研究人员发现MAC上的DLL劫持技术

龙 宇 2016-7-28 最新资讯 0 0

研究人员发现MAC上的DLL劫持技术

DDL劫持不仅限于Windows:概念上类似的攻击也存在于OS X系统。

根据Synack公司的Patrick Wardle的最新研究,DLL劫持在Mac上也同样适用,可以用来绕过苹果GateKeeper等安全功能,使其感染电脑中易受攻击的地方。Wardle将在本周在温哥华举行的CanSecWest应用安全大会上分享这个问题。

"OS X dylib(dynamic library动态库)劫持在概念上类似于Windows的DDL劫持",Synack公司研究主管Wardle解释说,"在这两种情况下都存在这个情况,操作系统装载器在很多地方寻找所需的依赖库。如果在原位置没有找到正确的依赖库,比如,找到的是第一个目录进行装载,攻击者可以将恶意库种在这里。从此,每次启动这个程序时,无论是操作系统还是用户,装载器将发现并盲目下载攻击者的恶意库,因为装载器第一次首先找到的是攻击者种植恶意库的位置。"

攻击者依赖于利用易受攻击的app,Wardle计划推出一个开源的python脚本和带有用户界面的应用程序用来扫描这些恶意库。他说,这个程序可以扫描电脑中的150个脆弱的应用程序,包括苹果商店中的应用程序和第三方提供的app。

攻击者绕过GateKeeper(GateKeeper有反恶意软件功能,允许用户限制应用程序的安装,这些应用程序必须来自木马感染性低的源。),OS X Lion 10.75,OS X Moutain Lion及以后的操作系统都包含这个功能。

"我将在会议上透露一些攻击细节』Wardle说,『但是,我现在可以先总结一下。GateKeeper不验证下载的信息,直接下载dmg安装包。这种情况为攻击者创造了一种DLL场景,攻击者可以自行创建GateKeeper信任的软件包或者感染合法下载的软件,当用户打开这些软件时,执行恶意代码。所以即使用户设置了GateKeeper只允许执行来自苹果商店的程序,电脑还是会下载攻击者的恶意代码并且允许这些程序执行,导致用户被感染。"

攻击者是非常优雅的,因为他们合理使用了操作系统的合法功能做了一些不合法的事情,不过这些操作对于攻击者来说既简单又有效。Wardle补充说。

"这种攻击可以被用于以下情况:持久性,长时间载入过程的注入等。"Wardle解释说,"实现类似目标的其他的攻击方式…非常复杂,并且容易检测并防止。使用这种dylib劫持攻击,攻击者可以通过简单的空投捆绑式dylib实现相同的目标。这就是dylib劫持攻击,它可以结合各种工具,使攻击过程既简单又对用户的计算机进行毁灭性攻击。"

PS: CanSecWest时间:3月18日到3月20日

本文由 360安全播报 翻译,转载请注明“转自360安全播报”,并附上链接。
原文链接:http://www.securityweek.com/researcher-reveal-mac-os-x-dll-hijacking-attack

原文地址:https://www.77169.com/news/HTML/20150317094635.shtm

转载请注明来自华盟网,本文标题:《研究人员发现MAC上的DLL劫持技术》

喜欢 (0) 发布评论