Вирус в подарок джобсу: современная малварь для mac

Snapdrop, AirDroid, Send Anywhere, Resilio и другие кросс-платформенные инструменты и приложения, которые помогут перебрасывать файлы с девайса на девайс без проводов и лишней возни.

История вопроса

Операционная система Mac Classic (то есть, любая версия Mac OS до 10-й, Mac OS X) просуществовала довольно долго: от выпуска первой версии в 1984 до появления первой десктопной версии Mac OS X в марте 2001. За это время было создано немало вредоносного программного обеспечения, включая достаточно опасные вирусы, такие как, например, nVir, появившийся в 1987 году и создавший маководам немало проблем. Ситуация еще более усложнилась после публикации исходников этого виря, поскольку появилось множество его модификаций.

Все они поражали бинарные исполняемые файлы Mac OS, патча таблицу переходов жертвы.

Конечно, Apple не осталась в стороне, и в систему были внесены некоторые изменения, ограничивающие возможности распространения malware. Может быть, наиболее значимым был отказ от технологии автозапуска с CD. В настоящее время autorun’ы не поддерживаются в Mac OS X ни для съемных носителей, ни для компакт-дисков.

Стоит сказать, что Apple активно закрывает дыры в Mac OS X и сейчас. Совсем недавно вместе с очередным апдейтом системы были изменены права доступа к папке /Applications. До этого файлы в ней могли быть изменены любым юзером. Так что код вируса, исполняющийся от имени пользователя, мог свободно заражать приложения в этой папке. А в ней сидят такие часто используемые проги, как iTunes или iMail.

C ростом популярности продукции Apple растет и внимание зловредописателей к этой платформе. Ведь чем больше пользователей у системы, тем больше простор для их поделок

Во многом эта ситуация подогревается просто-таки фанатичным неверием большинства пользователей Mac OS X/iOS в уязвимость своей системы.

Так, например, какое-то время по интернету ходил jpg-файл c исполняемым файлом Mac OS X внутри. Finder Mac OS X не показывает расширения файлов. Поэтому счастливый пользователь кликал на картинку, запуская вредоносное приложение, а особо удачливые даже вводили админский пароль для повышения привилегий, когда некоторые модификации этого трояна его запрашивали. В общем, малварь на маках есть, и она активно размножается.

Чтобы понять, какие особенности системы эксплуатируются, рассмотрим в деталях, что же такое представляют из себя исполняемые файлы Maс OS X, и как зловредам удается их заражать, заставляя систему выполнять свой код.

Опасности со всех сторон

“Вирусы” – всего лишь общее слово для обычного пользователя, страшное слово, которое влечет за собой проблемы с Mac устройством различной степени сложности. Однако в цифровом мире есть и другие, не менее опасные способы испортить нашу с вами жизнь.

Агрессивная реклама

2015 год показал активный рост подобных угроз. Появилось множество троянцев, использующих права суперпользователя. Данные программы предназначены для загрузки и установки рекламных приложений без ведома владельца устройств.

В результате внедрения в систему, пользователь видит большое количество назойливой рекламы. В общей массе угроз для платформы OS X агрессивная реклама (или AdWare) выросла аж в 5 раз за последние три года, если посмотреть статистику «Лаборатории Касперского».

Реклама может быть не только назойливой или даже агрессивной, но стать пропуском для вполне реального вируса. Например, троянец Trojan.OSX.Vsrch.a не только ставит рекламу, но и использует права суперпользователя.
 Вирусы для iPhone и iPad

Вопреки распространенному мнению, операционная система iOS не является неуязвимой для вредоносного ПО. Первый троянец для iOS появился еще в 2009-м году. Он был для Jailbroken-девайсов, а первый троянец атакующий “неджейлбрейкнутые” устройства был обнаружен в 2012-м.

