24.02.2016, 22:14
Twierdzenie, że urządzenia pracujące na OS X są bezpieczne jest już od dłuższego czasu nieaktualne. Wraz ze wzrostem popularności rozwiązań Apple znalazły się one w polu zainteresowań cyberprzestępców. Problem jest na tyle dojrzały, że zainteresował analityków z Bit9+Carbon Black Threat Research Team, amerykańskiej firmy zajmującej się ochroną korporacji przed malware.
Jak mówi Michał Ferdyniok kierownik laboratorium informatyki śledczej Mediarecovery - To właśnie zaawansowany malware jest obecnie największym zagrożeniem bezpieczeństwa IT. Chodzi tu o skalę i powszechność użycia szkodliwego oprogramowania przez cyberprzestępców. Trojany, wirusy, spyware i inne są równie zaawansowane technicznie, jak profesjonalne oprogramowanie tworzone przez firmy - dodaje.
Przez długi czas cyberprzestępcy nie interesowali się urządzeniami produkowanymi przez Apple, skupiając się na komputerach pracujących pod Windows. Zwyczajnie nie opłacało się im angażować wysiłków w tworzenie złośliwego oprogramowania dla stosunkowo niewielkiej liczby urządzeń. Na koniec 2001 roku udział rynkowy Apple wynosił niecałe 3%, na koniec 2014 roku już ponad 16%. Zauważyli to również cyberprzestępcy i zaczęli działać - twierdzi Ferdyniok.
Na podstawie ponad 1400 próbek złośliwego oprogramowania, analitykom z Bit9+Carbon Black Threat Research Team udało się wyróżnić 7 najczęstszych metod ukrywania się malware w OS X. Oto one:
1. LaunchAgents - proces w systemie operacyjnym uruchamiany z uprawnieniami użytkownika. W tym wypadku malware zaczyna działać w momencie logowania się użytkownika do systemu i zostaje aktywny do momentu jego wyłączenia.
2. LaunchDaemons - proces w systemie operacyjnym umożliwiający uruchomienie programów w tle. Jeśli zostanie wykorzystana ta technika to malware uruchomi się zaraz po włączeniu komputera przed zalogowaniem się użytkownika.
3. Cron job – jest to sposób na uruchomienie malware przy pomocy procesu systemowego cyklicznie uruchamiającego zadania zdefiniowane w plikach konfiguracyjnych. W takim wypadku skrypt cyklicznie uruchamia złośliwe oprogramowanie.
4. Login items – wykorzystuje ustawienia użytkownika w celu uruchomienia malware w komputerze po zalogowaniu się użytkownika do systemu. Twórcy złośliwego oprogramowania wykorzystują możliwość definiowania programów uruchamianych automatycznie przy starcie systemu.
5. Wtyczki do przeglądarki – nie w każdym przypadku malware dokonuje infekcji samego systemu operacyjnego, zdarza się iż celem ataków są poszczególne programy np. przeglądarki internetowe. Infekcja zostaje wykonana poprzez instalację wtyczki do przeglądarki. Wtyczka taka może zbierać informacje o użytkowniku np. loginy i hasła
6. StartupItems – podobnie jak w przypadku LaunchDaemons – jest to lista programów i usług które uruchamiane są podczas startu systemu operacyjnego. Oprogramowanie takie może zostać uruchomione raz lub działać jako usługa w tle.
7. Infekcja binarna – modyfikuje oryginalny plik wykonywalny dodając do niego szkodliwy kod. W takim przypadku użytkownikowi wydaje się, że uruchamia poprawną i sprawdzoną aplikację np. program do poczty e-mail jednak dodatkowo uruchamia się też złośliwy kod.
Omawiane badanie wskazuje wyraźnie, że również w komputerach Apple należy używać oprogramowania zabezpieczającego. W przypadku użytkowników domowych może być to program antywirusowy, w przypadku firm najlepiej żeby było to rozwiązanie oparte na whitelistingu - uważa kierownik laboratorium informatyki śledczej Mediarecovery.
