Amikor a marketing üzenet már kevés

2014. október 06. 12:47 - Csizmazia Darab István [Rambo]

Egyik korábbi posztunkban már elmélkedtünk arról, vajon mennyi egyesnek és nullának kellett lefolynia a kártékony kódok folyamán ahhoz, hogy a kezdeti "Itt nincsenek vírusok, mint a Windows alapú gépeken" helyett "A rendszert úgy alakították ki, hogy az biztonságos legyen" válasz legyen olvasható 2012-től az Apple weboldalán a "Miért fogjuk szeretni a Mac-ünket?" kérdésre.

Még ha a 2010-ben felvetett "Kell-e antivírus a Macre?" kérdésre akkor még sokan feleltek is nem-mel, azt azért észre kell venni, hogy néha azért kifejezetten hasznos lehet, hiszen azóta sok minden megváltozott, másrészt eleve támadhatatlan és 100%-osan biztonságos platform gyakorlatilag nem létezik. Volt ugye például az a nagyon emlékezetes 2012-es Flashback botnet, ami 600 ezer Mac gépet tudott megfertőzni. A még 2011-ben kezdődött incidensnél a magát Flash frissítésnek álcázó kártevő a Java egyik biztonsági rését használta ki. Terjeszkedése érdekében pedig több módon is képes volt csatlakozni a C&C szerverhez, például domain neveket generált és adott Twitter hashtagekre is rákeresett.

És még mielőtt bárki ördögtől valónak kiáltaná ki a Java jelenlétét egy OSX számítógépen, számos banki felület pl. CIB bank, CITI bank, de az Adobe Creative Suite, a CrashPlan PRO online secure backup, vagy a talán legelterjedtebb ingyenes LibreOffice is igényli, telepíti, használja azt.

Aztán arra is emlékezhetünk, amikor az Apple a 10.8 verzióval kezdődően igyekezett fokozott hangsúlyt fektetni a biztonságra, és így kedvenc hegyi oroszlános operációs rendszerünk (Mountain Lion) titkosított kapcsolaton keresztül végre már automatikusan kap napi biztonsági frissítéseket. De ennél a verziónál debütált az Apple Gatekeeper Execution Prevention technológia is, amely a kártékony kódok kiszűrésére lett kitalálva. Sajnálatos módon alig háromnegyed évvel később máris sikerült látványosan kijátszani ezt a rendszert is.

Ekkor kaptunk hírt arról a valódi, érvényes Apple Developer ID-vel rendelkező trójairól, amely kémkedett az áldozatok OS X alapú gépein. Az OSX/Kitm.A trójaiként aposztrofált kártevő a fertőzött Macintosh számítógépeken titokban képernyőfotókat készített, és ezeket orosz e-mailcímről regisztrált távoli C&C vezérlőszerverekre kísérelte meg feltölteni. Emellett nyitott egy reverse shell-t is, melynek segítségével hátsó ajtót nyitva távoli parancsokat tudott végrehajtatni a fertőzött gépeken.

És itt érdemes megemlíteni még egy fontos dolgot. Bár az Apple rövid időn belül visszavonta ezt a bizonyos Rajender Kumar névre szóló Developer ID-t, ez a már megfertőződött áldozatoknak vajmi keveset segített. Ugyanis ha egy kártevő már sikeresen átjutott a Gatekeeperen, akkor később már nem történik további újraellenőrzés, vagy ismételt lekérdezés, így a korábban használt azonosító aláírással rendelkező programok továbbra is szabadon futhatnak a gépeken.

Mindössze annyit lehet tenni, hogy a legszigorúbb, azaz csak a Mac App Store-ból származó programok futását engedélyező opciót választjuk ki. És/vagy a kártékony kódok folyamatos szűrését egy külső naprakész vírusvédelmi programra bízzuk. Ezt az OSX/Kitm.A trójait a vírusirtók nagy része hamar felismerte, a későbbiekben megjelent újabb módosított verziókkal együtt.

Most pedig itt a legújabb reddit botnet, amely a biztonsági szakemberek szerint legalább 17 ezer Macintosh rendszert fertőzhetett meg, és nyitott hátsó ajtót a rendszeren. A kártevő egyik érdekessége, hogy annak készítői a Reddit rendszert is felhasználták ahhoz, hogy a botnet sereg zombigép tagjait az elérhető C&C szerverek aktuális helyéről tájékoztassák. Ehhez a reddit.com kereső szolgáltatását vették igénybe, ahol a keresési lekérdezés eredménye adja ki a C&C szervereknek címét és a szükséges port számát. A keresésnél az első 8 bájtban hexában megadják az aktuális dátum MD5 hashét, az elérhető aktuális szerverek címét pedig a keresési eredmények között található kommentek tartalmazzák.

Az eset egyik tanulsága akár az is lehetne, hogy mivel a támadók folyamatosan és furmányosan ellenünk dolgoznak, mi csak akkor mondhatjuk azt, hogy valóban biztonságban vagyunk, ha egy kapuőr (biztonsági program) áll az ajtóban, ami folyamatosan figyeli és ellenőrzi a rendszerünket.

Szólj hozzá!

A bejegyzés trackback címe:

https://antivirus.blog.hu/api/trackback/id/tr776763719

Kommentek:

A hozzászólások a vonatkozó jogszabályok  értelmében felhasználói tartalomnak minősülnek, értük a szolgáltatás technikai  üzemeltetője semmilyen felelősséget nem vállal, azokat nem ellenőrzi. Kifogás esetén forduljon a blog szerkesztőjéhez. Részletek a  Felhasználási feltételekben és az adatvédelmi tájékoztatóban.

Nincsenek hozzászólások.