В 2015-м году произошла показательная история. Появление зараженных приложений в App Store стало результатом размещения в Интернете вредоносной версии Apple’s Xcode – бесплатного набора инструментов, с помощью которого разработчики создают приложения для iOS.

На стороннем веб-сервере в Китае была размещена версия программы для разработчиков приложения для iOS – Xcode, содержащая вредоносный код. Таким образом, в официальный магазин приложений Apple были загружены десятки инфицированных программ. Самое популярное из них – WeChat, бесплатный мессенджер, который установлен у более чем 700 миллионов пользователей.

Apple достаточно оперативно удалила зараженные приложения из магазина, однако взломанная версия Xcode была доступна около шести месяцев. Совершенно не факт, что все опасные приложения и программы покинули App Store.

Фишинг. Рассылка опасных электронных писем

Электронные письма с заманчивыми предложениями. Кто не получал такие? Иногда такие сообщения выглядят весьма убедительно, как например в случае с массовой рассылкой, якобы от Apple, предложений о заманчивых скидках и подарках.

Мошенники предлагали приобрести карту на скидку в размере 150 евро в любом европейском AppStore, заплатив за нее всего 9 евро. Кроме того, в письме подчеркивалось, что получить карту могут только преданные пользователи “яблочных” гаджетов.

Для оформления заявки на получение карты фанату Apple следовало открыть вложенную в письмо HTML-страничку и заполнить все предложенные поля, в том числе указать полную информацию о своей банковской карте, включая трехзначный код проверки подлинности, указанный на ее обратной стороне.

В обмен на предоставленную информацию мошенники обещали в течение 24-х часов прислать по электронной почте дисконтную карту. Письмо выглядело весьма убедительно, и многие попались на уловку мошенников.

Ноль-инфицирование

Согласно информации западных исследователей, уже в 2014 году стало известно об опасном приложении, которое поселяется в недрах операционки OS X и делает попытки заразить любое подключаемое iOS устройство.

Чтобы такого не произошло с вашими девайсами, исследователи рекомендуют проверить, что в настройках Mac стоит галочка напротив пункта “устанавливать программы только из Mac App Store”.

Также, специалистам “Лаборатории Касперского” известны по крайней мере два примера блокираторов-вымогателей, которые шифруют все файлы на жестком диске и требуют выкуп за ключ дешифровки.

Заражение устройств на других платформах

Не стоит забывать, что зловреды, написанные для других платформ, могу попасть на Mac или iOS и затаиться там. Да, само Apple-устройство они не смогут атаковать. Но будут смирно ждать своего часа, когда по проводному или беспроводному соединению их «временный дом» подключат к Windows или Android, для которых они и предназначены. Уж там они разгуляются!

2007 – BadBunny, RSPlug-A

В 2007 году пользователи компьютеров увидели, наверное, самого забавного “червя” под названием BadBunny. Обнаружили его в OpenOffice. Мог запускаться на Windows, Linux и Mac. Червь показывал JPEG изображение мужчины одетого в костюм кролика.

Это лишь кусочек картинки, для полного просмотра воспользуйтесь любым поисковиком.

В этом же году появились первые компьютеры, зараженные «трояном» RSPlug-A. Принцип действия такой. Пользователь заходил на “сайты для взрослых”, которые предлагали установить новый кодек для воспроизведения видео. Доверчивый юзер, конечно же, запускал вирус на свой Mac. В дальнейшем вредоносный код менял настройки DNS и перенаправлял его на фишинговые сайты. Можно сказать, это первый вирус-мошенник. Основой его послужил вирус на Windows DNSChanger.

А есть ли вообще вирусы для Mac?

Давайте сразу перейдем к главному – вирусы для Mac, конечно же, существуют, а защита операционной системы macOS не такая уж и надежная. Просто вредоносных программ для Mac не так много, как для Windows и заразить «яблочный» компьютер намного сложнее. К тому же разработчики операционной системы оперативно работают над устранением уязвимостей системы, а приложения из Mac App Store тщательно проверяются перед релизом.

