Bhack 2015 - mach-o Uma Nova Ameaça
-
Upload
ricardo-l0ganbr -
Category
Technology
-
view
172 -
download
4
Transcript of Bhack 2015 - mach-o Uma Nova Ameaça
Agenda
Mach-O – Uma nova Ameaça
0x00 Motivação da Pesquisa0x01 OS X, O Novo Alvo0x02 O Formato Mach-O0x03 Tools - Análise (Estática / Dinâmica)0x04 Ameaças Atuais0x05 Conclusão
0x00 - Motivação da Pesquisa
Mach-O – Uma nova Ameaça
Windows pega vírus !!! Linux pega vírus?
“Mac não pega vírus”
Mach-O – Uma nova Ameaça
Fonte: www.virustotal.com
0x01 – OS X, O Novo Alvo
Mach-O – Uma nova Ameaça
Fonte: www.virustotal.comPeríodo de 7 dias em Abril de 2014
0x01 – OS X, O Novo Alvo
Mach-O – Uma nova Ameaça
Fonte: www.virustotal.com
Período de 7 dias em Abril de 2015
0x01 – OS X, O Novo Alvo
Mach-O – Uma nova Ameaça
Fonte: www.virustotal.com
0x01 – OS X, O Novo Alvo
Mach-O – Uma nova Ameaça
Fonte: http://gizmodo.uol.com.br/sistema-operacional-da-apple-foi-a-plataforma-mais-vulneravel-de-2014
0x01 – OS X, O Novo Alvo
Mach-O – Uma nova Ameaça
Fonte: http://www.gfi.com/blog/most-vulnerable-operating-systems-and-applications-in-2014
0x01 – OS X, O Novo Alvo
Mach-O – Uma nova Ameaça
O mach-o foi adotado como padrão no OS X a partir da versão 10.6.
Atualmente estamos na versão 10.10 (Yosemite).
0x02 - O Formato Mach-O
Mach-O – Uma nova Ameaça
CA FE BA BE - Mach-O Fat Binary
FE ED FA CE - Mach-O binary (32-bit)FE ED FA CF - Mach-O binary (64-bit)CE FA ED FE - Mach-O binary (reverse byte 32-bit)CF FA ED FE - Mach-O binary (reverse byte 64-bit)
0x02 - O Formato Mach-O
Mach-O – Uma nova Ameaça
Mach-O (Mach Object)
HEADERLOAD COMMANDSSECTIONS
Arquitetura do código objeto
ppc ppc64 i386 x86_64 armv6 armv7 armv7s arm64
0x02 - O Formato Mach-O
Mach-O – Uma nova Ameaça
0x03 – Tools - Análise (Estática / Dinâmica)
Análise Dinâmica
- xcode (graphical) - ida Pro (graphical) - lldb - fseventer - open snoop - activity Monitor (graphical) - procoxp - tcpdump - cocoaPacketAnalyzer (graphical) - wireshark (graphical) - lsock
Análise Estática
- file - strings - editores hexa (graphical) - lipo - otool - nm - codesign - machOView (graphical) - hopper (graphical) - class-dump
Mach-O – Uma nova Ameaça
- Manter o Software de Virtualização Atualizado- Ferramentas de Sistema (Tools) Instaladas na VM- Rede em modo Host-Only- Se utilizar Pasta Compartilhada (Host) deixá-la
como "somente leitura“.- Desativar o Gatekeeper (Allow apps downloaded from: Anywhere)
VMWARE FUSION / PARALLELS / VIRTUALBOX
0x03 – Tools - Análise (Dinâmica)
Mach-O – Uma nova Ameaça
Mac.BackDoor.OpinionSpy.3
Names: MacOS_X/OpinionSpy.A (Microsoft), Mac.BackDoor.OpinionSpy.3 (F-Secure),Mac.BackDoor.OpinionSpy.3 (Trend)
.OSA --> ZIP: PremierOpinion upgrade.xml
Fonte:http://vms.drweb.com/virus/?i=4354056&lng=enhttp://news.drweb.com/show/?i=9309&lng=en&c=5
0x04 – Ameaças Atuais
Mach-O – Uma nova Ameaça
OSX_KAITEN.A
Names: MacOS_X/Tsunami.A (Microsoft), OSX/Tsunami (McAfee), OSX/Tsunami-Gen (Sophos), OSX/Tsunami.A (F-Secure), OSX/Tsunami.A (ESET)
binário: /tmp/.z
Fonte:http://www.trendmicro.com/vinfo/us/threat-encyclopedia/malware/osx_kaiten.a
0x04 – Ameaças Atuais
Mach-O – Uma nova Ameaça
OSX_CARETO.A
Names:MacOS:Appetite-A [Trj] (Avast)OSX/BackDoor.A (AVG)MAC.OSX.Backdoor.Careto.A (Bitdefender)OSX/Appetite.A (Eset)MAC.OSX.Backdoor.Careto.A (FSecure)Trojan.OSX.Melgato.a (Kaspersky)OSX/Backdoor-BRE (McAfee)Backdoor:MacOS_X/Appetite.A (Microsoft)OSX/Appetite-A (Sophos)
Fonte:http://www.trendmicro.com/vinfo/us/threat-encyclopedia/malware/osx_careto.a
0x04 – Ameaças Atuais
Mach-O – Uma nova Ameaça
Hacking is a way of life
0x05 – Conclusão
Referência:Sarah EdwardsREVERSE Engineering Mac Malware - Defcon 22https://www.defcon.org/images/defcon-22/dc-22-presentations/Edwards/DEFCON-22-Sarah-Edwards-Reverse-Engineering-Mac-Malware.pdf
https://developer.apple.com/library/mac/documentation/DeveloperTools/Conceptual/MachORuntime/index.html
http://www.agner.org/optimize/calling_conventions.pdf