Guide avancé pour comprendre Macware X Malware

Remarque: Ceci est un sujet avancé destiné aux utilisateurs Mac experts . Les Macs sont généralement considérés comme sécurisés, du moins par rapport au monde alternatif de Windows. Mais la réalité est que, bien que les Mac soient généralement plus sécurisés que Windows, il existe toujours un potentiel légitime pour que les malwares atteignent OS X, malgré GateKeeper, XProtect, le sandboxing et la signature de code. C'est ce que Patrick Wardle, directeur de la recherche chez Synack, fournisseur de solutions de sécurité informatique, explique très bien, offrant un aperçu détaillé et détaillé des implémentations de sécurité actuelles intégrées à OS X et comment elles peuvent être contournées par des logiciels malveillants. intention d'attaquer un Mac. De plus, l'aperçu Synack va plus loin et fournit un script open source appelé KnockKnock, qui affiche tous les binaires OS X configurés pour s'exécuter au démarrage du système, permettant ainsi aux utilisateurs avancés d'examiner et de vérifier si quelque chose d'ombragé s'exécute sur un Mac.

L'excellent document, intitulé "METHODES de PERSISTENCE MALWARE sur OS X", est divisé en cinq parties principales:

  • Contexte sur les méthodes de protection intégrées d'OS X, notamment GateKeeper, Xprotect, sandboxing et la signature de code
  • Comprendre le processus de démarrage de Mac, du firmware à OS X
  • Méthodes permettant d'exécuter le code de manière permanente lors du redémarrage et de la connexion de l'utilisateur, y compris les extensions du noyau, les démons de lancement, les tâches cron, les éléments lancés et les éléments de démarrage et d'ouverture de session
  • Exemples spécifiques de logiciels malveillants OS X et leur fonctionnement, y compris Flashback, Crisis, Janicab, Yontoo et les produits AV non autorisés
  • KnockKnock - un utilitaire open source qui analyse les binaires, les commandes, les extensions de noyau, etc, qui peuvent aider les utilisateurs avancés dans la détection et la protection

Au cas où ce n'était pas déjà évident; tout cela est assez avancé, destiné aux utilisateurs experts et aux particuliers de l'industrie de la sécurité. L'utilisateur Mac moyen n'est pas le public cible pour cette présentation, document ou outil KnockKnock (mais ils peuvent cependant suivre quelques conseils généraux pour la protection contre les logiciels malveillants Mac ici). Ceci est un document technique qui décrit des vecteurs d'attaque potentiels et des menaces potentielles pour OS X, il s'adresse aux utilisateurs avancés de Mac, aux informaticiens, aux chercheurs en sécurité, aux administrateurs systèmes et aux développeurs qui veulent mieux comprendre les risques X, et apprenez comment détecter, protéger et prévenir ces risques.

  • Présentation de Synack: OS X Malware Persistence (lien direct PDF)
  • KnockKnock: script pour afficher les binaires persistants qui sont configurés pour s'exécuter sur le démarrage d'OS X (open source sur Github)

L'ensemble de la présentation Synack Malware contient 56 pages détaillées dans un fichier PDF de 18 Mo. De plus, le script python KnockKnock est disponible sur GitHub pour l'utilisation et l'exploration. Ces deux solutions valent le coup d'oeil pour les utilisateurs Mac avancés qui cherchent à mieux comprendre les risques pour OS X, faites-le passer!