В результате для более-менее опытного пользователя macOS вероятность заражения системы минимальна. Не получится заразить систему вирусом, просто работая в браузере или открыв электронное письмо с опасным вложением. Пользователю придется вручную дать вирусу права на работу с системными файлами или к своей личной информации. При этом придется пройти через несколько диалоговых окон и вводить пароль администратора. Трудно поверить, что это можно сделать случайно, не понимая, что происходит.

Какие бывают вирусы на андроид

Платформа Android – это комплексная программная инфраструктура для таких устройств, как смартфоны, часы, портативные компьютеры, ноутбуки, планшеты и даже телевизоров с приставками. В нее входит не только одноименная операционная система, но и множество веб-сервисов компании Google – магазин приложений, почтовый сервис, поиск в сети и многое другое. В ее основе лежит код популярной операционной системы Linux и адаптированные технологии компании Java, в частности язык программирования и виртуальная машина.

Намного более открытая для сторонних разработчиков, платформа Андроид обеспечивает больше возможностей для написания и распространения вредоносного ПО. Разнообразие встречающихся для нее вирусов можно представить в следующих категориях, в зависимости от воздействия на систему:

  • трояны или SMS-трояны. Это программы, которые будучи активированными на конечном устройстве, начинают рассылку сообщений, в том числе платных, на заранее указанные в их коде номера. Последствия — резкое уменьшение количества денег на счету пользователя;
  • вымогатели. Подобные утилиты, проникая в устройство пользователя, блокируют определенные его функции, предлагая впоследствии вариант платного разблокирования.

  • LiveJournal
  • Blogger

Неискушенный пользователь отправляет сообщение или перечисляет деньги другим путем с тем, чтобы вирус разблокировал его гаджет

  • шпионское ПО. Данный вариант вируса проводит наблюдение за поведением пользователя и аккумулирует персональные данные — переписку, историю посещений, фото, журнал звонков и прочее с целью передачи злоумышленнику;
  • специфические вирусы — программы, действия которых могут не быть направленными на конфиденциальность пользователя. Например, существовали вредоносные программы, которые заражая смартфон или планшет, автоматически открывали определенные страницы в сети и накручивали им рейтинги посещений;
  • ботнеты. Не столько вирусы, сколько целые сети из зараженных ними компьютеров, которые впоследствии координируясь вредоносной программой, используют свою суммарную мощность для различных целей — атак на другие компьютеры, вычисление данных и прочее.

Приведенная выше классификация того, какие вирусы бывают на Андроид, не охватывает все существующие их типы. С появлением новых услуг в интернет, в том числе платных, а также количества устройств, работающих под указанной операционной системой, возникают и новые вирусы на Android.

Способы защиты

На самом деле наиболее опасный вирус для любого ПК существует, и находится он сантиметрах в 50 от монитора. J Шутки в сторону — приведем несколько простых рекомендаций для повышения уровня безопасности Mac-компьютера:

* Лучше использовать браузер с «песочницей» (sandbox), например, тот же Google Chrome. Он и обновляется куда чаще, чем «родной» Safari, и имеет собственную встроенную «песочницу», и устанавливается с версией Flash Player. И не забудьте установить «Хром» браузером по умолчанию.

* Стоит удалить и автономную версию Flash Player. Ведь именно на Adobe Flash Player направлена значительная часть хакерских атак, имеющих целью полностью взять под контроль мак-компьютер.

* Как и Flash Player, Java — любимая цель авторов эксплойтов, стремящихся установить вредоносное ПО на вашем компьютере, посему рекомендуется полностью снести Java со своей машины

Если вам по той или иной причине совершенно необходимо использовать Java, очень важно отключить Java хотя бы в Safari и других браузерах

* Запускайте «Обновление программ» и обновляйте компьютер сразу же после выхода патчей. Многие из последних атак на Mac OS X используют уязвимости в старом или устаревшем ПО.

