることを思い出させるものです。.
ミレーナ・ディミトロワ
プロジェクトの開始以来SensorsTechForumに所属しているインスピレーションを得たライター兼コンテンツマネージャー. の専門家 10+ 魅力的なコンテンツの作成における長年の経験. ユーザーのプライバシーとマルウェア開発に焦点を当てています, 彼女はサイバーセキュリティが中心的な役割を果たす世界を強く信じています. 常識が意味をなさない場合, 彼女はメモを取るためにそこにいます. それらのメモは後で記事になる可能性があります! Milena@Milenyimをフォローする
フォローしてください: