محافظت های محافظت شده 0 روزه بر روی سیستم عامل اصلی Mac به طور فعال انجام می شود


محافظت های محافظت شده 0 روزه بر روی سیستم عامل اصلی Mac به طور فعال انجام می شود

گتی ایماژ

وقتی اپل آخرین نسخه 11.3 را برای macOS در روز دوشنبه منتشر کرد ، فقط پشتیبانی از ویژگی ها و بهینه سازی های جدید را معرفی نکرد. از همه مهمتر ، این شرکت یک آسیب پذیری صفر روزه را حل کرد که هکرها بدون استفاده از مکانیزم های امنیتی اصلی Mac که برخی از آنها بیش از یک دهه است وجود دارد ، برای نصب بدافزار فعالانه سو استفاده می کنند.

در مجموع ، این محافظت ها مجموعه ای گسترده از حفاظت ها را برای جلوگیری از نصب تصادفی بدافزارهای مخرب بر روی Mac های خود طراحی کرده اند. در حالی که سوits استفاده از یک کلیک و حتی کلیک صفر به درستی مورد توجه بسیاری قرار می گیرد ، برنامه های Trojan که بدافزارهایی مانند بازی ، بروزرسانی یا سایر نرم افزارهای موردنظر را پوشانده بسیار رایج تر هستند.

از مصرف کنندگان در برابر خود محافظت کنید

مهندسان اپل می دانند که تروجان ها بیشتر از کاربران سو Mac استفاده از پیچیده تر که بطور مخفیانه بدافزار را نصب می کنند با حداقل تعامل کاربر یا بدون تعامل ، تهدید بیشتری برای بیشتر کاربران Mac به وجود می آورند. بنابراین قسمت اصلی امنیت Mac به سه مکانیزم مرتبط بستگی دارد:

  • قبل از اجرای فایل بارگیری شده از اینترنت ، قرنطینه پرونده به تأیید صریح کاربر احتیاج دارد.
  • دروازه بان نصب برنامه ها را مسدود می کند مگر اینکه توسط توسعه دهنده ای که برای اپل شناخته شده امضا شده باشد.
  • محضری بودن محرمانه برنامه ها اجازه می دهد برنامه ها فقط پس از اسکن اپل از نظر بدافزار نصب شوند.

در اوایل سال جاری ، برخی از بدافزارها ، که برای کارشناسان امنیتی Mac کاملاً شناخته شده است ، شروع به بهره برداری از یک آسیب پذیری کردند که به آن امکان می داد هر سه مکانیزم را کاملاً سرکوب کند. وی که Shlayer نامیده می شود ، در سه سالی که از حضورش می گذرد ، سابقه چشمگیری دارد.

به عنوان مثال ، در سپتامبر گذشته ، این اسکن امنیتی را که اپل برای محضر شدن برنامه ها نیاز دارد ، تصویب کرد. دو سال پیش ، او در یک کارزار پیچیده آزاد شد که برای جلوگیری از شناسایی بدافزار از Steganography جدید استفاده می کند. و سال گذشته ، کسپرسکی گفت که Shlayer با تقریباً 32000 نوع مختلف شناسایی شده ، بیشترین بدافزار Mac از محصولات این شرکت است.

اجتناب هوشمندانه

عملیات روز صفر شلایر ، که حداکثر تا ژانویه آغاز شد ، از دیگر کارهای چشمگیر وی بود. به جای استفاده از قالب استاندارد Mach-O برای اجرایی Mac ، م componentلفه اجرایی در این حمله معادل macOS یک اسکریپت bash بود که یک سری خطوط فرمان را روی یک خط خاص اجرا می کند.

به طور معمول ، اسکریپت های بارگیری شده از اینترنت به عنوان بسته های کاربردی طبقه بندی می شوند و با همان الزامات سایر انواع فایل های اجرایی مطابقت دارند. با این حال ، یک هک ساده به اسکریپت ها اجازه می داد تا کاملاً از این الزامات جلوگیری کنند.

با حذف info.plist – یک فایل متنی ساختاری که منعکس کننده محل پرونده هایی است که به آنها وابسته است – اسکریپت دیگر به عنوان یک بسته اجرایی در macOS ثبت نمی شود. در عوض ، این پرونده به عنوان PDF یا نوع دیگری از فایل اجرایی که موضوع Gatekeeper و مکانیسم های دیگر نبود ، مورد استفاده قرار گرفت.

یکی از حملات با تبلیغاتی برای به روزرسانی جعلی Adobe Flash آغاز شد:

جامف

فیلم های زیر نشان می دهد که سو afterاستفاده بعد از کسی که طعمه را زده و روی بارگیری کلیک کرده ، چقدر تفاوت داشته است. ویدیوی زیر نشان می دهد آنچه بیننده با حذف محدودیت ها مشاهده کرده است. این مورد زیر نشان می دهد که اگر محدودیت ها اعمال شوند ، بروزرسانی چقدر مشکوک تر به نظر می رسد.

https://www.youtube.com/watch؟v=MtCk0JHzUYo

حمله شلایر با بهره برداری CVE-2021-30657.

https://www.youtube.com/watch؟v=GPMENlgHRhk

حمله شلایر بدون بهره برداری از CVE-2021-30657.