* Используйте менеджер паролей для противодействия фишинговым атакам. В отличие от Windows, Mac имеет встроенный менеджер паролей Keychain. А для очень важных паролей можно использовать отдельный Keychain, с установленным таймаутом кеша паролей на уровне 3–5 минут. Если каким-то образом будет взломан сам Keychain, вы не потеряете все свои пароли.

* Стоит выключать сетевые сервисы IPv6, AirPort и Bluetooth, когда вы ими не пользуетесь или когда их использование не обязательно. Эти три сервиса могут быть использованы как точки входа хакерских атак.

* Запустите шифрование всего диска и FileVault (версии Mac OS X 10.7 и выше). В версии Mac OS X Lion появился обновленный вариант решения для шифрования FileVault, поддерживающий шифрование всего диска. Решение получило название FireVault 2. С его помощью можно защитить весь жесткий диск, а не только личные папки, что окажется очень полезным, если ноутбук будет украден.

* Одной из самых популярных хакерских мишеней на базе Windows является Adobe Reader, сейчас он занимает одно из первых мест в мировом рейтинге ПО, подвергающегося атакам хакеров. В версии 10 повышен уровень защиты, что делает эту версию Adobe Reader намного безопаснее предыдущих. Будьте внимательны, поскольку многие неактуальные версии все еще доступны в Сети для загрузки, и их легко перепутать.

* В наши дни антивирусное ПО необходимо каждому пользователю «Maкинтоша». Фраза «вирусов под Mac не бывает» стала одной из самых расхожих со времен рекламы 2006 года о «больном» ПК и «здоровом» «Maке». Прошло 6 лет, и ситуация изменилась кардинально. В 2011 году хакеры стали с завидным упорством подсовывать пользователям Mac зловреды DNSChanger и фальшивые антивирусы.

Защищаться или нет?

Антивирусы могут подарить пользователю излишнюю уверенность и усыпить его бдительность перед настоящей угрозой. Подобное ПО сильнее оправдано для Windows, чем для macOS.

Разработчики из Купертино сделали все возможное, чтобы минимизировать риски и защитить наши компьютеры от вредоносного ПО. Нам остаётся лишь придерживаться простых принципов безопасности, чтобы не потерять свои данные.

Во-первых, обновляйте macOS до самой последней доступной версии для вашего компьютера. Большинство обновлений системы закрывают найденные уязвимости и дыры, которые могут использоваться создателями вирусов.

Во-вторых, устанавливайте программы и игры только из App Store, c сайта разработчиков или через онлайн-сервис цифрового распространения ПО вроде Steam.

В-третьих, не посещайте сомнительные сайты или ресурсы в сети.

В-четвертых, не открывайте вложения в почте или мессенджере от незнакомых адресатов.

В-пятых, при необходимости воспользоваться файлом из сети предварительно проверяйте его при помощи онлайн-сервисов.

Хоть эти рекомендации и простые, но проверены временем.

iPhones.ru

Неужели это вообще надо делать?

Как защищена macOS

В операционной системе Apple начиная с версии Mac OS X Leopard есть встроенная система защиты Gatekeeper.

При первом запуске нового приложения на Mac происходит проверка сертификата разработчика, сверка программы с базой известных вредоносных приложений и ряд других сервисных процедур.

Это позволяет отсечь самые распространенные вирусы и ПО с критическими уязвимостями безопасности.

Однако, Gatekeeper не защитит систему, если сертификат проверенного разработчика окажется в руках создателя вируса или если вирус будет встроен в обновление ПО, которое ранее уже прошло проверку системы.

Встроенная защита минимизирует риск заражения Mac, но не защищает на 100%.

