Zabezpieczenia systemu macOS można łatwo złamać

31 lipca, 2018

Nieostrożnym internautom nawet teoretycznie najbezpieczniejszy (zaraz po Linuksie) system operacyjny firmy Apple nie zagwarantuje bezpieczeństwa na odpowiednio wysokim poziomie, jeżeli dla własnej wygody użytkownicy będą wyłączać funkcje, które chronią przed szkodliwym oprogramowaniem. Zabezpieczenia systemu macOS można tak samo łatwo złamać, jak Windowsa i wcale nie wyrafinowanymi atakami. Wystarczy dobrze przygotowany socjotechniczny atak na nieroztropnych internautów. 

Badacze z Kaspersky Lab wykryli trojana (nazwanego Calisto), który infekuje systemy operacyjne macOS. Trojan podszywał się pod program antywirusowy Mac Internet Security X9 firmy Intego, a po zainstalowaniu się w systemie dawał atakującym możliwość zdalnej ingerencji (backdooring) w system plików.

Badacze z Kaspersky Lab opisują cały proces analizy trojana: zaczęło się od rozbudowywania szkodliwych funkcji. Początkowo pierwsze prototypu szkodnika miały ograniczoną funkcjonalność lub nawet nie występowały w środowisku naturalnym (ang. in the wild). Pierwsze próbki skojarzone z backdoorem zostały przesłane do VirusTotal w 2016 roku, ale dopiero niedawno pojawiły się wykrycia finalnej wersji trojana Calisto.

Eksperci nie są pewni co do dystrybucji szkodnika. Zazwyczaj w takich przypadkach bierze się pod uwagę scam lub dobrze przygotowaną stronę, która podszywała się pod antywirusa i zawierała link do pobrania — proces infekcji rozpoczynał się od uruchomienia niepodpisanego pliku DMG pod płaszczykiem rozwiązania antywirusowego Mac Internet Security X9 dla macOS. Dla porównania, czy rozpoznalibyście prawdziwy instalator?

mac internet security X9

Podczas instalacji użytkownik otrzymuje bardzo przekonującą umowę licencyjną, która różni się jedynie nieznacznie od rzeczywistej.

antywirus umowa licencyjna

Po zaakceptowaniu warunków fałszywy antywirus prosi o podanie loginu i hasła użytkownika. Jest to całkiem normalne zachowanie podczas instalowania programów, które wprowadzają zmiany do systemu.

zabezpieczenia systemu macos root

Kiedy poświadczenia zostaną przekazane program zawiesza się i proponuje ponowne pobranie instalatora. Tym razem prawdziwego. Ze strony producenta.

macos błąd

W międzyczasie użytkownik albo zignoruje instalator i zabierze się do własnych spraw, albo będzie kontynuował instalację prawdziwego programu ochronnego. Ale mleko zostało już rozlane, ponieważ w tle trojan wprowadza szkodliwe zmiany. Na tym etapie jedynym zabezpieczeniem przed dalszymi konsekwencjami jest funkcja SIP (System Integrity Protection), która została wprowadzona do systemu wraz z premierą OS X El Capitan. Odpowiada ona za monitorowanie kluczowych plików i katalogów systemowych, zapobiegając ich modyfikowaniu przez procesy nie posiadające podpisu cyfrowego Apple. Niestety część użytkowników wyłącza SIP, ponieważ nie może swobodnie modyfikować niektórych ustawień systemowych, nawet z uprawnieniami roota. Calisto kontynuuje swoją instalację.

W końcowej fazie trojan staje się backdoorem — zbiera informacje o systemie i przekazuje je do serwera kontrolowanego przez przestępcę. Umożliwia też zdalny dostęp do systemu, otwierając tylną furtkę lub korzystając z narzędzi wbudowanych w system. Jako że trojan działa z uprawnieniami administratora, to może głęboko zaszyć się w systemie i ukrywać swoją aktywność.  

Do kontrolowania i zbierania informacji z maszyn wykorzystywano serwer o adresie IP 40.87.56.192, który obecnie przestał działać. Szczegóły na VT.

Dodatkowe IoC:

  • d7ac1b8113c94567be4a26d214964119
  • 2f38b201f6b368d587323a1bec516e5d
  • 40.87.56.192

Do zabezpieczenia systemu macOS przed podobnymi szkodnikami zaleca się aktualizowanie aktualizacji, zainstalowanie programu antywirusowego, instalowania programów tylko z zaufanych źródeł, ale przede wszystkim nie wyłączania SIP. Bardziej zaawansowani użytkownicy mogą przeszukać system pod kątem wskaźników infekcji (IoC). Do tego celu można wykorzystać te narzędzia bezpieczeństwa oraz te.

Czy ten artykuł był pomocny?

Oceniono: 0 razy

Picture of Adrian Ścibor

Adrian Ścibor

W ramach działań związanych z cyberbezpieczeństwem odpowiada w AVLab za przeprowadzanie testów rozwiązań ochronnych przed zagrożeniami. Opracowuje strategie oraz narzędzia, które pomagają w ochronie danych i systemów przed cyberatakami. Współuczestnik międzynarodowej grupy non-profit AMTSO, która zrzesza ekspertów IT.
Picture of Adrian Ścibor

Adrian Ścibor

W ramach działań związanych z cyberbezpieczeństwem odpowiada w AVLab za przeprowadzanie testów rozwiązań ochronnych przed zagrożeniami. Opracowuje strategie oraz narzędzia, które pomagają w ochronie danych i systemów przed cyberatakami. Współuczestnik międzynarodowej grupy non-profit AMTSO, która zrzesza ekspertów IT.

PODZIEL SIĘ:

guest
0 komentarzy
najstarszy
najnowszy oceniany
Inline Feedbacks
View all comments

Zapisz się na newsletter

Informacje o cyberbezpieczeństwie prosto na skrzynkę pocztową!

Dodatkowo otrzymasz poradnik „Jak bezpiecznie funkcjonować w cyfrowym świecie”

Wyrażam zgodę na przesłanie oferty drogą telefoniczną przez IT Partners security sp. z o.o. z siedzibą Katowicach ul.Padereskiego 35 na podany przeze mnie adres e-mail zgodnie z ustawą z dnia 10 maja 2018 roku o ochronie danych osobowych (Dz. Ustaw z 2018, poz. 1000) oraz zgodnie z Rozporządzeniem Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (RODO).

Wyrażam zgodę na przesłanie oferty drogą mailową przez IT Partners security sp. z o.o. z siedzibą Katowicach ul.Padereskiego 35 na podany przeze mnie adres e-mail zgodnie z ustawą z dnia 10 maja 2018 roku o ochronie danych osobowych (Dz. Ustaw z 2018, poz. 1000) oraz zgodnie z Rozporządzeniem Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (RODO).

[ninja_tables id=”27481″]