Infrastruktura firm jest narażona na większą ilość i różnorodność cyberzagrożeń. Zatem i ochrona przed malware wymaga bardziej zaawansowanych i skutecznych środków zaradczych - podsumowuje Michał Ferdyniok.
Źródło: Mediarecovery
[Aby zobaczyć linki, zarejestruj się tutaj]
Jak mówi Michał Ferdyniok kierownik laboratorium informatyki śledczej Mediarecovery - To właśnie zaawansowany malware jest obecnie największym zagrożeniem bezpieczeństwa IT. Chodzi tu o skalę i powszechność użycia szkodliwego oprogramowania przez cyberprzestępców. Trojany, wirusy, spyware i inne są równie zaawansowane technicznie, jak profesjonalne oprogramowanie tworzone przez firmy - dodaje.
Przez długi czas cyberprzestępcy nie interesowali się urządzeniami produkowanymi przez Apple, skupiając się na komputerach pracujących pod Windows. Zwyczajnie nie opłacało się im angażować wysiłków w tworzenie złośliwego oprogramowania dla stosunkowo niewielkiej liczby urządzeń. Na koniec 2001 roku udział rynkowy Apple wynosił niecałe 3%, na koniec 2014 roku już ponad 16%. Zauważyli to również cyberprzestępcy i zaczęli działać - twierdzi Ferdyniok.
Na podstawie ponad 1400 próbek złośliwego oprogramowania, analitykom z Bit9+Carbon Black Threat Research Team udało się wyróżnić 7 najczęstszych metod ukrywania się malware w OS X. Oto one:
1. LaunchAgents - proces w systemie operacyjnym uruchamiany z uprawnieniami użytkownika. W tym wypadku malware zaczyna działać w momencie logowania się użytkownika do systemu i zostaje aktywny do momentu jego wyłączenia.
2. LaunchDaemons - proces w systemie operacyjnym umożliwiający uruchomienie programów w tle. Jeśli zostanie wykorzystana ta technika to malware uruchomi się zaraz po włączeniu komputera przed zalogowaniem się użytkownika.
3. Cron job – jest to sposób na uruchomienie malware przy pomocy procesu systemowego cyklicznie uruchamiającego zadania zdefiniowane w plikach konfiguracyjnych. W takim wypadku skrypt cyklicznie uruchamia złośliwe oprogramowanie.
4. Login items – wykorzystuje ustawienia użytkownika w celu uruchomienia malware w komputerze po zalogowaniu się użytkownika do systemu. Twórcy złośliwego oprogramowania wykorzystują możliwość definiowania programów uruchamianych automatycznie przy starcie systemu.
5. Wtyczki do przeglądarki – nie w każdym przypadku malware dokonuje infekcji samego systemu operacyjnego, zdarza się iż celem ataków są poszczególne programy np. przeglądarki internetowe. Infekcja zostaje wykonana poprzez instalację wtyczki do przeglądarki. Wtyczka taka może zbierać informacje o użytkowniku np. loginy i hasła
6. StartupItems – podobnie jak w przypadku LaunchDaemons – jest to lista programów i usług które uruchamiane są podczas startu systemu operacyjnego. Oprogramowanie takie może zostać uruchomione raz lub działać jako usługa w tle.
7. Infekcja binarna – modyfikuje oryginalny plik wykonywalny dodając do niego szkodliwy kod. W takim przypadku użytkownikowi wydaje się, że uruchamia poprawną i sprawdzoną aplikację np. program do poczty e-mail jednak dodatkowo uruchamia się też złośliwy kod.
Omawiane badanie wskazuje wyraźnie, że również w komputerach Apple należy używać oprogramowania zabezpieczającego. W przypadku użytkowników domowych może być to program antywirusowy, w przypadku firm najlepiej żeby było to rozwiązanie oparte na whitelistingu - uważa kierownik laboratorium informatyki śledczej Mediarecovery.
Infrastruktura firm jest narażona na większą ilość i różnorodność cyberzagrożeń. Zatem i ochrona przed malware wymaga bardziej zaawansowanych i skutecznych środków zaradczych - podsumowuje Michał Ferdyniok.
Źródło: Mediarecovery