Как определить, заражен ли ваш Mac вредоносной программой Backdoor.MAC.Eleanor

В настоящее время Backdoor.MAC.Eleanor распространяется только через приложение EasyDoc Converter, поэтому, если вы не его не устанавливали, то бояться вам нечего. Заблокировать возможность установки на Mac приложений от недоверенных разработчиков можно с помощью функции Gatekeeper
. Для этого нужно зайти в «Системные настройки
» —> «Защита и безопасность
». Теперь при попытке установить программу, загруженную не из Mac App Store, появится сообщение о том, что открыть ее нельзя.

Итак, если вы не загружали EasyDoc Converter
и не отключали Gatekeeper
, ваш Mac не заражен вирусом Backdoor.MAC.Eleanor.

Как вирус KeRanger работает?

Как вы уже поняли, KeRanger — это специальная утилита, разработанная для вымогательства денег от пользователей MacOS. Название этот «негодник» получил от файла под именем «OSX.KeRanger.A», который прячется в другой программе и устанавливается вместе с ней.

KeRanger является одним из первых вымогателей на MacOS. При загрузке и запуске Transmission 2.90, вы одновременно с клиентом битторрента запускаете в действие и файл KeRanger. Забавно то, что KeRanger смог пройти защиту Gatekeeper под предлогом того, что он обозначался как проверенное и надежное программного обеспечение от Apple.

При активации, он выжидает три дня, затем начинаем шифровать файлы различные типы файлов в операционной системе MacOS. После окончания шифровки, KeRanger начинает вымогать у пользователя заплатить один биткоин на определенный адрес для получения доступа к файлам.

Более того, похоже на то, что «вымогатель» KeRanger находится все еще в стадии активной разработки. Также это вредоносное ПО пытается зашифровать и файлы резервного копирования Time Machine, чтобы как и в случае с другими файлами, пытаться продать их владельцу.

Бинарный инжект

Зная, что собой представляет исполняемый файл Mac OS X, попробуем разобраться, как можно встроить свой код в собранный бинарник Mac OS X. Подкорректировав значение регистров в команде «LC_ LINUXTHREAD», можно изменить точку входа, если это будет нужно. Ну а как разместить сторонний код в Mach-O файле? Естественное желание — добавить еще одну секцию к сегменту «__TEXT», в конец файла дописать свой код и загрузить его в добавленной секции.

Меняем точку входа на начало нашей секции в виртуальной памяти и… кажется, тут есть одно «но». Придется парсить все команды загрузки и определять свободную область виртуалки, в которую мы можем загрузить свою секцию. Может получиться так, что свободного пространства будет еще и недостаточно, ведь сразу за сегментом кода, как правило, следуют данные, а перемещать сегменты — это уже задачка посложнее. В принципе, такой подход можно воплотить в жизнь, но это достаточно трудоемко.
Фактически нужно реализовывать в вире немалую часть работы загрузчика. Есть ли реальные вири, которые так поступают, я не знаю.

Кроме сегментов «__TEXT» и «__DATA» есть еще «__PAGEZERO», чтение и запись в который запрещены, и располагается он в виртуальной памяти процесса по нулевому адресу. Создается этот сегмент, состоящий всего из одной страницы, специально, чтобы разыменование нулевого указателя приводило к исключению. Вообще сегмент этот опционален, но реальный бинарник, в котором его бы не было, мне не попадался. Для сегмента «__PAGEZERO» fileoffset и filesize равны нулю. То есть, данными из файла он не инициализируется. Однако, если ты поменяешь эти значения, то, дописав в конец файла свой код, можешь подгрузить его в нулевую страницу виртуалки. Изменив атрибуты доступа к памяти сегмента «__PAGEZRERO» и пометив ее как исполняемую (подняв R- и X-биты), а также изменив «LC_LINUXTHREAD», можно заставить свой код исполняться при старте приложения. Так, видимо, и было еще пару лет назад.

