Bài liên quan
Trong tuần lễ diễn ra hội nghị bảo mật VB2014 (Virus Bulletin International Conference lần thứ 24) tác giả Patrick Wardle đã hé lộ về cách mà mã độc có thể tự thực thi trên hệ điều hành được cho là “khó có malware hay virus” này.

Nhiều năm qua, các fan của Mac OS tin rằng hệ điều hành này miễn dịch với virus, một phần vì từ khi Macintosh ra đời đến nay số lượng malware cho hệ điều hành này chỉ đếm được trên đầu ngón tay, một phần khác đến từ các chiến dịch quảng cáo của Apple.
Trong những năm gần đây niềm tin này có vẻ bị lung lay (và thật sự người ta đã chứng minh nó sai) vì sự xuật hiện của các mã độc như Flashback, Crisis bị cáo buộc là do chính phủ đứng sau. Và một thông tin nữa, quả thật Apple đã xây dựng sẵn các công cụ trong OS X với mục đích giữ những mã độc này.

Theo như bài báo của tác giả Patrick, các công cụ như XProtect hay Gatekeeper có thể bị vượt qua (bypass) một cách dễ dàng. Như chúng ta đã biết OS X xác minh thông qua chữ kí nhị phân (binary signatures) và việc can thiệp vào các kernel extensions (người dùng Mac gọi là kext) đều cần phải được đăng kí tuy nhiên nó cũng không an toàn như mọi người nghĩ. Và vì thế việc xác minh này trong chế độ người dùng (user mode) cũng chẳng giúp được gì

Để một phần mềm độc hại chạy không phải những gì tác giả ám chỉ, mà họ tìm cách để phần mềm độc hại chạy trong background như một daemon hoặc do người dùng mỗi khi họ login. Trong bài báo tác giả cũng có mô tả một số phương pháp để thực hiện được điều này
Một phương pháp là thêm các mã nhị phân vào trong một daemon (deamon này không phải là file binary) như ví dụ dưới đây là một file XML. Đây cũng là cách mã trojan Flashback đã lây nhiễm cho hơn  600.000 máy tính. Crisis cũng sử dụng cơ chế này nhưng có thêm một số tính năng để có thể ẩn giấu tinh vi hơn và kèm theo các mã khai thác (exploit) khác.
flashbacklaunchagentpersistence.png
Một phương pháp khác được Kitmos (một mã độc chuyên nhằm vào các activist). Để đảm bảo mã độc được thực khi mỗi khi người dùng đăng nhập, Kitmos sẽ tự thêm nó vào mục Login Items của Mac bằng các phần mềm đã được phê duyệt

Một điều rất may mắn là ngoài những công bố về những phương pháp tấn công vào Mac, tác giả cũng viết một phần mềm mang tên KnockKnock, chương trình này có chức năng giúp người dùng xác định những chương trình đang chạy trên hệ thống. Đây là một công cụ mã nguồn mỡ, hoàn toàn miễn phí và có thể tải về từ Synack's Github
knockknockjanicab.png
Minh họa công cụ tìm ra một cron job được tạo bởi trojan Janicab

Lời kết
Với những ai có khả năng đăng kí một vé có măt trong cuộc hội thảo VB2014 thì đó quả là một điều tuyệt vời, còn nếu không chúng ta sẽ phải chờ đợi tác giả public tài liệu sau cuộc hội thảo. Tuy nhiên, một điều mà chúng ta cần hiểu rõ là: Mac OS cũng chưa hẳn đã an toàn. Theo cách nghĩ của cá nhân tôi, người dùng Mac càng dễ bị tổn thương hơn người dùng Windows hay Linux vì với Windows chúng ta có hàng tá những tài liệu cảnh báo và các giải pháp phần mềm, hay với Linux đa phần người sử dụng đều có một chút kiến thức về mạng máy tính hay bảo mật. Còn người dùng Mac thông thường đều là những người dùng không chuyên cho lắm.
Người dịch: Nguyễn Đức Thịnh
Theo CEH News

Post a Comment

 
Top

Nhận xét mới đăng tải!

Loading…
X