Email Print Twitter Facebook Google LinkedIn
Blogger / Informazione / Marketing / Strategia

Scoperto un modo per creare un malware impossibile da rilevare per MacOSX

2 minuti di lettura

Lo svilppatore Daniel Pistelli ha sfruttato il sistema di crittografia Apple per creare un malware non rilevabile per Mac OS X

L’hacking storicamente ha sempre perseguito la finalità nobile di mostrare le debolezze dei sistemi informatici per contribuire a migliorarne la sicurezza, proprio in quest’ottica Daniel Pistelli ha mostrato i risultati di una ricerca da lui effettuata sui sistemi Apple.

Tutti sono a conoscenza del fatto che l’ecosistema “Mac” sia universalmente riconosciuto come più sicuro di quello Windows e questo è un dato di fatto, almeno stando al numero di virus e malware presenti per il sistema operativo Microsoft, presente sul 90% dei computer.

Tuttavia la crescente popolarità e diffusione del Mac OS X, soprattutto in ambienti business e governativi, ha portato di pari passo ad un aumento di interesse da parte dei creatori di malware per il sistema operativo made in Cupertino.

Lo sviluppatore Daniel Pistelli, esperto di ingegneria inversa e creatore dell’applicazione Cerbero Profiler (tool per l’analisi e il monitoraggio del malware), ha  recentemente pubblicato sul suo blog i risultati di una ricerca molto interessante nella quale spiega come sia semplice realizzare un malware non rilevabile da nessun sistema di sicurezza, utilizzando proprio una feature del sistema operativo Apple: il sistema di crittografia di Mac OS X.

Tale sistema di crittografia infatti, implementato per proteggere gli eseguibili del sistema (ad esempio Finder.app, Dock.app, ecc…) può essere semplicemente utilizzato per fini opposti, ossia criptare il codice di un malware e renderlo di fatto non rilevabile da nessuna applicazione antivirus o similare.

La procedura, per chi ha un po’ di dimestichezza con il reverse engineering, si rivela anche abbastanza semplice, in quanto i pezzi di codice cifrati vengono marcati tramite un flag:

Daniel specifica inoltre che tale procedura può essere applicata anche ai malware esistenti e già mappati dai software per la sicurezza. Tali codici malevoli infatti diventerebbero non rilevabili perchè, grazie al sistema di crittografia, i software non riuscirebbero più a riconoscerli.

Per dimostrare tale affermazione Daniel ci mostra un malware di Mac OS X già noto (i dati sono oscurati per ovvi motivi ma il tasso di rilevamento, detection ratio, era intorno a 20-25):

Malware prima della cifratura

Malware prima della cifratura

ed ecco lo stesso malware dopo aver applicato la cifratura, la sua detection rate è 0 (ZERO):

Malware dopo la cifratura

Malware dopo la cifratura

Per ovviare tale problematica Daniel ci suggerisce 3 opzioni:

  • Implementare il meccanismo di decodifica da lui suggerito (ossia tramite la programmazione Python SDK pura).
  • Fidarsi solo degli eseguibili con un certificato valido rilasciato da Apple.
  • Fidarsi solo degli eseguibili il cui hash crittografico corrisponde a uno di fiducia.

Sul Blog di Daniel potrete approfondire i dettagli tecnici delle procedure utilizzate nella sua ricerca.

FONTE – VIA

Email Print Twitter Facebook Google LinkedIn
Foto del profilo di Francesco Montanari
Mi presento utilizzando poche parole: 33enne, e-Learning Specialist, Android enthusiast, chitarrista autodidatta e indignato. Sono da sempre appassionato di progresso tecnologico soprattutto riguardo l'approccio open al mondo dello sviluppo software e le tecnologie per l'apprendimento. Blog: OfficinaWazo.com

Cosa ne pensi?

Il tuo indirizzo email non verrà pubblicato. Campi richiesti *

Puoi usare questi HTML tags e attributi: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <s> <strike> <strong>

Lost Password

Register