Во всяком случае, в сети можно найти статьи с конференций BlackHat, описывающие эксплуатацию этой уязвимости. Но, когда я пытался проделать подобный трюк, как только я помечал память исполняемой, она вместо инициализации из файла заполнялась мусором.

В других случая код успешно загружался в нулевую страницу, но попытка его исполнить ни к чему хорошему не приводила. В общем, с наскока вписаться в произвольный Mach-O не так легко, как кажется.

Пожалуй, еще об одном способе я не сказал. Если есть достаточно большие пустоты в конце секций кода (из-за выравнивания на 4K для оптимизации маппинга в страницы памяти), то можно попытаться в них разместить свои фрагменты кода. Но гарантии, что у тебя в распоряжении будет достаточно неиспользуемого пространства, никто не даст. Можешь потренироваться с написанием компактного кода на досуге :), а мы рассмотрим более простые способы.

У Mac есть вирусы?

Подавляющее большинство вредоносных программ предназначено для систем Windows, а Mac не получают вредоносное ПО Windows. В то время как вредоносное ПО Mac намного реже, Mac, безусловно, не защищены от вредоносных программ. Они могут быть заражены вредоносными программами, написанными специально для компьютеров Mac, и такое вредоносное ПО существует.

В какой-то момент более 650 000 компьютеров были заражены троянцем Flashback. Он заразил Macs через плагин браузера Java, который является кошмаром безопасности на каждой платформе. По умолчанию Mac перестает включать Java.

Apple также заблокировала Macs другими способами. Три вещи, в частности, помогают:

  • Mac App Store: Вместо того, чтобы получать программы на рабочем столе из Интернета и, возможно, загружать вредоносное ПО, как неопытные пользователи могут в Windows, они могут получать свои приложения из безопасного места. Он похож на магазин приложений для смартфонов или даже менеджер пакетов Linux.
  • привратник: Текущие выпуски Mac OS X используют Gatekeeper, который позволяет запускать программы только в том случае, если они подписаны одобренным разработчиком или если они из Mac App Store. Это может быть отключено вундеркиндами, которым необходимо запустить неподписанное программное обеспечение, но оно действует как дополнительная защита для обычных пользователей.
  • XProtect: У Mac также есть встроенная технология, известная как XProtect или File Quarantine. Эта функция действует как черный список, предотвращая запуск известных вредоносных программ. Он работает аналогично антивирусным программам Windows, но работает в фоновом режиме и проверяет загружаемые приложения. Mac-вредоносное ПО не выходит так быстро, как вредоносное ПО Windows, поэтому Apple просто не отстает.

Маки, безусловно, не защищены от всех вредоносных программ, и кто-то, кто пытается скачать пиратские приложения и отключает функции безопасности, может оказаться зараженным. Но Mac в гораздо меньшей степени подвержены риску вредоносного ПО в реальном мире.

Есть ли вирусы на iOS

Рассматривая вопросы безопасности платформы Mac OS от Apple, не стоит обходить стороной и другие ее детища – популярные планшеты и смартфоны, управляемые операционной системой iOS. Поскольку для поиска и установки программ в этой системе существует отдельный магазин приложений, то вирусы на iOS встречаются еще реже.

Сопутствует этому жесткая политика компании в отношении отбора программ, которые можно загружать в магазин для последующей продажи или бесплатной установки пользователями. Каждую из них тщательно проверяют ответственные сотрудники компании на предмет нахождения в них вредоносного кода, несущего опасность для потребителя.

Что касается защиты от угроз, которые несут в себе вирусы на iOS, то помимо установки программ только из официального источника, можно дополнительно подстраховаться – установить антивирус Айпада и быть уверенным в пусть и не стопроцентной, но все же надежной защите своего устройства.

Рейтинг
( Пока оценок нет )
Понравилась статья? Поделитесь с друзьями:
Технарь
Добавить комментарий

Нажимая на кнопку "Отправить комментарий", я даю согласие на обработку персональных данных и принимаю политику конфиденциальности.