★我要吧★

 找回密码
 注册[Register]
搜索
qq空间相册密码查看为什么登陆后需要激活无法注册?

研究人员发现MAC上的DLL劫持技术

[复制链接]
发表于 2015-3-19 00:05:37 | 显示全部楼层 |阅读模式
DDL劫持不仅限于Windows:概念上类似的攻击也存在于OS X系统。
根据Synack公司的Patrick Wardle的最新研究,DLL劫持在Mac上也同样适用,可以用来绕过苹果GateKeeper等安全功能,使其感染电脑中易受攻击的地方。Wardle将在本周在温哥华举行的CanSecWest应用安全大会上分享这个问题。
"OS X dylib(dynamic library动态库)劫持在概念上类似于Windows的DDL劫持",Synack公司研究主管Wardle解释说,"在这两种情况下都存在这个情况,操作系统装载器在很多地方寻找所需的依赖库。如果在原位置没有找到正确的依赖库,比如,找到的是第一个目录进行装载,攻击者可以将恶意库种在这里。从此,每次启动这个程序时,无论是操作系统还是用户,装载器将发现并盲目下载攻击者的恶意库,因为装载器第一次首先找到的是攻击者种植恶意库的位置。"
攻击者依赖于利用易受攻击的app,Wardle计划推出一个开源的python脚本和带有用户界面的应用程序用来扫描这些恶意库。他说,这个程序可以扫描电脑中的150个脆弱的应用程序,包括苹果商店中的应用程序和第三方提供的app。
攻击者绕过GateKeeper(GateKeeper有反恶意软件功能,允许用户限制应用程序的安装,这些应用程序必须来自木马感染性低的源。),OS X Lion 10.75,OS X Moutain Lion及以后的操作系统都包含这个功能。
"我将在会议上透露一些攻击细节』Wardle说,『但是,我现在可以先总结一下。GateKeeper不验证下载的信息,直接下载dmg安装包。这种情况为攻击者创造了一种DLL场景,攻击者可以自行创建GateKeeper信任的软件包或者感染合法下载的软件,当用户打开这些软件时,执行恶意代码。所以即使用户设置了GateKeeper只允许执行来自苹果商店的程序,电脑还是会下载攻击者的恶意代码并且允许这些程序执行,导致用户被感染。"
攻击者是非常优雅的,因为他们合理使用了操作系统的合法功能做了一些不合法的事情,不过这些操作对于攻击者来说既简单又有效。Wardle补充说。
"这种攻击可以被用于以下情况:持久性,长时间载入过程的注入等。"Wardle解释说,"实现类似目标的其他的攻击方式…非常复杂,并且容易检测并防止。使用这种dylib劫持攻击,攻击者可以通过简单的空投捆绑式dylib实现相同的目标。这就是dylib劫持攻击,它可以结合各种工具,使攻击过程既简单又对用户的计算机进行毁灭性攻击。"

您需要登录后才可以回帖 登录 | 注册[Register]

本版积分规则

QQ|手机版|小黑屋|☆我要吧☆ ( 豫ICP备13016831号-1 )

GMT+8, 2024-11-23 13:20 , Processed in 0.054558 second(s), 21 queries .

Powered by abc369 X3.4

© 2001-2023 abc369.

快速回复 返回顶部 返回列表