این اشکال که به عنوان CVE-2021-30657 ردیابی می شود ، کشف شد و توسط محقق امنیتی سدریک اونز به اپل گزارش شد. وی گفت هنگام استفاده از یک ابزار توسعه دهنده به نام Appify هنگام انجام مطالعه روی تمرین “تیم قرمز” که در آن هکرها برای شناسایی آسیب پذیری های امنیتی نادیده گرفته شده ، حمله واقعی را شبیه سازی کردند ، با آن روبرو شد.

وی در یک پیام مستقیم نوشت: “من دریافتم که Appify قادر است اسکریپت پوسته را به یک برنامه” دوبار کلیک “تبدیل کند (در واقع فقط یک اسکریپت پوسته در داخل ساختار دایرکتوری macOS است ، اما macOS از آن به عنوان یک برنامه استفاده می کند). “و هنگامی که اجرا می شود ، دروازه بان را دور می زند. در حقیقت ، من خیلی سریع پس از کشف آن را گزارش کردم و از آن در تمرینات زنده تیم قرمز استفاده نکردم. “

اپل با انتشار macOS 11.3 در روز دوشنبه این آسیب پذیری را برطرف کرد. اونز گفت: به نظر می رسد این کاستی از زمان معرفی macOS 10.15 در ژوئن 2019 ، هنگامی که محضری سازی ارائه شد ، وجود داشته است.

اوونس در مورد این اشتباه با پاتریک واردل ، یک متخصص امنیت Mac که قبلاً در Jamf کار می کرد ، یک ارائه دهنده امنیت شرکتی برای Mac ، بحث می کند. سپس Wardle به محققان Jamf متوسل شد ، آنها نسخه ای از Shlayer را کشف کردند که قبل از اینکه توسط اپل یا بسیاری از دنیای امنیت شناخته شود ، از این آسیب پذیری استفاده می کرد.

جارون بردلی ، محقق جامف ، به من گفت: “یکی از یافته های ما ما را از این گزینه جدید آگاه کرد و با بررسی دقیق تر ، استفاده از این بای پس را کشف کردیم تا بتواند بدون ایجاد مشکل در کاربر نهایی ، آن را نصب کند.” “تجزیه و تحلیل بیشتر ما را به این باور می رساند که توسعه دهندگان بدافزار روز صفر را کشف کرده و بدافزار خود را برای استفاده از آن در اوایل سال 2021 تطبیق داده اند.”

واردل اثبات مفهوم را ارائه داد ، كه نشان می داد نسخه شلیر چگونه كار می كند. پس از بارگیری از اینترنت ، اسکریپت اجرایی به عنوان یک فایل PDF به نام Resume Patrick ظاهر می شود. پس از اینکه شخصی روی پرونده دوبار کلیک کرد ، فایلی را با نام calculator.app راه اندازی می کند. یک سوit استفاده می تواند به راحتی فایل مخرب را اجرا کند.

پاتریک واردل

در یک غواصی عمیق 12000 کلمه ای ، که باعث عمیق تر شدن علل و عواقب سوits استفاده ها می شود ، واردل نتیجه می گیرد:

اگرچه این اشکال قبلاً وصله شده است ، اما به وضوح (یک بار دیگر) نشان می دهد که macOS در برابر نقص های باورنکردنی کم عمق اما بسیار تأثیرگذار مقاوم نیست. چگونه کم عمق؟ خوب ، این واقعیت که یک ابزار توسعه دهنده قانونی (appify) سهواً باعث ایجاد خطا می شود فراتر از خنده (و غم و اندوه) است.

و چقدر تأثیرگذار است؟ به طور کلی ، امنیت macOS (در زمینه ارزیابی برنامه های راه اندازی شده توسط کاربر که یادآوری کننده اکثر عفونت های macOS هستند) کاملاً بحث برانگیز بود.

بردلی پستی در مورد نحوه عملکرد و بهره برداری منتشر کرد.

بسیاری از افراد بدافزاری مانند Shlayer را بی تجربه می دانند زیرا متکی به فریب قربانیان خود است. برای ادای احترام به Shlayer ، بدافزار به دلیل توانایی در سرکوب محافظت از macOS که برای هشدار به کاربران قبل از آلوده شدن آنها به طور ناگهانی طراحی شده است ، بسیار کارآمد است. کسانی که می خواهند بدانند هدف این سو explo استفاده قرار گرفته اند می توانند این اسکریپت پایتون را که توسط Wardle نوشته شده بارگیری کنند.


منبع: tarjome-news.ir

Leave a reply

You may use these HTML tags and attributes: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <s> <strike> <strong>