Mac安全软件公司Intego发现了一个名为“OSX / Linker”的新Mac恶意软件,它利用了最近披露的macOS Gatekeeper漏洞。
相比于Windows平台来说,Mac平台一直是相对稳定安全的平台。虽然安全系数较高,但是Mac出现隐患的次数也是不少的。Gatekeeper是一项苹果公司在OS X Mountain Lion系统当中加入的全新安全检测功能,可以有效地帮助Mac用户守护他们的机器,以防一些恶意软件的入侵。
换句话来讲,如果Gatekeeper一旦失效,那么用户的Mac设备也就危险了。
Apple Gatekeeper旨在通过在允许应用程序运行之前执行大量检查来保护使用macOS的用户。事实上,你将无法执行未经Apple开发人员签名的代码,除非该设备越狱,否则你将无法运行未从Apple商店下载的应用程序。
研究人员推测,Linker恶意软件与OSX / Surfbuyer广告软件的开发者是同一批人。5月下旬,意大利安全研究员Filippo Cavallarin就曾通过利用对网络共享的信任,演示了如何绕过macOS Gatekeeper。PHP大马
Cavallarin演示了如何在没有用户明确许可的情况下绕过Gatekeeper并执行不受信任的代码,在攻击期间,系统并没有想受害者发出任何警告。
Gatekeeper将外部驱动器和网络共享视为安全位置,这意味着这些位置中的任何应用程序都可以在不征得用户同意的情况下运行。
5月下旬,安全研究员Filippo Cavallarin就披露了Gatekeeper中的一个漏洞,该漏洞允许攻击者从网上(非Apple商店)下载的恶意二进制文件绕过Gatekeeper扫描进程。
攻击者需要利用macOS中实现的两个合法功能,automount(又名autofs文件自动挂载系统)和欺骗Gatekeeper。
Autofs功能允许用户通过访问“特殊”路径来自动挂载网络共享,在这次发现的攻击中,任何以“/net/”开头的路径(即/net/evil-attacker.com/sharedfolder/)都可以挂载网络共享。
第二个功能被利用来包含ZIP文档中指向任意位置的符号链接,在这次发现的攻击中为automount端点。
Cavallarin发现负责解压ZIP文档的程序并不对符号链接执行任何检查,攻击者可以轻松创建一个ZIP文件,其中就包含指向其控制下的自动挂载端点的符号链接,并将其发送给受害者。在攻击场景中,一旦受害者下载文档并执行此符号链接,则他们就会被重定向到攻击者控制的位置,该位置也受到Gatekeeper的信任,点此观看PoC视频。
影响范围
这个Gatekeeper绕过漏洞会影响所有macOS版本,包括最新版本(版本10.14.5)。目前,Apple尚未发布修复补丁。
Cavallarin早在2月22日就向苹果报告了此漏洞,但苹果错过了90天的修复日期,并且不再回复专家的电子邮件。
更不幸的是,攻击者已经开始在其恶意软件中使用该漏洞的代码了。Intego专家已经分析了一些恶意软件样本,这些样本似乎是对使用Gatekeeper绕过的一种测试。奇热影视
磁盘映像文件要么是ISO 9660映像,文件名为.dmg,要么是实际的苹果磁盘映像格式为.dmg文件。
Intego的研究人员目前已经观察到了4个样本,这些样本的代码在6月6日已经被上传到VirusTotal(一个研究人员用于检测和共享恶意软件样本的存储库),这些样本似乎都是在每个磁盘映像创建后的几个小时内,都链接到一个可访问网络的NFS服务器上的特定应用程序。另外,这四个样本中的每一个都是匿名上传的,这意味着用户没有登录到VirusTotal帐户。
目前,专家分析的所有OSX / Linker恶意软件样本都被伪装成了Adobe Flash Player安装程序,这种情况表明,攻击者实际上在进行恶意软件的载荷测试。
在本文发布时,研究人员尚未在野外观察到OSX / Linker恶意软件样本。
Intego目前已经通知苹果公司,OSX / Surfbuyer广告软件的幕后黑手正滥用Apple开发者ID签署他们的恶意OSX / Linker样本,并建议苹果公司撤销已经滥用的证书。
目前攻击样本数据并不大,恶意软件已经被Intego软件和可能的其他防病毒工具筛选识别。所以请用户拒绝来自未知来源的下载,以避免被OSX/Linker恶意软件感染到。
1万+
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
